Metaに過去最高の罰金1800億円が科される、Facebookからの個人データ転送で

GIGAZINE



Metaが、EUのFacebookユーザーのデータをアメリカのサーバーに転送したことが「EU一般データ保護規則(GDPR)」に違反しているとして、この種の罰金としては過去最高額となる12億ユーロ(約1800億円)をEU当局に科されました。Metaはこれを不服として、控訴する考えを示しています。

1.2 billion euro fine for Facebook as a result of EDPB binding decision | European Data Protection Board
https://edpb.europa.eu/news/news/2023/12-billion-euro-fine-facebook-result-edpb-binding-decision_en

Our Response to the Decision on Facebook’s EU-US Data Transfers | Meta
https://about.fb.com/news/2023/05/our-response-to-the-decision-on-facebooks-eu-us-data-transfers/

noyb win: € 1.2 billion fine against Meta over EU-US data transfers
https://noyb.eu/en/edpb-decision-facebooks-eu-us-data-transfers-stop-transfers-fine-and-repatriation

Meta hit with record-breaking $1.3 billion fine over Facebook data transfers to the US – The Verge
https://www.theverge.com/2023/5/22/23732461/meta-eu-privacy-fine-us-data-transfers-1-3-billion

欧州データ保護委員会(EDPB)は2023年5月22日に、Metaに12億ユーロの罰金を科したことを発表しました。これは、Amazonに対して2021年に科された罰金の7億4600万ユーロ(約1110億円)を大きく上回っており、EDPBが決定した罰金としては過去最高です。


今回の裁定で問題視されているのが、FacebookがEUのユーザーデータをアメリカに転送したことです。従来、こうしたデータ転送はアメリカとEUの間のデータ取り扱いに関する枠組みである「プライバシーシールド」によって保護されていました。

しかし、アメリカの捜査当局が国内の企業のデータを監視していることが元CIA局員のエドワード・スノーデン氏により暴露された2013年の事件を契機に、EU市民のデータ保護が不十分であるとの疑念が増大し、プライバシーシールドは2020年に無効化されました。

Facebookのプライバシー侵害をめぐり長年にわたって法廷で争ってきたオーストリアの弁護士のマックス・シュレムス氏は、今回の決定を受けた声明の中で「10年にわたる訴訟の末にこのような判決が出たことをうれしく思います。罰金の上限が40億ユーロ(約6000億円)以上であること、Metaが10年もの間利益のために故意に法律を破ってきたことを考えると、罰金はもっと高くてもおかしくなかったと思います」とコメントしました。


EUからアメリカに個人データを転送する法的根拠を失ったMetaは、今回の決定で罰金ともにデータ転送の停止を命じられています。しかし、IT系ニュースサイトのThe Vergeは、EU当局の決定にはMetaにとって有利な点が大きく分けて3つあると指摘しています。

第1に、今回の決定はFacebookにのみ適用されるもので、InstagramやWhatsAppといったMetaの他のサービスは対象外となっています。第2に、Metaがデータの転送を停止するまでには5カ月の猶予があり、アメリカでのデータ保有の停止にも6カ月の猶予があります。最後に、最も重要な点として、新しいデータ転送協定に関する協議がアメリカとEUの間で進行中であり、早ければ2023年の夏ごろ、遅くとも10月には締結されるとの見通しです。

また、罰金の金額も過去最高額であるとはいえ、シュレムス氏が言及したようにMetaにとってはそれほど大きな金額ではないとの指摘もあります。非営利団体のアイルランド自由人権協会のジョニー・ライアン氏は、イギリスのニュースメディア・The Guardianに対して「違法行為で何十億ユーロも稼いでいる企業にとって、10億ユーロ程度の罰金は何の意味もありません」とコメントしました。


今回の判決ではまた、EU当局の間での足並みの乱れも見られました。Metaのアイルランド子会社・Meta Platforms Ireland Limitedを管轄するアイルランドのデータ保護委員会(DPC)は2022年7月の決定で、Facebookのデータ転送は差し止める必要があるとしたものの、Metaへの罰金に関しては消極的でした。しかし、EUの他の規制当局による反発を受けて決定をEDPBに付託したため、今回EDPBがデータ転送停止と過去最高額の罰金を決定しました。

アメリカ企業に対する態度に温度差があるのは、MetaやGoogle、Appleなど多くの大手IT企業がEU本社や支社をアイルランドに置いていることが背景にあるとされています。2021年にも、WhatsAppに対するDPCの罰金額が、他のEU当局の圧力で4倍に増額される一幕がありました。

Facebook傘下のWhatsAppに罰金290億円の判決、EUの圧力で罰金額は4倍超に跳ね上がる – GIGAZINE


Metaの国際問題担当プレジデントであるニック・グレッグ氏と、最高法務責任者のジェニファー・ニューステッド氏は声明の中で、Metaは同様の枠組みを利用してデータを転送している数千の企業のうちの1社に過ぎないことを強調した上で、「決定は欠陥がある不当なものであり、EUとアメリカの間でデータを転送する無数の企業にとって危険な先例となります」と述べて、罰金とデータ転送停止の判決の両方に対して控訴することを表明しました。

また、EUとアメリカの間のデータ転送に関する新しいフレームワークについても、「根底にある法の対立を解決するための政治的合意がすでに存在しています」として、実現に自信をのぞかせています。

一方シュレムス氏は「Metaは今後、新しい協定を頼みの綱にするつもりですが、永久には頼れません。私の見解では、新しい協定がEUの裁判所によって破棄されない可能性は10%程度しかありません。アメリカの監視法が是正されない限り、MetaはEUのデータをEU内に保持することを余儀なくされるでしょう」と述べて、新協定もセーフハーバー協定やプライバシーシールドと同じ運命をたどることになるとの見方を示しました。

この記事のタイトルとURLをコピーする

Source