GDPR違反により、Meta社に過去最高額の制裁金。専門家が概要とGDPRの規制内容について解説

GDPR違反により、メタ社に最高額（約1800億円）の制裁金

アイルランドデータ保護委員会（Irish Data Protection Commission, IDPC）は2023年5月22日、欧州ユーザーのデータを米国に違法に移転したとして、Facebookの親会社に12億ユーロの制裁金を支払うよう命じた。この決定は、欧州と米国が埋めようと準備している個人情報保護に関する「法的空白」の中で下されたものである。

2023年5月22日、アイルランドデータ保護委員会（IDPC）がFacebook、Instagram、WhatsAppの親会社であるMeta社に対し、一般データ保護規則（GDPR）違反の罰則として12億ユーロ（約1800億円）を支払うよう命じ、歴史的な制裁金を課したことが発表されました。（参考：Data Protection Commission「Data Protection Commission announces conclusion of inquiry into Meta Ireland」（2023年5月22日））

欧州連合（EU）がIT企業に対して、個人データの分野でこれほど強い制裁を科した例はありません。

IDPCは「欧州ユーザーのデータを米国に違法に移転している」と非難し、当該データの移転により、Meta社は欧州ユーザーに「基本的な権利と自由に対するリスク」を及ぼしたと主張しています。

プライバシーシールド協定の無効が残した「法的空白」

米国と欧州は、プライバシーシールド協定を無効とする2020年7月の欧州司法裁判所の判決を受け、現在データ共有に関する新しい協定を協議しています。欧州委員会は2023年5月22日に、「夏までに」協定の制定を望んでいると述べました。

今回の制裁金について、The Wall Street Journalは「Meta社や何千もの国際企業がユーザーの個人情報を米国に送り続けることを可能にする協定を結ぶよう、米国政府に圧力をかけるものだ」と指摘しています。また、制裁金額の高さは、「EUのプライバシー規則違反のリスクが高まっている」ことの表れでもあるとも指摘しました。

Meta社の世界売上高の4％に相当する制裁金

この制裁金は、「Meta社の昨年の世界売上高の4％」に相当し、GDPRの下で認められる最高額の制裁金です。Meta社は、この制裁金について「不当かつ不必要」として、直ちに法的措置をとると宣言しました。アイルランド当局がMeta社に制裁金を科すのは今回が6回目です。1回目は2021年9月のWhatsAppに対するもので、この際の金額は2億2500万ユーロでした。

Bloombergは「Meta社はもはや、ヨーロッパのデータをアメリカのサーバーで処理する法的手段を持たない」と、説明しています。EUと米国の間で合意が得られない場合、「Meta社は米国に保存しているEUのユーザーデータをすべて削除しなければならなくなる」と言います。同社のエンジニアによれば、これは「簡単な作業ではない」だけでなく、「不可能」という結論に至る可能性があり、グローバルな大企業は、Meta社がどのように法的措置を準備するか、注意深く見守ることが必要です。

テックの大手企業の欧州本部が所在するアイルランド

2018年5月25日に施行され、GDPRが2023年5月25日に5周年を迎えるにあたり、アイルランドの人々の市民的自由と人権を支援することを目的とした非営利団体「Irish Council for Civil Liberties」は、GDPRを施行する責任を負うアイルランド当局に対して、厳しく批判するレポートを発表しました。そこでは、アイルランドデータ保護委員会（IDPC）が下す決議の大部分（64％）は、制裁金ではなく、単純な譴責（戒告処分）にとどまっていて不十分であると主張しています。

アイルランドは、EU域内でも、IT企業の欧州本社を抱える場所となっており、EUユーザーの個人データ保護の確保と、アイルランドに欧州本社を置く米国等の海外企業が国外に流出してしまう恐れとの間で、ジレンマに陥っている面があるのかもしれません。

GDPR上の個人情報の移転とプライバシーシールド協定無効の経緯

「個人情報の移転」とは、EU域外の国や地域（日本やアメリカ等）に所在する第三者に対して、個人データを閲覧可能にするための行為を指しています。GDPRにおいて認められるEU域外への個人情報の移転としては、①EUと日本の間にも適用される「十分性認定に基づく移転」や、②SCC（標準契約条項）を含む「適切な保護措置に従った移転」があります。

①「十分性認定」とは、GDPRに基づき、EU域外の国が十分なデータ保護の水準を確保しているとEUが認めるものであり、2019年1月23日に、日本と EUは相互に「個人データの移転を行うことができるだけの十分なデータ保護の水準を持つ」と認め、「十分性認定」がなされました。これにより、日本への域外移転の場合には、この「十分性認定」に基づく対応が可能となっています。

EUと米国の間には、2020年までいわゆる「プライバシーシールド」協定が存在していましたが、2020年7月16日の欧州司法裁判所のSchrems II判決によって無効になりました。ここでは、欧州司法裁判所は、「米国企業は個人情報保護について十分な基準を確保できない」とされています。
※2023年7月12日追記：なお、本件については2023年7月10日に、欧州委員会がEU・米国間のデータプライバシーフレームワークに対する十分性を認定しました。詳細は以下の記事をご覧ください。

なお、「十分性認定」を受けてない国の場合は、その方法以外でも、GDPRによる「適切な保護措置」があればデータの域外移転が可能です。ここで認められる「適切な保護措置」の一つが「標準契約条項（Standard Contractual Clause, SCC）」です。

法律事務所に相談のうえ、適切なGDPR対応を

グローバル展開をする企業にとって、取引先や提供先のデータ保護規則にも留意が必要となります。そのなかで、今回の制裁金に関するインパクトは大きいものです。

直接は欧州展開していない日本企業にとっても、米国企業が提供するITツールを使用している場合は、データ処理の過程でデータを米国に移転したと評価される可能性を含めて、欧州域内の個人情報を処理する際に、適切な保護措置が講じられているか確認する必要があります。

法律事務所ZeLoでは、国内外を問わず、データ保護対応の経験が豊富な弁護士でチームを編成し、必要に応じて海外の法律事務所とも協働しながら、サポートにあたっています。特に、GDPRについては、EUのデータ保護における専門知識を有する認定DPO(Data Protection Officer) Certificateを保持する専門家も在籍し、貴社のビジネスに合わせた支援を行っています。

支援実績も、スタートアップから中小・上場企業まで多岐にわたり、企業規模やビジネススキームに合わせた、迅速かつ質の高いサービスを提供いたします。GDPR対応や個人情報法などの対応についてお困りの方は、ぜひ一度ご相談ください。

なお、以下の記事にて、GDPRの概要や、日本企業が留意すべき点についても解説していますので、併せてご参照ください。