GDPR違反によるGoogle制裁の内容とは？制裁以降の動向について

Googleは2019年、EUで施行されたGDPR（EU一般データ保護規則）に抵触し制裁金を科せられました。これは、ユーザーデータを扱ううえでGDPRが定めるプライバシー保護の基準をGoogleがクリアできていなかったためです。

どうしてこのような大規模な制裁金が科せられるに至ったのでしょうか。ここでは、GoogleのGDPR違反による制裁について、また制裁後にGoogleがどのような対応を進めているのかについて説明します。

1. Googleの違反に対するGDPRの制裁の内容とは

2019年に公表されたGoogleの違反に対するGDPRの制裁は、GDPRの規定が極めて厳しいものであることを世間に知らしめました。日本経済新聞の記事「グーグル、GDPRで制裁金、情報収集に不備、日本企業もリスク」によれば、GDPRに違反するとして問題視された部分は大きく2つあります。

• 個人情報の利用目的が確認しづらい
• 利用の目的別に同意を得ていない

まず、個人情報の利用目的を解説しているページが分散しており、ユーザーが容易にたどり着けない設計となっていました。ユーザーが自身の個人情報を使用されないよう設定する場合、手間のかかる操作を求めるシステムとなっていた点で違法性を指摘されています。

もう一方の問題は、ユーザーがGoogleのアカウントを作成する際、利用の目的別に利用規約の同意を取らず一括して同意を取得していた点です。

Googleは、個人情報を流出させるといった失態は犯していません。しかしながら、この2つの問題により制裁金として5,000万ユーロ、日本円にして約62億円（2020年7月末時点）ものペナルティが科せられたのです。悪質性が低いと判断されたためか、実際には制裁事例のなかでも少額の支払いにとどまりましたが、この一件はアメリカの大手IT企業で初のGDPR違反のケースとなりました。

それ以外のGDPR違反の例としては、Marriott International社が9,920万396ポンド（約135億円）、British Airways社が1億8,339万ポンド（約250億円）の支払いを求められています。

なお、GDPRに関する詳しい情報は、以下の記事で解説しています。本記事とあわせてご参照ください。

＞＞GDPRとは？その定義と日本企業がとるべき対策をチェックしよう

2. GDPRに則したユーザー情報の取り扱い推進

GDPR違反による制裁を受けたのち、Googleは指摘された部分を改善し、さらにGDPRに則したユーザー情報の取り扱い推進に力を入れています。

たとえば、ユーザーデータの計測に用いられるGoogleアナリティクスでは、ヘルプページの一部である「データの保護」の項目に、特にGDPRの影響を受けるビジネスの責任者に向けた記述があります。

また、広告管理プラットフォームであるGoogleアドマネージャーのヘルプページにも「GDPRへの準拠をサポートするツールについて」といった項目が用意されていることから、Googleは自社サービスを利用する事業者のGDPR対応へ力を入れている様子が見て取れます。

3. Googleは期限を設けたCookie廃止も公表

iPhoneやMacのメーカーとして知られるApple社は、自社のブラウザであるSafariにトラッキング防止の機能を有したITPを実装し、Cookieの働きを強く制限しています。2020年7月現在、Safariが広告配信の最適化などに活用される3rd Party Cookieを完全にブロックする仕様となっているのは、Web業界では広く知られていることです。

これは、Cookieの利活用がプライバシー保護の観点から望ましくない一面を持っているためです。Safariに続き、Microsoft社のブラウザであるEdge、Mozilla Foundation社のブラウザであるFirefoxなど多くの高シェアなブラウザも、Safariと同じくプライバシー保護の姿勢を強めています。

これら主要ブラウザの変化と同調するように、Googleも期限を定めて3rd Party Cookieのサポートを打ち切ると公表。この発表は、多くの部分をCookieに頼っていたWeb業界に驚きをもたらしました。

4. Googleサービスの利用者は規約を要確認

GDPR違反によるGoogleの制裁は、Googleが全世界をまたぐ大手企業であるから実施されたわけではありません。日本の企業であっても、以下のような条件を満たす場合にはGDPRの対象となり、規定に抵触すれば巨額の制裁金を科せられる可能性があります。

　1. EU域内に子会社や支店等の拠点を有している場合

　2. EU域内に拠点を有しておらず、以下のいずれかに該当する場合
　　・ EU域内にいる個人に対して商品やサービスを提供している場合
　　・ EU域内の個人の行動を監視する場合

参考：経済産業省「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」

GDPRに違反した場合は、最大で企業の全世界年間売上高の4%、あるいは2,000万ユーロのうち高額な方の金額を支払わなければなりません。場合によってはさらに大きなペナルティが科せられることとなっているため、欧州に関わりのあるビジネスを営んでいるのであれば細心の注意を払う必要があります。

5. まとめ

GDPR違反による制裁以降、Googleは急ピッチでGDPRに対応しており、今回紹介したようにGoogleのサービスを活用する事業者にもその対応を呼びかけています。

厳しいペナルティを設けている法令は2020年の段階ではGDPRやCCPA（カリフォルニア州消費者プライバシー法）が主であるものの、これから各国におけるプライバシー保護の流れは加速するはずです。

こういった背景により、これまでプライバシー保護の意識が十分とはいえなかったWeb業界は、いま一度自社のビジネスが世界基準に対応しているのか確認をする姿勢が求められています。法令の情報がキャッチアップできていなかったためにペナルティを科せられた、といったようなことがないよう、迅速に既存の認識を改めて対策を講じてください。