アイルランドのデータ保護委員会(DPC)は5月22日(現地時間)、MetaがEUの一般データ保護規則(GDPR)に違反したとして、12億ユーロ(約1800億円)の罰金を科すと発表しました。
GDPR関連の罰金としては、2021年にAmazonに科された7億4600万ユーロ(約1120億円)を超える過去最高額となります。なお、アイルランドのDPCが発表しているのは、MetaのEU本社がアイルランドにあるためです。
GDPRには、EU内のユーザーデータを適切に保護できる場合にのみEU国外へ転送できるという項目(第46条1項)があり、Metaはこれに違反して米国内にデータを転送しているというのが罰金の理由です。
GDPRで個人データをEU/EAA外に転送する手段としては、欧州委員会が定めた標準契約条項(SCCs)というものがあります。これは、データの転送先でも十分に個人データの保護対策が講じられていることを確認する契約書の雛形です。これとは別に、EUから米国に個人データを転送する場合には、「プライバシー・シールド」という枠組みがありました。しかし、2020年7月にEUの司法裁判所(CJEU)がプライバシー・シールドは無効だとする判決を出しており、これを受けて欧州委員会は2021年にSCCsを改定。データ転送先でも、EU法上と同等の水準を求める内容になっていました。
しかしながら、DPCはMetaによる米国へのデータ転送は、この基準を満たしていないと判断しています。
DPCが作成した草案では当初、罰金を科すことまでは考えておらず、米国へのデータ転送を停止するよう求めるものでしたが、最終的に欧州データ保護委員会(EDPB)が罰金が必要と判断。加えて、すでに米国に転送されたEUユーザーのデータに関してもGDPRに準拠を求める命令が追加されています。
最終的な決定としては下記の通り。
DPCの決定がMetaアイルランドに通知された日から5ヶ月以内に、今後の米国へのデータ転送を停止
12億ユーロの罰金
DPCの決定がMetaアイルランドに通知された日から6ヶ月以内に、GDPRに違反して転送されたEU/EAAユーザー個人情報の米国における保存を含む違法な処理を停止する(つまり削除しろということ)
この決定に対してMetaは、控訴すると発表。「国境を越えてデータを転送できる機能は、グローバルなオープンインターネットの仕組みの基礎」であり、「国境を越えてデータを転送する機能がなければ、インターネットは国や地域ごとに分断され、世界経済が制限され、さまざまな国の人々が依存してきた共有サービスの多くにアクセスできなくなる危険がある」としています。
