毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。
当記事で取り上げるのは以下の配信です。
- 配信日:2022年7月14日
- タイトル:Googleアナリティクスの使用に関するCNILの正式な通知に関するQ&A
- 発表者:データサイン 代表取締役社長 太田祐一
EEA(欧州経済領域)外へのデータ移転はGDPRに違反
2022年7月、フランスのデータ保護機関「CNIL」の公式サイトに「Googleアナリティクスの使用に関するCNILの正式な通知に関するQ&A」が掲載されました。こちらの概要をデータサイン 代表取締役社長 太田祐一が紹介しました。
*CNILの公式サイトに記載された内容を無償のウェブ翻訳ツールで和訳しているため、本レポートにおける記述の正確性はデータサインで保証しかねる点をご了承ください。
CNILは過去たびたびグーグルに対して、「ユーザーのCookie拒否が、その受け入れほど容易にできないのは個人の権利を損なう」といった理由のもとで罰金の支払いなどを要求してきました。今回、糾弾するのは、グーグルが提供するウェブページのアクセス解析ツール「Googleアナリティクス」に関する内容です。
「CNILは2022年2月、Googleアナリティクスの使用において、欧州居住者の権利が十分に保証されないまま米国にデータが転送されていることについて、(欧州を中心とする)複数の組織に遵守するように通告したことを発表しています」(太田)
Google Analyticsの使用は米国へのデータ移転と主張
CNILが掲示するQ&Aは全部で14あります。1点目の質問は「端的にこの通知の言いたいことは?」。
回答によると、この通知の背景にあるのは、EUの最高裁に相当する欧州司法裁判所が2020年7月16日に出した判決です。こちらはEUを含むEEAと米国間のデータ移転に適用されるプライバシーシールドが無効である、とする内容。欧州居住者の個人データに対する、米国当局による不法アクセスのリスクに対して、適切な保護措置を講じていないことが理由に挙げられています。
「また、2020年11月5日配信のランチタイムトークで触れた、プライバシーキャンペーングループのnoyb(ノイブ)がGoogleアナリティクスを使用するウェブサイトに関して、欧州の複数のデータ保護当局に101件の苦情を申し立てたことも背景の1つに指摘されています」(太田)
noybは、オーストリアのザルツブルグ在住の弁護士マックス・シュレムス氏が創設した団体で、プライバシーシールドに代わるSCC(Standard Contractual Clauses、標準契約条項)に基づく欧米間のデータ移転も違法であると批判しています。
Google Analyticsに代わるソリューションも掲載
太田が気になった質問の1つが、「(GoogleアナリティクスがGDPRなどの法規制に違反しているという)CNILの解釈は欧州全域で共通なのか?」です。
CNIL側の回答によると、noybからの苦情を受け、欧州各国での判断を統一し、関係者に法的確実性を提供するため、欧州当局はワーキンググループを組織し、提起された法的問題を検討し、それぞれの立場と判断を調整している、とあります。
「関係機関と足並みをそろえるべく調整中のようです。少なくともCNILに1カ月先行する形で、オーストリアのデータ保護当局がCNILと同一の方向性を有する、最初の決定を下していると記されています」(太田)
Q&AによるとCNILは、前述の標準契約条項の措置さえ不十分としています。さらにそれを補うべくグーグルが講じた追加の法的、組織的、技術的措置についても“No”を突きつけています。理由として、米国の諜報機関によるデータアクセスの要求に対して、効果的なデータ保護を確保できないため、と回答にあります。
「CNILは、Google Analyticsの代替ツールとなるソリューションをリストアップしています。ソリューションを提供する企業はこれを商機と捉えているかもしれません」(太田)
なお、ソフトウェア製品分析ツールなどを提供するPostHogが開示するIs Google Analytics illegal in your country? というウェブサイトをみると、フランス以外にもGoogleアナリティクスをGDPR違反とする国として、オランダ、オーストリア、イタリアなどが地図上にマッピングされています。果たしてGoogleアナリティクス排除の動き、今後も欧州全体に広がっていくでしょうか?