Facebook の GDPR 違反と $1.3 B の罰金：米国へのデータ転送により最高額に！

EU Regulators Hit Meta with Record $1.3 Billion Fine for Data Transfer Violations

2023/05/22 TheHackerNews — Facebook の親会社である Meta は、European Union のデータ保護規制当局から、同地域のユーザーの個人データを米国に転送したとして、過去最高となる $1.3 billion の罰金を科された。EDPB (European Data Protection Board) の拘束力のある決定により、Meta はデータ転送の方式を GDPR に準拠させ、違法に保存／処理されたデータを、６ヶ月以内に削除するよう命じられた。

さらに Meta は、将来的に Facebook ユーザー・データの、米国への転送を５ヶ月の猶予内に停止するように命じられたが、同じく同社が所有する Instagram／WhatsApp は命令の対象ではないという。

EDPB の Andrea Jelinek 委員長は、「Meta IE の侵害は、組織的／反復的／継続的な転送に関するものであるため、EDPB は極めて深刻であると判断した。Facebook は、ヨーロッパに数百万人のユーザーを抱えているため、個人データの転送量は膨大なものになる。この、前例のない罰金は、深刻な侵害が重大な結果をもたらすことを、あたゆる組織に強く伝えるものである」と述べている。

それぞれの欧州データ保護当局は、米国には GDPR と同等のプライバシー保護がないことを繰り返し強調しており、米国のサーバに送られたことを理由に、米国の諜報機関が欧州人のデータにアクセスできる可能性を指摘している。

この判決は、約10年前の 2013年6月に、NOYB の創設者であるオーストリアのプライバシー活動家 Maximilian Schrems が、EU のユーザー・データが大西洋を越えて転送された場合に、米国の諜報機関に対する保護が不十分になると懸念し、提出した法的訴状に由来する。

Schrems は、「最もシンプルな解決策は、米国の監視法に合理的な制限を設けることだ。監視には正当な理由と、司法による承認が必要であることは、大西洋の両側で理解されている。米国のクラウド・プロバイダーを利用する EU の顧客にも、こうした基本的な保護を与えるべき時が来たのだろう。Amazon／Google／Microsoft などの大手米国クラウドプロバイダーも、EU 法の下で同様の決定を受ける可能性がある」と述べている。

さらに彼は、「今後において Meta は、転送について新たな協定を進める予定だと思われるが、それは永久的な解決策にならないだろう。私の見解では、CJEU (Court of Justice of the European Union) が、その新協定を棄却しない可能性は、おそらく 10％ 程度だと思う。米国の監視法が修正されない限り、おそらく Meta は、EU のデータを、EU 内に保持しなければならないだろう」と付け加えている。

Schrems は、アイルランドの DPC (Data Protection Commission) が、この裁判の進行を阻止しようとしたこと、そして、Meta が科される罰金や、米国に転送されたデータの削除について、同社を保護しようとしたとして非難している。なお、後者の２件は、EDPB により覆された。

これに対して Meta は、罰金は不当かつ不必要であり、米国政府のデータ・アクセスに関する規則と、欧州のプライバシー権との間には法の根本的な対立があるとし、控訴する意向を示した。

Meta の Nick Clegg と Jennifer Newstead は、「国境を越えてデータを転送する能力がなければ、インターネットは国や地域のサイロに切り分けられる。その結果として、他国の共有サービスに頼ってきた市民のアクセスが失われ、世界経済は制限されていくだろう」と述べている。

Wall Street Journal によると、プライバシー・シールドに代わるものとして、大西洋をまたぐ新たなデータ移転協定が、今年の後半に締結される見込みのようだ。

今回の罰金は、EU の個人情報保護法である GDPR の下で科された、これまでで最大のものである。同様のプライバシー侵害で、2021年7月に Amazon に科された €746 million (当時のレートで $886.6) を凌駕する。

また、今年に入ってからの DPC は、これで３件目の罰金を科したことになる。2023年1月には、広告を配信するためにユーザー情報を不正に扱ったとして、同監視局は Facebook と Instagram に対して、€390 million の罰金を課した。

その２週間後には、”サービス向上とセキュリティのために個人情報を処理することに同意する “ことをユーザーに強制し、”ユーザーが最新の利用規約を受け入れることをサービスの利用条件とする “ことでデータ保護法に違反したとして550万ユーロの罰金を課されました。

また、その２週間後に同社は、データ保護法違反したとして €5.5 million の罰金を科された。具体的には、サービス向上とセキュリティのための個人データの処理について、同意をユーザーに強制したこと、また、新たな規約への同意を条件としたことが、違反と判断されたようだ。

文字どおり、ケタ違いの罰金を科された Metaですが、文中の「国境を越えてデータを転送する能力がなければ、インターネットは国や地域のサイロに切り分けられる」という主張には、なんとなく耳を傾けたくなります。また、Wall Street Journal の報道である、「プライバシー・シールドに代わるものとして、大西洋をまたぐ新たなデータ移転協定が、今年の後半に締結される見込み」という点も気になります。

2023/01/20：WhatsApp が GDPR 違反：Meta に €5.5m の罰金
2023/01/04：Facebook／Instagram に €390M の罰金：GDPR 違反
2022/12/22：Microsoft に $64m の罰金：Bing の Cookie が GDPR 違反
2022/11/28：Facebook 対 GDPR：データ・スクレイピングへの圧力
2021/07/30：Amazon に科された GDPR 罰金 970億円の意味と反論