フランスのデータ保護当局CNIL(情報処理と自由に関する国家委員会)が、Google(グーグル)に対して、GDPR(EU一般データ保護規則)違反を理由に5000万ユーロ(約62億円)の制裁金の支払いを、2019年1月21日に命じた。GDPR違反による巨額制裁金が米大手企業に課された、初めてのケースだ。
日本国内では、「欧州」対「米国」。つまり、欧州による「GAFA」(Google=グーグル、Amazon=アマゾン、FaceBook=フェイスブック、Apple=アップル)への対抗措置と捉えられがちだが、制裁金が課された背景をみると、必ずしもそうとは言い切れない。
グーグルに巨額制裁金が課された2つのワケ
個人情報保護の強化を目的とした「一般データ保護規則(GDPR:General Data Protection Regulation)」がEUで施行されたのは、2018年5月25日。GDPRは、個人データ授受の透明性確保や同意取得の原則などに違反した管理者に対して、2000万ユーロ(約26億円)以下または全世界の売上総額の4%以下のどちらか高額なほうの制裁金を課すことを規定している。
こうした巨額制裁金の規定を置いていることから、かねてからGDPRは「GAFA包囲網」との見方もあった。
しかし、CNILが制裁金を課した背景をみると、GDPRは、GAFA以外の企業に対しても個人データの取り扱いについて方向転換を迫ることになりそうだ。
グーグルに制裁金が課された理由は、主に情報提供の仕方と同意の取得方法についてだ。
第一に、グーグルはデータ主体への情報提供が十分でなく透明性が認められないと判断された。グーグルは個人データを取得する場合には、利用目的や法的根拠などの情報をデータ主体(本人)に説明する必要があるが、提供されるべき情報も5~6回のステップを踏む必要があり、データ主体への情報提供が適切になされていないと認定された。
第二に、ターゲティング広告で個人データを取得する際に、デフォルトで同意することになっており、個人データの取扱いがデータ主体の明確な同意に基づいていないと判断された。同意は個人データの利用目的ごとに個別的に取得する必要があるが、グーグルは包括的に取得していたため、個人データの取扱いがデータ主体の明確な同意に基づいていない、と判断されたのだ。
制裁はグーグルにとどまらない
CNILによれば、2017年のグーグルの全世界の総売り上げ、約960億ユーロ(約12兆円)の「4%以下」を基礎に、他の事情を考慮して5000万ユーロ(約62億円)の制裁金を算定した。グーグルの経済規模からすれば、制裁金はグーグルのビジネスに大きなダメージを与えるほどの金額ではない。
むしろ深刻なのは、グーグルの情報提供の仕方と同意の取得方法について、GDPR違反と判断されてしまった以上、グーグルやグーグルに関係する企業が個人データの取り扱いについて大きな方向転換を迫られているという点だ。
グーグルが、(グーグルにとっては少額であるずの)制裁金の決定に対して不服申し立てを起こそうとしていることも、こうした事情が背景にあると思われる。
日本では、グーグルに巨額制裁金が課されたことは、「GAFA包囲網」の一事象として注目されている。他方、CNILが2018年から複数の企業に対して透明性や同意取得についてのGDPR違反を警告していたことは、日本ではあまり知られていない。
2018年11月9日、CNILは新興アドテクノロジー企業の「Vectaury」がGDPRに違反していると警告。3か月以内に不適切に取得した個人データの削除と適正な同意取得のプロセスを構築するよう求めているが、同社が期限内にCNILの求めに応じない場合には、グーグルと同様に巨額の制裁金が課せられる可能性がある。
CNILが問題としていたのは、ここでもデータ主体からの同意取得が適切になされていないという点だ。つまり、EUではグーグルに制裁金が課される以前から、広告業界を中心に、同意取得の在り方が大きな問題になっていたことがうかがえる。
今回のグーグルに対する制裁金は、GDPRがGAFAにとどまらず、インターネット・ビジネスを展開する企業に、大きな転換を求めていることを象徴する出来事と見たほうが賢明だろう。(牧野剛)
プロフィール
牧野 剛(まきの・ごう)
東京弁護士会所属
牧野総合法律事務所弁護士法人
企業法務、なかでも知財関係事件やIT訴訟を担当。GDPRについては、規則施行直前の2018年5月に渡欧して現地の弁護士に取材するなど、力を入れている。主な著書に、「個人情報保護法相談標準ハンドブック」(日本法令共著)など。雑誌などへの執筆も行う。
東京都出身。