Google、個人情報取り扱いに関するGDPR違反でフランス当局から約62億円の罰金
フランスのデータ保護規制当局「CNIL」が1月21日(現地時間)、米Googleに対して「GDPR(一般データ保護規則)違反」を理由に5000万ユーロ(約62億円)の罰金支払いを命じたことが明らかとなった。GDPRは、欧州連合(EU)が昨年5月25日に施行したデータ保護に関する規則で、フランスがGDPRを適用するのはこれが初めて。GDPR違反としてアメリカの大手IT企業が科せられた罰金としては過去最高額となる。
CNILでは、非営利のプライバシー保護団体/noyb および仏プライバシー保護団体/LQDNの訴えを受けて米Googleを調査。透明性と情報提供義務に対する違反、および広告のパーソナライズ処理に法的根拠を持たせる義務に対する違反の2点を理由に、米Googleに対して5000万ユーロ(約62億円)の罰金支払いを命じた。
「透明性と情報提供義務に対する違反」とされた根拠は、googleのサービス内において、データ処理の目的・保存期間・広告のパーソナライズに使用される個人データのカテゴリなど、補足情報にアクセスするための経路が過度にばらまかれており、時には5~6回のクリックアクションを要するなど透明性が低いこと。また、情報の中には必ずしも明確ではなく、包括的ではないものが含まれており、ユーザーがGoogleによって実行される処理操作の範囲を完全に理解することは困難であるとして「透明性の欠如」が指摘されている。
もう一つは、広告のパーソナライズ処理に関する「ユーザーの同意」に関するものだ。広告のパーソナライズのための処理操作に関する情報が、いくつかの文書で希薄化されており、ユーザーは処理操作に関連する複数のサービス、Webサイト、およびアプリケーション(Google検索、YouTube、Googleホーム、Googleマップ、Playstore、Googleピクチャなど)などを正確な認識できない状態にある。
また、アカウント作成時にユーザーは「Googleの利用規約に同意する」というボックスにチェックマークを付けるよう求められ、この同意に基づいてGOOGLEによって実行されるすべての処理操作の目的(広告の個人化、音声認識など)への同意を与えることになるが、同意は本来、明確化された具体的な目的にに対して与えられるべきであるとし、「具体的」でも「明白」でもないこれらの同意は、適切に取得したものではないとしている。
Google側は、「次のステップを検討している」とサービス内容を見直す考えを明らかにしており、「人々は私たちに高い水準の透明性と統制を期待しています。私たちは、GDPRのこれらの期待と同意要件を満たすことにしっかりと取り組んでいます。」と付け加えている。
「透明性と情報提供義務に対する違反」とされた根拠は、googleのサービス内において、データ処理の目的・保存期間・広告のパーソナライズに使用される個人データのカテゴリなど、補足情報にアクセスするための経路が過度にばらまかれており、時には5~6回のクリックアクションを要するなど透明性が低いこと。また、情報の中には必ずしも明確ではなく、包括的ではないものが含まれており、ユーザーがGoogleによって実行される処理操作の範囲を完全に理解することは困難であるとして「透明性の欠如」が指摘されている。
もう一つは、広告のパーソナライズ処理に関する「ユーザーの同意」に関するものだ。広告のパーソナライズのための処理操作に関する情報が、いくつかの文書で希薄化されており、ユーザーは処理操作に関連する複数のサービス、Webサイト、およびアプリケーション(Google検索、YouTube、Googleホーム、Googleマップ、Playstore、Googleピクチャなど)などを正確な認識できない状態にある。
また、アカウント作成時にユーザーは「Googleの利用規約に同意する」というボックスにチェックマークを付けるよう求められ、この同意に基づいてGOOGLEによって実行されるすべての処理操作の目的(広告の個人化、音声認識など)への同意を与えることになるが、同意は本来、明確化された具体的な目的にに対して与えられるべきであるとし、「具体的」でも「明白」でもないこれらの同意は、適切に取得したものではないとしている。
Google側は、「次のステップを検討している」とサービス内容を見直す考えを明らかにしており、「人々は私たちに高い水準の透明性と統制を期待しています。私たちは、GDPRのこれらの期待と同意要件を満たすことにしっかりと取り組んでいます。」と付け加えている。