EU GDPR (一般データ保護規則) – Metaに対する執行事例

越境移転

はじめに

EU GDPR( EU 一般データ保護規則)の施行から5年目を迎えた2023年は、EU GDPRの執行件数およびその執行内容の多様さにおいて顕著な1年だったと国際プライバシー専門家協会(IAPP)のJones氏は、総評しています。

その中でもMetaに対するEU GDPR執行内容については、EU-US間でビジネスを行っている多数の米国の企業や組織へも影響を及す可能性がある内容であったことがうかがえます。

本ブログでは、Metaの執行事例2件よりEU GDPR違反対象となった条項及びその後のMetaが行った対策についてご紹介したいと思います。

Meta Platform Inc.に対するEU GDPR 執行事例 (概要)

昨年は、アイルランドデータ保護委員会 (DPC)がEU GDPR違反として、米国に本社を置くMeta Platform Inc.(以降、Metaと表示)に対して多額な制裁金を科したことが大変注目を集めました。さらに、7月には欧州司法裁判所 (CJEU: the Court of Justice of the European Union)がMetaが提示していた個人データ取得に対する法的根拠に対してEU GDPR違反との判決を下しました。

執行事例1:GDPR 46 (1) 違反 アイルランドデータ保護委員会 (DPC) 2023年4月
違反内容:GDPR Article 46(1) 第三国への個人データの転送の違反
判決結果:Article 58(2)(j) に従いMetaアイルランドから本国アメリカへの個人データの転送の停止を要求
制裁金:12億ユーロ

執行事例 2:GDPR Article 6 違反 欧州司法裁判所 (CJEU) 2023年7月
違反内容:GDPR Article 6 個人データ処理の法的根拠に対する違反
判決結果:広告の個人データを「契約上の履行のため」として取得するは、法的根拠としては不十分との判決。
     唯一の法的根拠は、データ主体の同意であることを明示。

執行事例 1 : 第三国への個人データの転送に対する違反

執行事例1のケースでは、個人データの転送について、アイルランドデータ保護委員会(DPC)より個人情報の保護措置が適切でないと判断されました。制裁金は、EU GDPR施行から過去最高金額として話題になりました。 Metaは、アイルランドデータ保護委員会よりEU GDPR Article 46(1) に対する違反として高額な制裁金とともに、本社のある米国への個人データの転送の停止を要求されました。Metaは、欧州委員会が定めた標準契約条項(Standard Contractual Clauses ; SCCs)に基づき、個人データをアメリカへ転送していましたが、この法的根拠ではEUの基準を満たしていないとの判断がされた判決結果となりました。

今回の判決結果により、Metaは制裁金および個人データの転送を5か月以内に停止をすることが求められたと同時に、業務プロセスをGDPRに沿ったものに改善することが命じられています。

この判決結果に対し、Meta側は、今回の判決結果はEUとアメリカ間で他の膨大な企業の活動に影響を及ぼす危険な先例となると警笛を鳴らしており、同社は控訴をすることをを発表しています。

新たなデータプライバシーフレームワーク(DPF)の適用

この判決を受け、Metaは、新たなUS-EU間のデータプライバシーフレームワーク(総称:DPF)への参加の認定を受け、今後はDPFに依拠する形でUS-EU間のFacebookユーザのデータを含めた個人データの転送を行っていくとしています。※スイスを除いた欧州経済領域(EEA)間で、2024年2月15日より適用開始。

このフレームワークにおいては、定期的に欧州司法裁判所によるレビューが行われることとなっており、今後の展開よってはMetaは再度対応を迫られることになる可能性もあります。

執行事例 2: 個人データ処理における法的根拠に対する違反

同じくMetaに関しては、昨年7月にEU圏内のユーザーの個人データをターゲットに絞った広告の目的で取得するための法的根拠「契約上の履行のため」としていたことに対して、欧州司法裁判所はGDPR違反の判決を下しました。

広告なし有料モデルの導入

この判決を受け、Metaでは昨年11月よりEU圏内のFacebookおよびInstagramユーザーに対して、「ターゲット広告を目的とした個人データの提供に同意し無料でこれらのサービスを利用する」または、「利用料を支払いサイトに広告がないバージョンのサービスを利用する」のいずれかの選択を提示した「広告なし有料モデル」の導入を開始しました。

この「広告なし有料モデル」の導入については、現在欧州消費者団体がEU消費者法に違反していると提訴しています。

まとめ

本ブログでは、2023年のEU GDPRの執行事例としてMeta の事例をご紹介しました。第三国への個人データの転送および転送先での個人データ処理の法的根拠が主な争点となる判決ですが、これらの判決結果はMetaの 広告なし有料モデルのような新しいビジネスモデルの導入などビジネスモデルそのものへの影響を与えています。

Metaのみならず多くの米国の企業や組織においても、個人データの転送についてこれまでの標準契約条項 (Standard Contractual Clauses: SCCs)に依拠するのか、新しいEU-US 間のデータプライバシーフレームワーク(DPF)に依拠するのか、また広告目的のEU圏内の個人データの取得についても企業・組織のプライバシーポリシーを含め検討・整備が求められてくる流れとなりそうです。

この記事をシェアする