TikTokに新たな心配のタネができた。TechCrunchは、欧州の監視当局が今流行のソーシャルアプリの調査を開始したことを確認した。欧州の監視当局は2019年にGoogle(グーグル)に対して5700万ドル(約61億円)の罰金を課すなど、これまでテック大企業に最大の打撃を与えている。
フランスのデータ保護監督当局であるCNILの広報担当はTechCrunchに対して、ビデオの削除依頼に関連する苦情を受け、TikTokが2020年5月にユーザーデータをどのように扱ったのか調査を開始したと述べた。ビデオ共有プラットフォームTikTokの調査は最初にPolitico(ポリティコ)が報じた。
EUのデータ保護フレームワーク下では、データ処理に同意した市民は引き続き情報のコピーや削除を依頼したり、ポータブルなフォームでデータを求めることもできるなど、様々な権利を有する。
EUのGDPR(General Data Protection Regulation、一般データ保護規則)での追加の必須要件として、フレームワークに対応する責任を明確にする透明性の確保が義務づけられている。つまり、データを扱う企業はデータ処理の目的について情報を明らかにするなどデータ主体を示す必要があることを意味する。
ここにはデータ処理にかかる法的に有効な同意を得ることも含まれる。
CNILの広報担当は、苦情をきっかけに始まったTikTokの調査は、ユーザーのデータアクセス権利、EU外へのユーザーデータの転送、未成年のデータが十分に保護されることを確かなものにするために同プラットフォームが取っている措置など、ユーザーデータをいかに処理しているのか透明性が求められる要件に関するさまざまな問題へと広がったと述べた。未成年のデータに関しては、TikTokがティーンエイジャーに人気であることを考えれば重要な問題だ。
フランスのデータ保護法では、15才以上にTikTokのようなソーシャルサービスに自らのデータの処理について同意させている(15才以下は親の同意となる)。
元々の苦情に関してCNILの広報担当は、苦情を申し立てた人物が「GDPRに基づいてTikTokに対し権利を行使するよう招待された。人物は以前にそうした権利を行使したことはない」と説明した(Google Translate経由)。
TechCrunchはCNILの調査についてTikTokにコメントを求めている。
疑問もある。フランスの監視当局がTikTok調査に関して結論をみることができるのかどうか、はっきりしない。
CNILの広報担当は電子メールで、TikTokがアイルランドのData Protection Commission(DPC、データ保護委員会)を欧州における主要当局と選定することを模索していると説明した(関連:先週TikTokは欧州に初のデータセンターを設置する計画を発表したが、設置場所はアイルランドだ。このデータセンターがゆくゆくは全EUユーザーのデータを保管する)。
もしTikTokが法的条件を満たせば、GDPRの調査をDPCに移すことができるかもしれない。複雑なクロスボーダーGDPR案件を調べるのは、恐ろしく時間がかかることで知られている。
「(TikTokの)調査は最終的にアイルランドの保護当局が責任を負うことになるかもしれない。他の欧州のデータ保護当局の協力を得ながらこのケースに対応する必要があるだろう」と広報担当は述べた。そしてクリアすべき立証基準があることも強調した。
「アイルランド当局単独の管轄になるために、TikTokはアイルランド拠点がGDPRでの解釈内で『主要な拠点』の状態であることを証明しなければならない」。
欧州のGDPRフレームワークでは、各国のデータ保護当局は企業にグローバル年間売上高の最大4%の罰金を課すことができ、また侵害的なデータ処理の停止を命じることもできる。しかしそうするにはまず調査して、決定を下すプロセスを経る必要がある。複数の国の監視当局が関心を寄せるクロスボーダー案件の場合は、決定に関して意見の一致を確かめるために他の国当局と連絡をとる必要がある。
画像クレジット:Chesnot / Getty Images