「パーソナライズド広告」の違反認定

［ロンドン発］フランスのデータ保護機関（CNIL）は21日、米グーグルが欧州連合（EU）の一般データ保護規則（GDPR）に違反していたとして5000万ユーロ（約62億3000万円）の制裁金を課しました。

ユーザーの個人データを処理、ニーズを予測して「パーソナライズド広告」を表示する仕組みが法的根拠を欠いていると認定しました。これだけ巨額の制裁金が課されたのは初めてで、グーグルはEU域内での戦略転換を迫られそうです。

米中貿易戦争と並行してグーグル、アップル、フェイスブック（FB）、アマゾン（頭文字を取って「GAFA」）とEUのデータ戦争の火ぶたが切って落とされました。

GDPRが施行された昨年5月、個人情報保護活動家でオーストリアの弁護士マクシミリアン・シュレムス氏率いる非営利団体「私のプライバシーはお前には関係ない（noyb.eu）」とフランスの団体LQDNが申し立てを行っていました。ユーザー1万人がLQDNに手続きを委任しています。

グーグルの基本ソフト（OS）「アンドロイド」の入ったスマートフォン(多機能携帯電話)を初期設定する手続きなどが調査対象になりました。認定された違反は次の2つです。

（1）透明性と情報提供義務の違反

グーグルから提供された情報にユーザーが簡単にアクセスすることができなかった。

（2）法的な根拠なしに「パーソナライズド広告」の処理を行った

グーグルは「パーソナライズド広告の処理のためユーザーのコンセント（同意）を得た」と主張しているが、ユーザーに対して十分な情報提供が行われていなかった。同意は特定されておらず、明確でもなかった。

シュレムス氏は「EUのデータ保護当局がGDPR違反を認定して巨額の制裁金を課したことは非常に大きな意義がある。グーグルなどの大企業はGDPRを異なるかたちで解釈しており、しばしば表面的に対応しているだけに過ぎない」と指摘しています。

さらに「データ保護当局が、申し立てに対応するだけでは十分ではないことを明確にするのは重要だ。基本権を保護する我々の努力が実を結んだことを喜んでいる。我々の活動を可能にしてくれたサポーターに感謝する」と話しています。

シュレムス氏は18日、世界大手のストリーミングサービス、アップル、アマゾン、ユーチューブ、ネットフリックスなど8社がGDPRに違反しているとしてオーストリアのデータ保護機関に申し立てたばかりです。

違反が認定されれば最大で2000万ユーロ（約24億9000万円）か、世界での年間売上高の4%という巨額の制裁金が課されます。シュレムス氏によると、8社で計最大約188億ユーロ（約2兆3400億円）の制裁金が課されるそうです。

シュレムス氏とnoyb.euがユーザー10人の依頼を受けて調査を行った結果、構造的な違反を確認しました。

個人データの域外持ち出しを原則禁止するGDPRは昨年5月に施行され、その当日、シュレムス氏は「サービスを享受するか、それとも退会するか、と脅して個人データの提供を強制した」としてグーグル、FB、ワッツアップ、インスタグラムの4社を提訴しました。

制裁金は最大でFBが16億ドル、グーグルの持ち株会社アルファベットが44億ドルにのぼる恐れがあります。

調査した8社とも不合格

ストリーミングサービスはユーザーの好みに合わせて作品や広告を表示するためユーザーの個人データを利用しています。シュレムス氏が調査したのは以下の8社です。

（1）アップル・ミュージック（アイルランド）制裁金は最大80億2000万ユーロ

（2）アマゾンプライム（米国）同63億1000万ユーロ

（3）ユーチューブ（米国）同38億7000万ユーロ

（4）ネットフリックス（オランダ）同4億1500万ユーロ

（5）スポティファイ（音楽ストリーミングサービス、スウェーデン）同1億6300万ユーロ

（6）サウンドクラウド（音声ファイル共有サービス、ドイツ）同2000万ユーロ

（7）DAZN（スポーツ・チャンネル、英国）同2000万ユーロ

（8）Flimmit（ビデオ・オン・デマンド、オーストリア）制裁金は要求せず

リクエストに対応したのは8社中6社で、サウンドクラウドとDAZNの2社はリクエストを全く無視しました。

対応した6社も加工されていない生データ（Raw Data）やユーザーにわかりやすい（Intelligible、暗号化されていない）形で提供されていたかという点ではほぼ合格でしたが、データに関するバックグラウンド情報という点ではとても満足できる状況ではありませんでした。

情報へのアクセス権

シュレムス氏は「多くのサービスは自動的にユーザーからのリクエストに答えるシステムを導入しているが、ユーザーがアクセスする権利を有するデータをすべて提供しているわけではない」と指摘。

「ほとんどのケースでユーザーがアクセスできたのは生データだけ。誰がこのデータを共有しているかや、データの出所、保存期間に関するバックグラウンド情報はなかった。情報へのアクセス権（Right to Access）を保障したGDPRの15条やEU基本権憲章の8条2項に違反している」

米英情報機関の市民監視を暴露したスノーデン事件で米テクノロジー企業の関与が浮かび、データ保護を強化するGDPRの大きなきっかけになりました。GDPRに基づく訴訟が多発する恐れが強いため、EU加盟国のアイルランドに拠点を置く米テクノロジー企業はデータの一部をEU域外に移転させています。

1200ページ分の個人データ

法学部の学生だったシュレムス氏は8年前、米シリコンバレーのサンタクララ大学で講演したFBの弁護士が欧州におけるデータ保護の厳格さを知らなすぎることに驚き、FBに対して自分の個人データの提示を求めました。

送られてきたCDに1200ページもの自分の個人データが記録されているのを知って、ビックリ仰天してしまいました。

スノーデン事件を巡って、シュレムス氏はFBのアイルランド法人と同国のデータ保護委員長を相手に提訴し、米国へのデータ移転を認める米国・EU間の合意を無効とする司法判断を勝ち取ったことで有名です。

EU域内には「GAFA」に匹敵するテクノロジー企業は見当たりません。

EU欧州委員会は16年8月、アイルランドがアップルに違法な税の優遇措置を与えていたとして130億ユーロの追徴課税を行うよう命じました。

17年6月に「検索エンジンの独占的地位を乱用した」とグーグルに史上最高の24億2000万ユーロ（約3000億円）の制裁金を科し、同年10月にはルクセンブルクに対し、アマゾンへの2億5000万ユーロ（約310億円）の追徴課税を命じています。

プライバシーを基本権として保護する欧州と、テクノロジーの発展とビジネス展開を最優先にする米シリコンバレーの間には埋めがたい溝が横たわっています。

（おわり）