WhatsApp が GDPR 違反：Meta に €5.5m の罰金を科した EU 委員会内に摩擦

WhatsApp Hit with €5.5m fine for GDPR Violations

2023/01/20 InfoSecurity — アイルランドのデータ保護委員会 (DPC : Data Protection Commission) が WhatsApp に対して、GDPR 違反があったとして €5.5m ($5.9m) の罰金を科した。また、この罰金に加えて、WhatsApp Ireland は 6ヶ月以内に、データ処理業務をコンプライアンスに適合させるよう指示された。この WhatsApp の責任範囲に関する訴訟については、欧州のデータ保護当局の間に、大きな意見の相違があることを示すものだ。

今回の罰則は、EU の GDPR が発効した 2018年5月25日において、WhatsApp の利用規約が更新されたことに関連するものだ。具体的に言うと、GDPR の新規制を導入した後も WhatsApp サービスへのアクセスを継続する、既存ユーザーおよび新規ユーザーは [同意して継続] をクリックし、更新された利用規約に同意したことを示す必要があることが通知された。

WhatsApp Ireland は、新しい利用規約への同意は契約を構成し、サービスの提供に伴うユーザー・データの処理は、その契約の履行に必要であると判断した。その中に含まれる、サービスの改善やセキュリティ機能の提供は、GDPR 第6条1項(b) により合法とみなされる運用である。

しかし、更新された利用規約の受け入れをサービスの利用条件とする WhatsApp は、ユーザーに対してデータ処理への同意を強制したと、プライバシー保護運動家の Max Schrems は主張した。

そして、調査の結果として アイルランドの DPC は、「WhatsApp の主張は、ユーザーの個人データに対して行われる処理作業について、その方式を明確にしていないため、GDPR の透明性義務に違反している」と結論づけた。

ただし、WhatsApp が同じ時期に犯した義務違反と透明性違反に対して、極めて高額な €225m ($266m) という罰金が科されているため、ペナルティは提案されなかった。

DPC は、Max Schrems からの苦情である「強制的な同意」という側面は認めず、WhatsApp Ireland は、個人データの処理に関する合法的根拠として、ユーザーの同意に依拠する必要はないと判断した。

その上で、新しい利用規約を受け入れることが契約であるという、WhatsApp の主張に依拠することは排除しないと、GDPR は結論付けた。つまり、WhatsApp が示した前提条件は、セキュリティを含むサービスの提供であると考えたからだ。

しかし、アイルランドの DPC が、GDPR の規定に従って決定書案を提出した 47 の関係監督機関 (CSA : Concerned Supervisory Authorities) のうちの６つの機関が、この判断の側面に同意しなかった。

この合意が得られなかったことで、DPC は紛争事項を欧州データ保護委員会 (EDPB : European Data Protection Board) に照会したが、法的根拠としての契約の問題において、EDPB と DPC の意見は一致しなかった。それにより、WhatsApp に €5.5m の行政罰が科されることになった。

DPC は声明の中で、WhatsApp Ireland のデータ処理実務について、EDPB が特別カテゴリーの個人データを含む再監査を行うよう、別途指示したことに異議を唱えたと述べている。

DPC は、「この指示は EDPB の権限外である。当局に対して、無制限かつ推測的な調査に従事するよう、EDPB が指示することはできない」と主張している。そして、EDPB の指示の無効化を求めて、欧州連合司法裁判所に提訴する可能性を示唆した。

今回の判決は、WhatsApp の親会社である Meta に対して科された、アイルランド DPC による一連の重い罰金の中で、最新のものである。2022年9月には Instagram の児童データの取り扱いに関して、€405m ($402.2m) の罰金が科されている。また、2021年4月に流出した、Facebook ユーザー 5億3300万人の個人情報を保護できなかったことに対してだが、€265m ($275m) の罰金が科されている。

2023年1月に、Facebook／Instagram がユーザーの個人情報を処理する際に依拠した、法的根拠の選択に関して科された €390m ($413m) の罰金に対して、Meta は控訴すると発表している。

WhatsApp の GDPR 違反とのことですが、この記事を読むと、規制委員会内にも様々な見解があり、摩擦や軋轢が生じている状況が分かります。アイルランドの DPC は、Meta 全体として膨大な違反金を払っているのだから、今回は罰金は不要と考えているようですが、欧州データ保護委員会 (EDPB) は €5.5m の罰金を主張しています。以下は、Statista の Big Tech, Big Fines というコンテンツですが、たしかに、今回の件は小さいと感じてしまいます。