毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2023年7月6日
  • タイトル:スウェーデンのプライバシー保護機関がGoogle Analytics利用企業に1.5億円の罰金
  • メインスピーカー:データサイン 代表取締役社長 太田祐一
  • MC:ビジネスディベロッパー 宮崎洋史

Google Analyticsの使用を理由にした初の金銭的罰則

2023年7月3日、スウェーデンのプライバシー保護機関(IMY)がGoogle Analytics(2020年8月14日以降のバージョン)を利用する企業2社に対して罰金の支払いを命じました。Google Analyticsの使用を理由に企業に金銭的罰則が科されたのは、今回が初となります。こちらの件をランチタイムトークで取り上げました。

今回、IMYの監査を受けたスウェーデンの企業は4社です(Tele2、CDON、Coop、Dagens Industri)。そのうち罰金を科されたのは2社でした。1社がスウェーデンの準大手インターネットサービスプロバイダー(ISP)のTele2です。金額は約100万ユーロ(約1.5億円、1ユーロ=150円換算)でした。もう1社が、オンライン小売業のCDONです。こちらの金額は約2.5万ユーロ(約375万円)でした。

GDPRに違反するEU-US間のデータ移転に該当

IMYの監査で問題と指摘されたのは、EU-US(米国)間における違法なデータ移転です。EUの最高裁に相当する欧州司法裁判所(CJEU:European Court of Justice)は、2020年7月のシュレムスII判決に基づいて、標準契約条項(SCC)は欧州GDPR(一般データ保護規則)に違反しているとの裁定を出しています。しかし今回、IMYに監査された4社はいずれもこの標準契約条項に基づいてGoogle Analyticsを利用していました。

オーストリアやフランス、イタリアなどの他の多くの欧州の保護当局ではすでに、Google Analyticsの使用がGDPRに違反すると判断しています。

具体的にTele2の事案で論点になったのは、

  1. Tele2は第三国に個人データ(識別可能な自然人に関するデータ)を送信していたか
  2. 送信していた場合、それには法的根拠があるか

の2点です。

「(1)について、サイト閲覧者のIPアドレスを特定できないように一部の数字を切り捨て処理してもCookieなど他の情報と組み合わせると、閲覧者の特定は可能です。また、処理前段階のIPアドレスに対するアクセスの可能性がない、ということは証明できません。結論としてTele2が送信していたのは個人データであると判断されました。それらのデータは調査の結果、米国にあるGoogle LLCによって保存されていることが判明しました」(データサイン 代表取締役社長 太田祐一)

Tele2はGoogle Analyticsの利用を停止

(2)については、法的な裏付けがないと判断されました。GDPRの第44条によると、処理中の個人データ、または第三国(すなわちEU/EEA域外の国)への移転後の処理を目的とする個人データの移転は、管理者および処理者がGDPRのその他の規定に従って第5章に定める条件を満たす場合にのみ、行うことができるとあります。しかし、米国はGDPRにおける十分性を認定されておらず、条件を満たしていない、と判断されました。グーグルは米国法50条1881a(「702 FISA」)に従って米国諜報機関による監視の対象であり、702 FISAが使用される場合には、米国政府に個人データを提供する義務があるからです。

さてTele2は(この記事が発表された)2023年7月3日時点でGoogle Analyticsの利用を停止したとIMYの発表にあります。

スウェーデンIMYによる今回の監査の発端になったのは、noybによる苦情でした。noyb(none of your business)は、オーストリアの弁護士、マックス・シュレムス氏を中心とし、プライバシーの保護に関する支援活動を展開する非営利団体です。

GoogleAnalytics使用企業に対して初の罰金が科された今回のスウェーデンのケース。他のEU/EEC加盟国にどんな影響を及ぼすか注目したいと思います。