Google Analytics の利用は GDPR 違反：スウェーデン企業に $1M の罰金

Google Analytics data transfer to U.S. brings $1 million fine to Swedish firms

2023/07/04 BleepingComputer — スウェーデンの個人情報保護局 (IMY：Integritetsskyddsmyndigheten) は、Google Analytics を使用した国内の２社に対して、12.3 million SEK (€1 million／$1.1 million) の罰金を科し、他の２社の同様の行為について警告を行った。同機関は、7月3日に発表された通知の中で、Web 統計を作成するために Google Analytics を使用していた、それらの企業が欧州連合の一般データ保護規則 (GDPR) に違反していたとしている。

罰金を科された２社は、GDPR 第46条 (1) に違反していたとされている。GDPR 第46条 (1) は、安全性を保証するセーフガードと法的救済メカニズムを欠く国々や国際機関への、個人データの移転を禁じているものだ。

2020年7月に、欧州連合司法裁判所 (CJEU：Court of Justice of the European Union) は、当時存在したメカニズムである “Privacy Shield” の文脈において、米国へのデータ移転は全て違法であるとの判決を下した。この “Schrems II” と呼ばれる判決により、欧州ユーザーのデータ保管先として、米国は危険な場所とみなされてきた。

今回の罰金の対象となった違反は、アイルランドのデータ保護委員会 (DPC：Data Protection Commission) が、Meta に $1.3 billion の罰金を科したケースと同様のものだ。この時も、EU ベースのユーザー・データを、米国内のサーバーに転送したとして、GDPR 違反だという判断がくだされていた。

IMY は、オーストリアのデジタル著作権団体である NOYB (None of Your Business) から苦情の提出を受け、Google Analytics が米国に送信するデータの種類を特定するための監査を実施し、それが個人情報にあたると結論づけた。

この監査は、Google Analytics の 2020年8月14日以降のバージョンに対して行われた。

IMY は、「我々は、Google の統計ツールを介して米国に転送されるデータは、転送される他の固有データとリンクさせることができるため、個人情報であると見なしている。また、当局は、各社が講じた技術的なセキュリティ対策は、EU／EEA 域内で保証される保護水準と、本質的に同等のレベルを確保するには、不十分であると結論付けている」と述べている。

処分を受けたのは以下の４社だ：

Tele2 SA (tele2.se) – 12,000,000 SEK の行政罰金
CDON AB (cdon.fi) – GDPR 遵守の要請と罰金 300,000 SEK
Coop SA (coop.se) – GDPR 遵守の要請
Dagens Industri (di.se) – GDPR 遵守の要請

スウェーデンの電気通信／インターネットサービス・プロバイダーである Tele2 SA は、最近になって Google Analytics の使用停止を独自に決定した。その他の３社は、2023年6月30日に発表された IMY の決定から１ヶ月以内に、Google Analytics の使用を停止し、適切なデータ保護対策を実施するよう命じられた。

Google Analytics の使用は、オーストリア／フランス／イタリアのデータ保護当局により、過去にも GDPR 非準拠と判断されている。しかし、違反者に罰金を科すという IMY の決定は、この種のものとしては初めてのことである。

これらの決定は、業界全体に対するガイダンスにもなり、Google Analytics を使用している他の企業は、EU の規則や規制に準拠するために、戦略の調整を実施するかもしれない。

GDPR 関連の記事としては、2023/05/22 の「Facebook の GDPR 違反と $1.3 B の罰金：米国へのデータ転送により最高額に！」などがありますが、EU 圏内のローカルな企業が、罰金を課せられるとうのは、初めてのケースなのかもしれません。また、以下のリストをみると、Google に関連するものも、初めてかもしれません。

2023/01/20：WhatsApp が GDPR 違反：Meta に €5.5m の罰金
2023/01/04：Facebook／Instagram に €390M の罰金：GDPR 違反
2022/12/22：Microsoft に $64m の罰金：Bing の Cookie が GDPR 違反
2022/11/28：Facebook 対 GDPR：データ・スクレイピングへの圧力
2021/07/30：Amazon に科された GDPR 罰金 970億円の意味と反論

よろしければ、2023/05/22 の「GDPR は消費者の信頼を低下させた：IT リーダーの 66% が回答 – Macro 4 調査」も、ご参照ください。

M	T	W	T	F	S	S
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

Share this: