コラム:GDPRの最初の制裁金ケースになるか?


コラム:GDPRの最初の制裁金ケースになるか?

イギリスの監督機関ICOは7月6日にデータ処理会社Aggregate IQ社(本社:カナダ、バンクーバー)に対して、GDPR違反があったとして30日以内にイギリスおよびEU市民の個人データ処理業務の停止を行うよう命令を行った。Aggregate IQ社は直ちにFirst-tier Tribunal(英国・レスター)に不服申し立てを行ったが、この結論が出る前にGDPRの最初の制裁金ケースか?というニュースが9月20日に世界中を駆け巡った。

この遠因は別のところにあると編集部では見ている。それはBrexitを巡る混沌である。

ここのところ、英国のEU離脱(Brexit)のEUとの交渉がうまくいっていない。2019年3月29日のBrexit(移行猶予期間は現行の拠出金を払い続けることを前提に2年間の2021年3月29日)まであと半年となって、特にアイルランド共和国と北アイルランドとの国境の扱いを含め合意に至る兆候はない。メイ政権は具体的なBrexit後の条件交渉に関して先が見えない状況となっている。

ここのところBrexitを取り下げるための手続きについても頻繁に語られるようになってきた。

労働党党首のジェレミー・コービンはメイ政権に反対する保守党議員を取り込み、内閣不信任決議から総選挙へともっていく道筋を描いている。その際にはBrexitの取り下げを選挙の争点とするであろう。また、二回目の国民投票を行うべきだという声もロンドン市長のサディク・カーンから上がってきている。ここ1〜2か月の間にメイ政権を揺さぶる大きな動きがあると思われる。

このBrexitを決定した2016年の国民投票について、キャンペーンを行っていたVote Leave(離脱へ投票しよう)は、自らおよび、第三者を通じてAggregate IQに入金をしている事実が発覚し、Aggregate IQによる世論操作工作が行われたことがイギリスではクローズアップされている。
・Social Mediaを使った選挙における世論操作工作は民主的プロセスといえるのか?
・知らず知らずの間にSocial Media(主にFacebook)を通じて印象操作をされることへの気持ち悪さ
・政治的意見を主張する団体から個人データがデータ主体に通知されることなくAggregate IQに渡されることのプライバシー侵害
・政治団体のお金の透明性
・工作が明確になっていることに対する選挙結果の有効性(Brexitは有効か?)
とあらゆる方向の議論が巻き起こっている。

現状ではメイ政権が存続すれば、その結果がどのようなものであれ、Brexitは避けられない。そうするとICOはEUの組織ではなくなってしまう。しかしながらICOはGDPRを支持している。ICOがBrexitによりEUの監督機関の地位を失った場合にも、引き続きEU Data Protection Boardと密接な関係を持ちたいと思うのは当然だろう。ICOとしても少なくともBrexitまでにGDPRの枠組みで何かしら大きなニュースを出したいと考えるのは自然な動機だと思われる。

もともとAggregate IQは、旧データ保護指令に基づいて2017年にICOの捜査を継続的に受けていた。2018年3月、4月にFacebookとCambridge Analyticaの問題がクローズアップされた時にもAggregate IQの名前が出てきており、ICOはGDPRで本件を挙げるつもりなのではないかと思われたが、果たしてその通りまずはイギリスおよびEU市民の個人データ処理の業務停止命令からスタートした。

ICOの執行文によると、昨年来調査しているAggregate IQに2018年5月31日(GDPR施行直後)に、選挙の世論操作に使ったイギリス国民の個人データを未だ保持していることを確認したとあり、これがGDPRの5条の処理の原則、6条の適法根拠、14条の個人データの間接取得時のプライバシーノーティスを出さなければならないことに明確に違反していることを指摘している。

イギリスのいくつかのメディアが9月20日にICOのスタッフがAggregate IQに対して制裁金を課すとBBCに話したというニュースを流したが、今のところ正式にICOからAggregate IQに対する執行は発表されていない。おそらくこのリークと思われる記事にもICOが手柄を早くあげたい思いが見え隠れする。おそらく遠くないうちに何等かの発表があるものと推測される。

いずれにしても不服申し立てが不首尾に終わった場合には、監督機関への協力的な姿勢への疑義もあり、厳しい制裁金が課される可能性が高く、注目を集めている。

(ビジネスリスクマネジメントポータル編集部)
Cambridge Analytica をめぐる事件の報告書
https://ico.org.uk/media/action-weve-taken/2259371/investigation-into-data-analytics-for-political-purposes-update.pdf
執行通知書(Enforcement Notice)*
https://ico.org.uk/media/2259362/r-letter-ico-to-aiq-060718.pdf
* 執行通知書はICOの公式webでは公開されておらず、Cambridge Analytica をめぐる事件の報告書の付録ii(p.42)からのハイパーリンクにより到達できる。

関連記事