CNIL、Googleに5千万ユーロの制裁金


フランスのデータ保護監督機関、CNIL (Commission Nationale de l’Informatique et des Libert?s) は、1月21日、Googleに対して、GDPR違反を理由として、5千万ユーロの行政制裁金を賦課する決定をした。Androidを利用する際には、Googleアカウントを作成する必要がある。この際に同意を求められる広告のカスタマイズに関する情報提供が不十分で透明性を欠き、Google社が利用者から取得した同意はGDPRが規定する同意の有効要件を欠くと判断された。

昨年5月、CNILはプライバシー保護団体である”None Of Your Business”および”La Quadrature du Net”からGoogleによるターゲティング広告について、GDPRに違反するとの苦情を受けていた。これを受けてCNILが行った調査によると、Googleは以下の2点でGDPRに違反しているとされた。

第1に、Googleによる広告カスタマイズに関する情報提供は、GDPRが求める透明性に欠けるとされた。GDPRが求める情報提供に必須な重要要素、すなわち、個人データ処理の目的、個人データを保持する期間、広告カスタマイズのために利用する個人データの種類などが複数のページに分散し、ユーザーが位置情報の処理などを含め、その全貌を知ろうとすれば、5?6回のクリック操作により複数のページを閲覧しなければならかった。また、提供された情報は明確でなく、包括的でもないとされ、個人データのカテゴリーによっては、保持期間が明示されていなかった。

第2に、Googleは、広告カスタマイズのための個人データ処理は、ユーザーの同意を適法根拠とすると述べているが、CNILは、Googleが取得したとしている同意は、GDPRに照らし、以下の2つの理由により有効ではないと判断した。

まず、同意の前提として提供される情報が十分ではなかった。上に述べたように、提供必須の情報は複数のページに分散していて全体を把握することが困難で、ユーザーは、広告カスタマイズが複数のサービス(検索、Youtube、Google Home、Google Maps、Google Playなど)にわたって行われることを正しく認識できないとされた。

また、CNILは、Googleが取得したとする同意は、その対象の特定性を欠き、曖昧であるとした。Googleアカウントを作成する場合、ユーザーはいくつかの設定を変更することができ、この中には広告カスタマイズの設定も含まれている。CNILは、広告カスタマイズを許容するチェックボックスはあらかじめチェックされており、ユーザーが広告カスタマイズを拒否する場合、設定変更をしなければならないことは、GDPRに違反するとした。GDPRは同意の有効要件として、曖昧でない、積極的な行動によることを求めているが、Googleの実装はこれに違反しているとされた。また、アカウント作成の際にユーザーが「上記の説明およびプライバシーポリシーにおいて記述された個人データの処理に同意します」といった包括的な同意を求められることは、同意の有効要件である対象の特定性を欠くとされた。

CNILが認定した違反行為は、透明性および同意要件に関するもので、いずれもGDPR83条5項に規定される重大な違反のカテゴリーに属する。今回の厳しい処分は、個人データ処理に関する情報提供の重要性について改めて注意を喚起するものである。

https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

関連記事