グーグルに62億円の制裁金 GDPRが単なるGAFA包囲網の「脅し」でない理由

   フランスのデータ保護当局CNIL（情報処理と自由に関する国家委員会）が、Google（グーグル）に対して、GDPR（EU一般データ保護規則）違反を理由に5000万ユーロ（約62億円）の制裁金の支払いを、2019年1月21日に命じた。GDPR違反による巨額制裁金が米大手企業に課された、初めてのケースだ。

   日本国内では、「欧州」対「米国」。つまり、欧州による「GAFA」（Google＝グーグル、Amazon＝アマゾン、FaceBook＝フェイスブック、Apple＝アップル）への対抗措置と捉えられがちだが、制裁金が課された背景をみると、必ずしもそうとは言い切れない。

グーグルに巨額制裁金が課された2つのワケ

   個人情報保護の強化を目的とした「一般データ保護規則（GDPR：General Data Protection Regulation）」がEUで施行されたのは、2018年5月25日。GDPRは、個人データ授受の透明性確保や同意取得の原則などに違反した管理者に対して、2000万ユーロ（約26億円）以下または全世界の売上総額の4％以下のどちらか高額なほうの制裁金を課すことを規定している。

   こうした巨額制裁金の規定を置いていることから、かねてからGDPRは「GAFA包囲網」との見方もあった。

   しかし、CNILが制裁金を課した背景をみると、GDPRは、GAFA以外の企業に対しても個人データの取り扱いについて方向転換を迫ることになりそうだ。

   グーグルに制裁金が課された理由は、主に情報提供の仕方と同意の取得方法についてだ。

   第一に、グーグルはデータ主体への情報提供が十分でなく透明性が認められないと判断された。グーグルは個人データを取得する場合には、利用目的や法的根拠などの情報をデータ主体（本人）に説明する必要があるが、提供されるべき情報も5～6回のステップを踏む必要があり、データ主体への情報提供が適切になされていないと認定された。

   第二に、ターゲティング広告で個人データを取得する際に、デフォルトで同意することになっており、個人データの取扱いがデータ主体の明確な同意に基づいていないと判断された。同意は個人データの利用目的ごとに個別的に取得する必要があるが、グーグルは包括的に取得していたため、個人データの取扱いがデータ主体の明確な同意に基づいていない、と判断されたのだ。