仏データ保護当局がグーグルに罰金60億円超の支払い命令

フランスのデータ保護当局CNILは初のGDPRに基づく罰金となる5700万ドル（5000万ユーロ）を命じた。当局は「新規のAndroidユーザーが新たな端末のセットアップに伴ってAndroidの用意されたプロセスに従う際、Google（グーグル）が一般データ保護規則（GDPR）に違反した」としている。

もともとは、None Of Your Business（noyb）とLa Quadrature du Netという2つの非営利団体が2018年5月に苦情を申し立てていた。noybはGoogleとFacebookについて苦情を申し立てていたので、今後Facebookへの対応がどうなるか見ものだ。GDPRでは、苦情は各国のデータ保護当局に引き継がれる。

グーグルのの欧州本部はアイルランドのダブリンにあるが、CNILは当初、新規Androidユーザーのデータ処理に関しての最終決定権はダブリンの本部にはないと判断した（おそらくマウンテンビューで行われているのだろう）。それゆえに、パリで調査が続けられていた。

そしてCNILは「グーグルが透明性とユーザーの同意という点でGDPRに違反した」と結論づけた。

まず、指摘のあった透明性の欠如をみると「データ処理の目的、データ保存期間、広告のパーソナリゼーションのために使用される個人情報のカテゴリーといった必要不可欠な情報が、いくつかの書類でボタンやリンク付きでかなり広く展開されていて、補足情報にアクセスするのにクリックする必要がある」と当局は書いている。

たとえば、もしユーザーは広告をパーソナライズするために自身のデータがいかに処理されるかを知りたければ、5回か6回タップしなければならない。CNILはまた、往々にしてデータがどのように使われているのか理解するのが難しすぎると指摘する。グーグルの言葉遣いは意図的に大雑把で曖昧なのだ。

2つめに、CNILによると、グーグルの同意の流れがGDPRに沿うものではない。グーグルはデフォルトでGoogleアカウントにサインインまたはサインアップするよう促す。「Googleアカウントを持っていないと使用体験が悪くなる」とグーグルは説明する。これについて、Googleはアカウントを作る行為と、デバイスをセットアップする行為とは切り離すべきだとCNILは指摘する。同意を強要するのはGDPRでは違法となる。

もしアカウントのサインアップを選んだとして、グーグルがいくつかのセッティングでチェックマークを入れたり入れなかったりを求めるとき、同社はそれが何を意味するか説明しない。例えば、グーグルがあなたにパーソナライズされた広告が欲しいか尋ねるとき、それがYouTubeからGoogleマップ、Googleフォトに至るまで多くの異なるサービスにかかわることだということをグーグルは伝えない。これはAndroidスマートフォンに限定される話ではない。

加えてグーグルは、アカウントを作るときに具体的で明白な同意は求めない。パーソナライズされた広告をオプトアウトするための選択肢は「そのほかのオプション」リンクの裏に隠されている。このオプションはデフォルトでチェックマークが入れられている（本来そうであってはいけない）。

最後に、アカウントを作成するとき、グーグルは「私は上述されているように、またプライバシーポリシーでより詳しく説明されているように私の情報を処理することに同意します」という文言のボックスにもデフォルトでチェックマークを入れている。このようなあいまいな同意はGDPRでは禁止されている。

CNILはまた「2018年9月の調査以来何も変わっていない」とグーグルに注意喚起している。

noybの代表Max Schrems（マックス・シュレムス）氏はTechCrunchに対し、次のような声明を送ってきた。

欧州のデータ保護当局が、明らかな法律違反を罰するためにGDPRを初めて活用したことをうれしく思う。GDPR導入後、グーグルのような大企業が「法律を異なって解釈」していることに我々は気づいた。そして我々は彼らのプロダクトを表面上のみ受け入れてきた。企業に苦情を入れるだけでは十分ではないと当局が明確にしたのは重要なことだ。我々はまた、基礎的な権利を守るための我々の取り組みが実を結んでいることを嬉しく思っている。我々の活動を支えてくれた人にも感謝したい。

アップデート：グーグルの広報はTechCrunchに次のような声明を送ってきた。

高い水準の透明性とコントロールが期待されているが、我々はそうした期待とGDPRの同意要件を満たすことに十分にコミットしている。現在、次の対応を検討中だ。

［原文へ］

（翻訳：Mizoguchi）