[GDPR速報] Google Analytics使用の企業が摘発される(スウェーデン)
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
スウェーデンのプライバシー保護当局(スウェーデン語でIntegritetsskyddsmyndigheten、英語表記ではSwedish Authority for Privacy Protection、以降IMYと省略します)により、Google Analytics使用の企業4社が摘発されため、速報でお知らせします。
取り急ぎのスウェーデン語の簡易翻訳のため、内容に関しては読者の皆さんのご確認とご判断でご理解いただきますようよろしくお願いします。
スウェーデンといえば、6月にSpotifyが約500万ユーロの制裁金を課されたばかりでした。一方で、今回の制裁に強烈なインパクトがあったのは、これまでのGoogle に代表されるような「サービス提供側」ではなく、そのサービスを利活用する企業側に制裁が課されたことです。
一次情報をもとに今回の制裁事例を紐解いていきたいと思います。
(1)IMYからのニュース
ニュースによると、監査対象となったサービスは、2020年8月14日以降のバージョンの Google Analytics ということです。また、この監査はEU-US Privacy Shieldの無効判決でも有名なNOYB(None of Your Business)の苦情に基づくものとなります。
既に欧州司法裁判所(CJEU)はEU-US Privacy Shieldの無効判決(シュレムスII判決)を通じて、米国が適切なレベルの個人データ保護を有していないとの判決が出されています。今回の苦情ではGoogle Analyticsの利用により米国に転送されたデータは、他のデータと関連付けられ本人を特定できる可能性があるため個人データであると判断されました。また、IMYは今回摘発された企業による越境の対策はSCCで行なっている状況でしたが、技術的な対策は、EEA 内で保証されている保護レベルに相当しないと結論付けされています。
(2)Tele2社に関する決定文
摘発された4社(CDON、Coop、Dagens Industri、Tele2 )のうち、自発的にGoogle Analyticsを止めたにもかかわらず、最も高額な制裁を受けたTele2社(制裁金額1200万スウェーデンクローネ(2023年7月5日時点の円換算で1億6千万円))から読み解いていきたいと思います。
GDPR第44条移転に関する一般原則違反
訴状はGDPR第44条移転に関する一般原則違反であり、GDPR第5章の規定を満たせていないというものです。SCC(標準契約条項)を締結していても、個人データの保護が十分でなければ意味がありません。この根源はやはり外国情報監視法(FISA)第702条でした。Googleは外国情報監視法の対象事業者になっており、個人データの保護ができないという裁定です。
個人情報か否か
今回摘発されたスウェーデンの通信大手であるTele2の場合、Google Analyticsの設定でIPアドレスの第4オクテット(IPアドレスの最後の8bit)を匿名化(マスキング)していました。しかし、Googleに指定されたJavaScriptのコード(タグ)が利用者のブラウザに読み込まれた時点で一意の識別子が利用者側のブラウザへ記録され、結果、個人を特定するデータとなりうるという判定結果でした。また、IPアドレスの匿名化は、利用者に近いサーバーで実行されるという仕様でしたが、IMYからの問い合わせに対しGoogleはEU側でマスキングするかどうか明確に回答しなかった(つまり匿名処理がUS側で行われている可能性がある)というものです。
(3)今回の衝撃度について
これまでオーストリア、フランス、イタリアなどでGoogle Analyticsが摘発案件となっていましたが、企業が摘発されたのは今回が初めてのものとなります。また、個人データのアメリカへの越境に関しては、当局から指摘が出たら削除すれば大丈夫だろう的な楽観論もありましたが、今回はいきなり高額制裁金が出ていることです。
NOYBによると
今月にもDPF(EU-U.S. Data Privacy Framework)が発効するらしい情報が書かれていますが、これまで無効判決が出た2つのフレームワーク(Safe Harbor Agreement、EU-U.S. Privacy Shield)と構造的に同じなので再び破棄されるだろうと書かれています。なんとも困ったものです。(その通りになるかどうかは全くわかりませんが。。)
まとめ
- EEA内でGoogle Analyticsを使用することは、現時点で大きなリスクがあると言わざるを得ません。Google Analyticsを使用しても違反とならない回避策があれば是非教えてください、、
※ 本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。
