WhatsAppに欧州のGDPR違反で約294億円の制裁金、ユーザー・非ユーザーに対する透明性の向上も命令

長らく待たれていたが、ついにFacebookは、大々的に報じられていた欧州のデータ保護体制からの批判を感じ始めている。2021年9月初旬、アイルランドのデータ保護委員会(DPC)が、WhatsAppに2億2500万ユーロ(約294億円)の制裁金を科すことを発表した。

Facebook傘下の同メッセージングアプリは、欧州連合(EU)のデータ統括者であるアイルランドのDPCによって2018年12月から調査を受けている。その数カ月前には、WhatsAppのユーザーデータ処理方法をめぐって最初の苦情が申し立てられていた。同社のユーザーデータ処理方法は、欧州の一般データ保護規則(GDPR)の適用が2018年5月に開始されている。

関連記事:GDPR施行、「同意の強制」でさっそくFacebookとGoogleに対し初の提訴

WhatsAppに関する具体的な苦情がいくつも寄せられたにもかかわらず、2021年9月初旬に決定が下されたDPCによる調査は「自発的」な調査として知られているものであった。つまり、規制当局が調査自体のパラメータを選定し、WhatsAppの「透明性」に関する義務を監査することを選択したものだ。

GDPRの重要な原則の1つは、個人のデータを処理する事業体はその個人の情報がどのように使用されるかについて、その個人に対して明確でオープンかつ正直でなければならない、ということにある。

この度のDPCの決定(266ページに及ぶ)は、WhatsAppがGDPRで要求されている基準を満たしていなかったと結論づけている。

この調査では、WhatsAppが同サービスのユーザーと非ユーザーの両方に対する透明性に関する義務を果たしているかどうかが検討された(例えばWhatsAppは、ユーザーが他人の個人情報を含む電話帳を取り込むことに同意すれば、非ユーザーの電話番号をアップロードすることができる)。また、親会社のFacebookとのデータ共有に関してプラットフォームが提供する透明性にも注目していた(2016年にプライバシーUターンが発表された当時、大きな議論を呼んだが、GDPRの適用前だった)。

要約すると、DPCはWhatsAppによる一連の透明性侵害を発見した。GDPRの第5条1項(a)号、第12条、第13条、第14条に及ぶものである。

多額の制裁金を科すことに加えて、当局はWhatsAppに対し、ユーザーと非ユーザーに提供する透明性のレベルを向上させるために多くの措置を講じるよう命じている。このテック大手には、指示されたすべての変更を行うために3カ月の期限が与えられた。

WhatsAppはDPCの決定に対する声明の中で、調査結果に異議を唱え、この制裁金を「まったく不相応」と表現するとともに、控訴する意向を示し、次のように記している。

WhatsAppは、安全でプライベートなサービスを提供することに尽力しています。当社は提供する情報の透明性と包括性の確保に努めており、今後も継続的に取り組んでいきます。当社が2018年に人々に提供した透明性に関するこの度の決定には同意できず、制裁金はまったく不相応なものです。当社はこの決定に控訴する意向です。

最終的な決定が下されたDPC調査の範囲は、WhatsAppの透明性に関する義務への考慮に限定されていたことを強調しておきたい。

規制当局は、明示的に、広範囲の苦情について調査してこなかった。それはFacebookのデータマイニング帝国に対して3年以上も前から提起されているもので、そもそもWhatsAppが人々の情報を処理していると主張する法的根拠に関するものである。

したがって、DPCはGDPR施行のペースとアプローチの両方について批判を受け続けることになるだろう。

実際、今日に至るまで、アイルランドの規制当局は「ビッグテック」に対処するための国境を越えた大規模な訴訟において、わずか1つの決定しか下していなかった。Twitterに対して行われたもので、2020年の12月に遡るが、歴史的なセキュリティ侵害をめぐりこのソーシャルネットワークに55万ドル(約6045万円)の制裁金を科したというものだった。

これとは対照的に、WhatsAppの最初のGDPR罰則はかなり大きく、EUの規制当局がGDPRのはるかに深刻な侵害だと考えていることを反映している。

透明性は規制の主要原則の1つである。そして、セキュリティ侵害はずさんな慣行を示しているかもしれない一方で、アドテック帝国が大きな利益を上げるためにそのデータに依存する人々に対する、組織的な不透明さは、むしろ意図的なものに見える。確かに、それは間違いなくビジネスモデル全体のことである。

そして、少なくとも欧州においては、そのような企業は、人々のデータを利用して何をしているのかについて最前線に立たされることになるだろう。

GDPRは機能しているだろうか?

WhatsAppの決定は、GDPRが最も重要なところで効果的に機能しているかどうかについての議論を再燃させるだろう。世界で最も強力な、そしてもちろんインターネット企業でもある各社に対して。

EUの代表的なデータ保護規制では、越境事案の決定には影響を受ける全規制当局(27の加盟国)の同意が必要である。そのためGDPRの「ワンストップショップ」メカニズムは、主規制当局を介して苦情や調査を集めることにより、越境企業の規制上の義務を合理化しようとしているが(通常は企業がEU内に主要な法的根拠を持っている場合)、今回のWhatsApp事案で起きたように、主監督当局の結論(および提案された制裁)に対して異議を申し立てることができる。

アイルランドは当初、WhatsAppに対して5000万ユーロ(約65億円)という、はるかに少額の制裁金を科すことを提案していたが、他のEU規制当局がさまざまな局面でこの決定案に異議を唱えた。その結果、欧州データ保護会議(EDPB)が最終的に介入し、多様な論争を解決するための拘束力のある決定を下さなければならなかった(EDPBはこの夏に施行された)。

DPCはその(確かにかなり痛みをともなう)共同作業を通じて、WhatsAppに科される制裁金の額を引き上げるよう求められた。Twitterの決定草案で何が起きたかを反映して、DPCは当初、より軽微な制裁金を提案していたのだった。

EUの巨大なデータ保護機関の間の紛争を解決するには、明らかな時間的コストがかかる。DPCは12月にWhatsAppの決定草案を他のDPAに提出して審査を求めていたので、WhatsAppの不可逆的ハッシュ化などに関するすべての紛争を徹底的に洗い出すのに半年以上かかっている。その決定と結論に「修正」が加えられているという事実は、たとえ共同で合意していなくても、少なくともEDPBに押し切られた合意を経て到達しているのであれば、プロセスが遅くて不安定ではあるが機能していることを示している。少なくとも技術的な意味においては。

それでも、アイルランドのデータ保護機関は、GDPRに関する苦情や調査の処理における大きな役割について批判を受け続けるだろう。DPCが、どの問題を(ケースの選択や構成によって)詳細に調査し、どの問題を完全に排除すべきか(調査を開始していない問題や、単に取り下げられたり無視されたりしている苦情)を、本質的に選り好みしていると非難する声もある。最も声高な批判者たちは、DPCが依然として、EU全体におけるデータ保護権の効果的な実施の大きなボトルネックになっていると主張している。

この批判に関連した結論は、Facebookのようなテック大手は、欧州のプライバシー規則に違反するためのかなりのフリーパスをまだ得ている、というものである。

しかし、2億2500万ユーロの制裁金がFacebookのビジネス帝国の駐車違反切符に相当するものであることは事実だとしても、そのようなアドテック大手が人々の情報を処理する方法を変更するよう命じられたことは、少なくとも問題のあるビジネスモデルを大幅に改善するポテンシャルを秘めている。

とはいえ、このような広範な命令が期待される効果をもたらしているかどうかを判断するには、やはり時間を要することになるであろう。

欧州の長年のプライバシー活動家Max Schrems(マックス・シュレムス)氏によって設立されたプライバシー擁護団体noybは、この度のDPCのWhatsAppの決定に反応した声明で次のように述べている。「アイルランドの規制当局によるこの初の決定を歓迎します。しかし、DPCには2018年以来、年間約1万件の苦情が寄せられていますが、今回が初めての大きな制裁措置です。DPCはまた、当初は5000万ユーロの制裁金を科すことを提案しており、他の欧州データ保護当局によって2億2500万ユーロへの移行を余儀なくされました。それでもFacebookグループの売上高の0.08%にすぎません。GDPRは売上高の最大4%の制裁金を想定しています。このことは、DPCが依然として極めて機能不全に陥っていることを示しています」。

シュレムス氏はさらに、同氏とnoybは、DPCの前で保留中の訴訟をいくつか抱えており、その中にはWhatsAppも含まれていることを指摘した。

さらなる発言の中で同氏らは、DPCが他のEUのDPAによって強化を余儀なくされた制裁措置を筋の通った形で擁護するのかについて、また上訴プロセスの長さについての懸念を表明した。

「WhatsAppは確かに決定を不服として控訴するでしょう。アイルランドの裁判所のシステムにおいて、これは制裁金が実際に支払われるまでに何年もかかることを意味します。私たちのケースでは、DPCは事実上の基礎固めを行うことよりも、見出しに関心があるように私たちはしばしば感じていました。DPCが実際にこの決定を守るかどうかを見るのは、非常に興味深いことです。なぜなら、DPCは基本的に欧州のカウンターパートによって今回の決定を下さざるを得なかったからです。私はDPCが単純にこの訴訟に多くのリソースを割くことをしないか、アイルランドにおいてWhatsAppと「和解」することを想像することができます。私たちは、DPCが確実にこの決定に従って進めていることを確認するために、この件を注意深く監視していきます」。

【更新】別の反応声明で、Facebook傘下のWhatsAppに対して苦情を申し立てている欧州の消費者保護団体BEUCは、この決定を「遅すぎた」と評している。

デジタルポリシーのチームリーダーであるDavid Martin(デビッド・マーティン)氏は次のように付け加えた。「今回のことは、Facebookとその子会社に対して、データ保護に関するEUの規則を破ることは重大な結果をもたらすという重要なメッセージを送っています。また、アイルランドのデータ保護当局がEUのカウンターパートによってさらに厳格なスタンスを取ることを余儀なくされたことから、欧州データ保護委員会がGDPRの施行に果たした決定的な役割も今回示されました。私たちは、消費者当局がこの決定に留意し、BEUCがWhatsAppに対して起こしている、規約やプライバシーポリシーの最近の変更を受け入れるよう同社がユーザーに不当な圧力をかけたことに関する別の苦情について、速やかな対応がなされることを願っています」。

関連記事:フェイスブックのEU米国間データ転送問題の決着が近い

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)