GDPR違反によりGoogle LLCに課された5000万ユーロの制裁金処分をフランス国務院が支持 Google LLCの上訴を棄却


国務院の判断

6月19日、フランス国務院は、GDPR違反を理由としてフランス監督機関CNILがGoogle LLCに下した5000万ユーロの制裁金処分について、それを不服としたGoogle LLC側の上訴を棄却し、CNILによる処分を支持する決定を下した。フランス国務院は、フランス国内における行政裁判の最終裁判所であることから、同決定が確定する可能性がある。

処分の経緯

CNILはGoogle LLCに対し、以下を理由に制裁金処分を下していた。

1 アカウントを作成する際にユーザーに提供される情報は必ずしも明確でなく、簡単にアクセスできなかった。特に、重要な情報(目的、保持期間、または広告のパーソナライゼーションのためのデータのカテゴリ)が複数のページに分散しており、それらにアクセスするためにユーザーは最大6アクションを実行する必要があった。Googleが提供する情報が曖昧すぎるため、ユーザーがGoogleが実行する個人データの処理の範囲を理解することができなかった。これはGDPRの透明性原則に違反する。

2 広告のパーソナライズ処理についてユーザーの同意が有効に取得されなかった。Google LLCはデフォルトで事前にチェックされているチェックボックスを使用して同意が得られたと主張したが、これはGDPRが求める同意の要件に準拠していない。

上記のCNIL決定を不服とし、Google LLCはその取り消しを求めて国務院に上訴していた。

同意の有効性

国務院は決定で、CNILの処分理由を追認した。AndroidユーザーがGoogleアカウント作成のデータ構造や、作成過程で提供される情報が、GDPRが求める「明確かつ単純」なものではなかったとした。また、パーソナライズ広告についても、Google LLCは自由で情報が与えられた形でユーザーが同意を与えることができるものでなかったと判断した。同意取得画面の第1レベル(premiere niveau)で提供される情報は一般的なものであり、「その他のオプション」をクリックすることで得られる第2レベル(deuxième niveau)の情報も、同意を与えるには不十分なものであるとした。

ワンストップ・ショップ制度の適用について

Google LLCは、本社機能がアイルランドに設置されていることから、本件の管轄権はアイルランド監督機関にあり、ワンストップショップの原則により審議されるべきと主張したが、国務院はその主張を却下した。国務院は、ヨーロッパ子会社による個人データ処理に関する決定権や統制権は米国のGoogle LLC本社にあるため、ワンストップショップ制度を利用することはできず、CNILも管轄権を有するとした決定を支持した。

Le Conseil d’État valide la sanction prononcée à l’encontre de la société Google LLC(CNILニュースリリース)
https://www.cnil.fr/fr/le-conseil-detat-valide-la-sanction-prononcee-lencontre-de-la-societe-google-llc

RGPD : le Conseil d’État rejette le recours dirigé contre la sanction de 50 millions d’euros infligée à Google par la CNIL(フランス国務院ニュースリリース)
https://www.conseil-etat.fr/actualites/actualites/rgpd-le-conseil-d-etat-rejette-le-recours-dirige-contre-la-sanction-de-50-millions-d-euros-infligee-a-google-par-la-cnil

Conseil d’État, 19 juin 2020, Sanction infligée à Google par la CNIL(国務院決定書)
https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil

関連情報

CNIL、Googleに5千万ユーロの制裁金

GDPR執行事例リスト(アドバンスト会員様は無料) 

IIJ ビジネスリスクマネジメントポータル(BizRis)

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

 世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

 

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト