GDPRがついに発効、即日プライバシー団体に訴えられたGoogleとFacebook
2018年5月25日、世界最大級のEU国のプライバシー保護策としてのGDPR(General Data Protection Regular)が発行しました。
その当日、、、
GoogleやFacebookがGDPR違反をしていると規制当局を通じて訴えられたとしてさまざまなアメリカメディアがこれをとりあげました。
1.誰が訴えたのか?
訴えた団体は、プライバシー保護団体のnoyb.euという団体で、オーストリアの活動家のMax Shrems 氏という方が代表です。メディアの取材などにもこの人がいろいろ答えていますね。ご自身も職業はロイヤー、法律家のようです。
ちなみに訴えた先は、フランス、ベルギー、オーストリア、ドイツに設置されているGDPRのEU規制当局に向けてです。こういう私的な団体からも「あの会社が違反しているぞ!取り締まれ!」という活動ができてしまうのも、GDPRの末恐ろしいところです。
(以下は同団体の今回の活動における発表レターです)
2.訴えられたのはだれか?
今回訴えられたのは、Facebook、Googleのほかに、Instagram, Whats AppなどのFacebook系のコミュニケーションツールの会社も含まれました。テックジャイアント2社グループの狙い撃ちです。
3.どんな違反があったのか?
正確には、まだ違反かどうかはわかりません。これから審議されます。もともとEUのデータ保護指令には罰は厳格な割に内容はあいまいな部分もなくはないです。今回はそのあたりをはっきりさせていくことになるでしょう。
要因は、Google, Facebookらのプライバシーポリシーが、ユーザーの個人情報の使用に関して「同意するか、アカウントを削除して消え去るか」の2択を迫っていて、選択の余地を無くしていることに対し、これはGDPR違反であるということでした。GDPRの制度趣旨的には、ユーザーには常に、同意の自由が確保されなければならない、という主張です。Googleらの迫る選択は、自由がなく強制的であるという主張です。
もしこの主張が支持されれば、それぞれの会社はその仕組みやポリシーを変えていかなければ、厳罰に処せられるだろうとのことです。
この主張はGoogleやFacebookなど個人データを様々なサービスから収集し、IDと紐づかせて、個人に特化したサービス(広告やレコメンド)をしている会社にとっては非常に厳しい請求ではありますが、逆にこれくらいの厳しいことを言わなければ、GoogleとFacebookほどデファクトに広がったサービスの歯止めはかけられません。(競合がまだそこまで育っていませんし)
GDPRは個人ごとにそれぞれの個人データの範囲と、利用範囲について、明確な同意を取得してエビデンスを残すことを要求しています。
それが結局のところ、今までどおり長たらしいプライバシーポリシーをさっと表示して、同意ボタンを押させるだけでOKでは、これまでと何も変わらないでしょう。
結局は大企業はポリシー同意ボタンひとつですきに、どこでも自由に使えてしまいます。
それが結局のところ、今までどおり長たらしいプライバシーポリシーをさっと表示して、同意ボタンを押させるだけでOKでは、これまでと何も変わらないでしょう。
結局は大企業はポリシー同意ボタンひとつですきに、どこでも自由に使えてしまいます。
それに対し、
今回の主張は広すぎる利用範囲に対して、Googleのサービスは利用するけど、個人情報は残して利用するな、などのオプションが有ってしかるべきだということでしょうね。
今回の主張は広すぎる利用範囲に対して、Googleのサービスは利用するけど、個人情報は残して利用するな、などのオプションが有ってしかるべきだということでしょうね。
もともとこの法律は強くなりすぎたGoogleやFacebookなどの個人データ利用を厳しく取り締まる目的も裏ではあります。(プライバシーや安全保障上の懸念、それに加えて企業としても強くなりすぎて競合が育たないことに対してもけん制)
そういう意味でも、今回の主張がどう解釈されるかは注目でしょうし、Googleらは徹底的に争うことになるでしょう。
そういう意味でも、今回の主張がどう解釈されるかは注目でしょうし、Googleらは徹底的に争うことになるでしょう。
4.違反したらどれくらいやばいのか?
非常に大規模な制裁を受ける可能性があります。GDPRの最も怖いのはこの莫大な制裁金です。
悪質な違反には、17百万ポンド(または20百万ユーロ)、違反した会社グループ全体売上の4%分まで制裁金が科すことができるとしています。
悪質な違反には、17百万ポンド(または20百万ユーロ)、違反した会社グループ全体売上の4%分まで制裁金が科すことができるとしています。
今回の主張にて違反が明らかになれば、
4社合計で88億ドルもの制裁
が科されるだろうとも指摘されています。
4社合計で88億ドルもの制裁
が科されるだろうとも指摘されています。
以下の表にも4%のペナルティと書いていますが、そういうことです。
5.企業はどんな反応を見せているか?
これは非常に怖いルールですが、
日本ではまだ8割近くが未対応であるというニュースが出ています。日本でしか商売していないから安全ということではなく、EUの人がインターネットなどでアクセスしてサービスを受ける場合や、EUのお客様やパートナー、関係会社とやり取りをする場合にも関係してきます。
海外のサービスサイトではEUからのアクセスを遮断するなどの対応を行っていたり、新しいポリシーを発行し、同意ボタンを押すことを求めるなど、進んできています。
アメリカの大手IT企業の対応を見てみると、
Twitterはターゲティング広告を外すなど詳細なコントロールが可能なポリシーに改めました。
Googleは製品サービスがEUのプライバシールールにあうようにコミットしていると説明しています。
Facebookは自社がGDPR要件にあっているかを18か月かけて、検証して確認済みだと回答しています。
しかし、どれだけ防御を固めても、GDPR自体が解釈があいまいな部分もある以上は、当分はこのような解釈を確認するような当局との争いも増えるでしょうし、少なからず、GoogleやFacebookが一ドルも払わず済むことはないでしょう。
当分、両社はEUで法律専門家や弁護士などを雇いながら、対応にリソースを割くことになりそうです。
以上
Comments
Post a Comment