アイルランドのデータ保護委員会(DPC)は1月4日、メタ・プラットフォームズのアイルランド法人が運営するフェイスブック及びインスタグラムに対し、EU一般データ保護規則(GDPR)違反と判断。フェイスブックに関し2億1,000万ユーロ、インスタグラムに関し1億8,000万ユーロ、合計3億9,000万ユーロ(約550億円)の罰金を科す最終決定を発表した。同時に、3ヶ月以内に違法措置を是正するよう命じた。
今回の苦情は、GDPRが施行された2018年5月25日に、フェイスブックに関してはオーストリアから、インスタグラムに関してはベルギーから出されていた。同事案では、双方のサービスの利用で、パーソナライズされたサービスや行動ターゲティング広告のためのユーザーの個人データの処理に関するユーザーの同意を実質的に強要しているか否かが争点だった。
GDPRでは、個人データの取扱に際し、「ユーザーの同意」「契約の履行」「法的義務の遵守」「生命利益の保護」「公的な職務遂行」「正当な利益」の6つのいずれかが必要との法的根拠規定を設けている。また、商慣習で一般的な「ユーザーの同意」に関しては、「強制を受けない」「特定の」「情報提供を受けたうえでの」「曖昧でない」の4つの要件を課しており、サービス利用の前提としての同意を強要することを禁止している。
そのため、フェイスブックやインスタグラム等の主要サービスでは、GDPRの施行後、「ユーザーの同意」ではなく、利用規約という「契約」の履行を法的根拠に、データの扱いを合法とする姿勢をとっている。今回のフェイスブックとインスタグラムは、パーソナライズされたサービスや行動ターゲティング広告の提供は、利用規約に盛り込まれた契約の一部であり、契約履行のためには必要という理論武装をしていた。
DPCは、苦情の申立者からの訴えに対し、フェイスブックとインスタグラムでのユーザーとの「契約」は有効であり、原告の訴えを棄却。但し、GDPR第6条が掲げる法的根拠のいずれに立脚しているかをユーザーに明確に示していなかたっとし、「透明性の義務に反している」と判断した。しかし、GDPRは、各国の当局の最終決定の前に、EU/EEAの関係監督当局(CSA)で審議されることになっており、47のCSA機関のうち10機関がDPCの判断に異議を提出。パーソナライズされたサービスや行動ターゲティング広告サービスは、契約の中の中核的要素を構成していないことを理由に、「契約の履行」がデータの取扱の正当な根拠にはなっていないと判断し、罰金の増額を要求したことで、DPCの見解と対立。協議は決裂し、GDPR上の義務に基づき、DPCは欧州データ保護委員会(EDPB)に判断を一任した。
EDPBは12月5日、最終決定書を通知し、CSAも同意していたDPCの「透明性義務違反」に関しては、罰金額を引き上げることを条件に支持。一方、法的根拠問題については、「契約の履行」を法的根拠にすることについては認められないとし、異議を申し立てたCSA側を支持した。EDPBの最終決定は、法的拘束力を持つため、DPCはEDPBの決定に基づき、12月31日に最終決定を採択。今回、公表した形。
一方、DPCによると、EDPBはDPCに対し、フェイスブックとインスタグラムのデータ処理業務全てに関してさらなる調査を指示。但し、DPCは、EDPBには、各国のデータ保護当局に対する監督権限を有しておらず、EDPBの指示が越権行為と判断されれば、欧州司法裁判所(ECJ)に指示の無効化を求めて提訴する考え。
今回の最終決定を受け、メタ・プラットフォームズは同日、不服とし、欧州司法裁判所(ECJ)に上訴する考えを表明。「透明性義務違反」についても、複数の法的根拠を組み合わせて使うことは認められるべきと反論した。「契約の履行」根拠の却下についても、SNSが個々のユーザーに合わせてパーソナライズされることは普通であり、適切な契約との立場を示した。
【参照ページ】Data Protection Commission announces conclusion of two inquiries into Meta Ireland
【参照ページ】How Meta Uses Legal Bases for Processing Ads in the EU
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。
アイルランドのデータ保護委員会(DPC)は1月4日、メタ・プラットフォームズのアイルランド法人が運営するフェイスブック及びインスタグラムに対し、EU一般データ保護規則(GDPR)違反と判断。フェイスブックに関し2億1,000万ユーロ、インスタグラムに関し1億8,000万ユーロ、合計3億9,000万ユーロ(約550億円)の罰金を科す最終決定を発表した。同時に、3ヶ月以内に違法措置を是正するよう命じた。
今回の苦情は、
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。
アイルランドのデータ保護委員会(DPC)は1月4日、メタ・プラットフォームズのアイルランド法人が運営するフェイスブック及びインスタグラムに対し、EU一般データ保護規則(GDPR)違反と判断。フェイスブックに関し2億1,000万ユーロ、インスタグラムに関し1億8,000万ユーロ、合計3億9,000万ユーロ(約550億円)の罰金を科す最終決定を発表した。同時に、3ヶ月以内に違法措置を是正するよう命じた。
今回の苦情は、
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。
ここから先は有料登録会員限定のコンテンツとなります。有料登録会員へのアップグレードを行って下さい。
アイルランドのデータ保護委員会(DPC)は1月4日、メタ・プラットフォームズのアイルランド法人が運営するフェイスブック及びインスタグラムに対し、EU一般データ保護規則(GDPR)違反と判断。フェイスブックに関し2億1,000万ユーロ、インスタグラムに関し1億8,000万ユーロ、合計3億9,000万ユーロ(約550億円)の罰金を科す最終決定を発表した。同時に、3ヶ月以内に違法措置を是正するよう命じた。
今回の苦情は、GDPRが施行された2018年5月25日に、フェイスブックに関してはオーストリアから、インスタグラムに関してはベルギーから出されていた。同事案では、双方のサービスの利用で、パーソナライズされたサービスや行動ターゲティング広告のためのユーザーの個人データの処理に関するユーザーの同意を実質的に強要しているか否かが争点だった。
GDPRでは、個人データの取扱に際し、「ユーザーの同意」「契約の履行」「法的義務の遵守」「生命利益の保護」「公的な職務遂行」「正当な利益」の6つのいずれかが必要との法的根拠規定を設けている。また、商慣習で一般的な「ユーザーの同意」に関しては、「強制を受けない」「特定の」「情報提供を受けたうえでの」「曖昧でない」の4つの要件を課しており、サービス利用の前提としての同意を強要することを禁止している。
そのため、フェイスブックやインスタグラム等の主要サービスでは、GDPRの施行後、「ユーザーの同意」ではなく、利用規約という「契約」の履行を法的根拠に、データの扱いを合法とする姿勢をとっている。今回のフェイスブックとインスタグラムは、パーソナライズされたサービスや行動ターゲティング広告の提供は、利用規約に盛り込まれた契約の一部であり、契約履行のためには必要という理論武装をしていた。
DPCは、苦情の申立者からの訴えに対し、フェイスブックとインスタグラムでのユーザーとの「契約」は有効であり、原告の訴えを棄却。但し、GDPR第6条が掲げる法的根拠のいずれに立脚しているかをユーザーに明確に示していなかたっとし、「透明性の義務に反している」と判断した。しかし、GDPRは、各国の当局の最終決定の前に、EU/EEAの関係監督当局(CSA)で審議されることになっており、47のCSA機関のうち10機関がDPCの判断に異議を提出。パーソナライズされたサービスや行動ターゲティング広告サービスは、契約の中の中核的要素を構成していないことを理由に、「契約の履行」がデータの取扱の正当な根拠にはなっていないと判断し、罰金の増額を要求したことで、DPCの見解と対立。協議は決裂し、GDPR上の義務に基づき、DPCは欧州データ保護委員会(EDPB)に判断を一任した。
EDPBは12月5日、最終決定書を通知し、CSAも同意していたDPCの「透明性義務違反」に関しては、罰金額を引き上げることを条件に支持。一方、法的根拠問題については、「契約の履行」を法的根拠にすることについては認められないとし、異議を申し立てたCSA側を支持した。EDPBの最終決定は、法的拘束力を持つため、DPCはEDPBの決定に基づき、12月31日に最終決定を採択。今回、公表した形。
一方、DPCによると、EDPBはDPCに対し、フェイスブックとインスタグラムのデータ処理業務全てに関してさらなる調査を指示。但し、DPCは、EDPBには、各国のデータ保護当局に対する監督権限を有しておらず、EDPBの指示が越権行為と判断されれば、欧州司法裁判所(ECJ)に指示の無効化を求めて提訴する考え。
今回の最終決定を受け、メタ・プラットフォームズは同日、不服とし、欧州司法裁判所(ECJ)に上訴する考えを表明。「透明性義務違反」についても、複数の法的根拠を組み合わせて使うことは認められるべきと反論した。「契約の履行」根拠の却下についても、SNSが個々のユーザーに合わせてパーソナライズされることは普通であり、適切な契約との立場を示した。
【参照ページ】Data Protection Commission announces conclusion of two inquiries into Meta Ireland
【参照ページ】How Meta Uses Legal Bases for Processing Ads in the EU
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。