スウェーデンのプライバシー保護機関がGoogle Analytics利用企業に1.5億円の罰金

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2023年7月6日
• タイトル：スウェーデンのプライバシー保護機関がGoogle Analytics利用企業に1.5億円の罰金
• メインスピーカー：データサイン 代表取締役社長 太田祐一
• MC：ビジネスディベロッパー 宮崎洋史

Google Analyticsの使用を理由にした初の金銭的罰則

2023年7月3日、スウェーデンのプライバシー保護機関（IMY）がGoogle Analytics（2020年8月14日以降のバージョン）を利用する企業2社に対して罰金の支払いを命じました。Google Analyticsの使用を理由に企業に金銭的罰則が科されたのは、今回が初となります。こちらの件をランチタイムトークで取り上げました。

今回、IMYの監査を受けたスウェーデンの企業は4社です（Tele2、CDON、Coop、Dagens Industri）。そのうち罰金を科されたのは2社でした。1社がスウェーデンの準大手インターネットサービスプロバイダー（ISP）のTele2です。金額は約100万ユーロ（約1.5億円、1ユーロ＝150円換算）でした。もう1社が、オンライン小売業のCDONです。こちらの金額は約2.5万ユーロ（約375万円）でした。

GDPRに違反するEU-US間のデータ移転に該当

IMYの監査で問題と指摘されたのは、EU-US（米国）間における違法なデータ移転です。EUの最高裁に相当する欧州司法裁判所（CJEU：European Court of Justice）は、2020年7月のシュレムスII判決に基づいて、標準契約条項（SCC）は欧州GDPR（一般データ保護規則）に違反しているとの裁定を出しています。しかし今回、IMYに監査された4社はいずれもこの標準契約条項に基づいてGoogle Analyticsを利用していました。

オーストリアやフランス、イタリアなどの他の多くの欧州の保護当局ではすでに、Google Analyticsの使用がGDPRに違反すると判断しています。

具体的にTele2の事案で論点になったのは、

1. Tele2は第三国に個人データ（識別可能な自然人に関するデータ）を送信していたか
2. 送信していた場合、それには法的根拠があるか

の2点です。

「（1）について、サイト閲覧者のIPアドレスを特定できないように一部の数字を切り捨て処理してもCookieなど他の情報と組み合わせると、閲覧者の特定は可能です。また、処理前段階のIPアドレスに対するアクセスの可能性がない、ということは証明できません。結論としてTele2が送信していたのは個人データであると判断されました。それらのデータは調査の結果、米国にあるGoogle LLCによって保存されていることが判明しました」（データサイン 代表取締役社長 太田祐一）

Tele2はGoogle Analyticsの利用を停止

（2）については、法的な裏付けがないと判断されました。GDPRの第44条によると、処理中の個人データ、または第三国（すなわちEU/EEA域外の国）への移転後の処理を目的とする個人データの移転は、管理者および処理者がGDPRのその他の規定に従って第5章に定める条件を満たす場合にのみ、行うことができるとあります。しかし、米国はGDPRにおける十分性を認定されておらず、条件を満たしていない、と判断されました。グーグルは米国法50条1881a(「702 FISA」)に従って米国諜報機関による監視の対象であり、702 FISAが使用される場合には、米国政府に個人データを提供する義務があるからです。

さてTele2は（この記事が発表された）2023年7月3日時点でGoogle Analyticsの利用を停止したとIMYの発表にあります。

スウェーデンIMYによる今回の監査の発端になったのは、noybによる苦情でした。noyb（none of your business）は、オーストリアの弁護士、マックス・シュレムス氏を中心とし、プライバシーの保護に関する支援活動を展開する非営利団体です。

GoogleAnalytics使用企業に対して初の罰金が科された今回のスウェーデンのケース。他のEU/EEC加盟国にどんな影響を及ぼすか注目したいと思います。