フランスのデータ保護当局CNILは初のGDPRに基づく罰金となる5700万ドル(5000万ユーロ)を命じた。当局は、新規のAndroidユーザーが新たな端末のセットアップに伴ってAndroidの用意されたプロセスに従う際、Googleが一般データ保護規則(GDPR)に違反した、としている。
元々は、‘None Of Your Business’ (noyb) とLa Quadrature du Netという2つの非営利団体が2018年5月に苦情を申し立てていた。noybはGoogleとFacebookについて苦情を申し立てていたので、今後Facebookへの対応がどうなるか見ものだ。GDPRでは、苦情は各国のデータ保護当局に引き継がれる。
Googleの欧州本部はダブリンにあるが、CNILは当初、新規Androidユーザーのデータ処理に関しての最終決定権はダブリンの本部にはないと判断した(おそらくマウンテンビューで行われているのだろう)。それゆえに、パリで調査が続けられていた。
そしてCNILは、Googleが透明性とユーザーの同意という点でGDPRに違反した、と結論づけた。
まず、指摘のあった透明性の欠如をみると「データ処理の目的、データ保存期間、広告のパーソナリゼーションのために使用される個人情報のカテゴリーといった必要不可欠な情報が、いくつかの書類でボタンやリンク付きでかなり広く展開されていて、補足情報にアクセスするのにクリックする必要がある」と当局は書いている。
たとえば、もしユーザーは広告をパーソナライズするために自身のデータがいかに処理されるかを知りたければ、5回か6回タップしなければならない。CNILはまた、往々にしてデータがどのように使われているのか理解するのが難しすぎると指摘する。Googleの言葉遣いは意図的に大雑把で曖昧なのだ。
2つめに、CNILによると、Googleの同意の流れがGDPRに沿うものではない。GoogleはデフォルトでGoogleアカウントにサインインまたはサインアップするよう促す。Googleアカウントを持っていないと使用体験が悪くなる、とGoogleはいう。これについて、Googleはアカウントを作る行為と、デバイスをセットアップする行為とは切り離すべきだとCNILは指摘する。同意を強要するのはGDPRでは違法となる。
もしアカウントのサインアップを選んだとして、Googleがいくつかのセッティングでチェックマークを入れたり入れなかったりを求めるとき、Googleはそれが何を意味するか説明しない。たとえば、Googleがあなたにパーソナライズされた広告が欲しいか尋ねるとき、それがYouTubeからGoogleマップ、Googleフォトに至るまで多くの異なるサービスにかかわることだということをGoogleは伝えない。これはAndroidスマホに限定される話ではない。
加えて、Googleはアカウントを作るときに具体的で明白な同意は求めない。パーソナライズされた広告をオプトアウトするための選択肢は“そのほかのオプション”リンクの裏に隠されている。このオプションはデフォルトでチェックマークが入れられている(本来そうであってはいけない)。
最後に、アカウントを作成するとき、Googleは「私は上述されているように、またプライバシーポリシーでより詳しく説明されているように私の情報を処理することに同意します」という文言のボックスにもデフォルトでチェックマークを入れている。このようなあいまいな同意はGDPRでは禁止されている。
CNILはまた、2018年9月の調査以来何も変わっていない、とGoogleに注意喚起している。
noybの代表Max SchremsはTechCrunchに対し、次のような声明を送ってきた。
欧州のデータ保護当局が、明らかな法律違反を罰するためにGDPRを初めて活用したことを嬉しく思う。GDPR導入後、Googleのような大企業が“法律を異なって解釈”していることに我々は気づいた。そして我々は彼らのプロダクトを表面上のみ受け入れてきた。企業に苦情を入れるだけでは十分ではないと当局が明確にしたのは重要なことだ。我々はまた、基礎的な権利を守るための我々の取り組みが実を結んでいることを嬉しく思っている。我々の活動を支えてくれた人にも感謝したい。
アップデート:Googleの広報はTechCrunchに次のような声明を送ってきた。
高い水準の透明性とコントロールが期待されているが、我々はそうした期待とGDPRの同意要件を満たすことに十分にコミットしている。現在、次の対応を検討中だ。
(原文へ 翻訳:Mizoguchi)