グーグル、GDPRで制裁金、情報収集に不備、日本企業もリスク

欧州連合（EU）の個人情報保護ルールの一般データ保護規則（GDPR）に違反したとして、仏当局が米グーグルに5千万ユーロ（約62億円）の制裁金を命じた。データ利用に関するユーザーへの適正な説明や同意を求める同規則の厳しさが明確になった。一方、日本は欧州からのデータ移転が例外的に認められる「十分性認定」を受ける見通しだが、企業は収集の手続きに不備があれば重い制裁を受ける状況は変わらず今後も入念な対策が必要だ。

グーグルへの制裁はフランスのデータ保護機関「情報処理・自由全国委員会」（CNIL）が21日に発表した。米IT（情報技術）大手がGDPR違反に問われた初の事例となる。

問題視されたポイントは2つ。第1は「個人情報の利用目的などをユーザーに明確に説明しなくてはならない」との規定への違反だ。

グーグルのサービスでは、個人情報の利用目的などを説明したページが分散。CNILは「ユーザーが簡単に探せず、わかりにくい」と指摘した。例えば位置情報の収集法を知るには、何度もクリックするなど5～6回の操作が必要だった。

グーグルのサービスは検索や動画配信「ユーチューブ」など約20に上る。収集した個人情報を基に、それぞれのサービスでユーザーの属性などに合わせた「ターゲティング広告」が配信されるが、CNILは「こうした複雑な仕組みについての説明も不十分」とした。

第2の問題は「ユーザーにきちんと同意を取らなくてはならない」との規定への違反だ。グーグルはユーザーがアカウントを新規作成する際に一括して利用規約への同意を取っていたが、CNILは「同意は利用の目的別に、はっきりと行うべきだ」と強調。グーグルの手法が不適切だったと判断した。

ターゲティング広告の配信に自分の個人情報が使われる機能をオフにするために、手間がかかる点も問題視。ユーザーがオプション画面に進み、あらかじめチェック済みの項目を解除する必要があった。こうした煩雑な作業を前提とした同意の取り方も違法とした。

GDPR違反の制裁金は最大で売上高の4%などと定められるが、今回の制裁額は約62億円。約12兆円に上る、グーグル親会社のアルファベットの17年の売上高と比べて軽微ともいえる。欧州の法制度に詳しい板倉陽一郎弁護士は「あくまで手続き上の不備で、悪質性が低いと判断されたのではないか」とみる。

一方でグーグルと同様の制裁事例が今後、続発するとの見方もある。オーストリアのデータ保護機関にも、米アマゾン・ドット・コムや米ネットフリックスなど8社のGDPR違反の疑いが申し立てられている。欧州在住の杉本武重弁護士は「IT関連をはじめ多くの企業は個人情報の収集にあたり、グーグルと似た対応を取っている」と指摘する。

GDPRは欧州で事業展開する企業すべてが規制対象で、多くの日本企業も対応が必要だ。

インターネットイニシアティブ（IIJ）のビジネスリスクコンサルティング本部の小川晋平本部長は「今回は個人情報が漏れたわけではないが、法律を順守していないと制裁金にまで発展する。監督機関が本気だと示した例だ」と警戒する。