厳格なデータ処理が行われているEU各国

GDPRの違反例を通覧して言えることは、EU各国の当局は個人データ処理の基本原則の違反に対して厳格な対応を見せてきています。すなわち、GDPRには個人データ処理に関する情報を本人に提供し、そして個人データ処理は適法に行われ、機微情報等の一定の処理については本人の同意を必要とします。

この基本原則は日本法やアメリカ法とも多くの部分で重なり合うが、この基本原則の運用面においてEUでは厳格に審査されてきました。たとえば、同意ひとつとっても、日本法では個人情報保護法に定義がなく状況次第では黙示の同意も認められるとされているが、GDPRでは黙示の同意、ボックスに事前にチェック済みの同意、同意の撤回を認めないものはすべて無効とされます。

この例を端的に示したのが、上記の例とは別に新たに2020年12月フランス個人データ保護監督機関CNILによる法執行です。CNILは、Googleに対し約126億円(1億ユーロ)、Amazonに対し約44億円(3500万ユーロ)の制裁金を命じる決定を下しました。

CNILの決定では、Googleの検索サイトを訪問した時点で広告用クッキーが埋め込まれる仕組みになっており、第1に、事前に利用者に対してクッキーに関する明確かつ完全な情報提供を行ってなかったこと、第2に、広告用クッキーについて利用者から事前の同意を得ていなかったことが違反の根拠とされました。

Googleはすでに2020年1月にはサード・パーティー・クッキーを用いた追跡を2年以内に停止することを表明していたが、今回この制裁金を受けてか2021年3月4日付Googleのブログでターゲティング広告の追跡の停止を改めて表明しました。Amazonに対する制裁金についても同様の違反根拠が指摘されました。

個人と民主主義を守るためにも個人データ保護は重要

クッキーによるウェブ閲覧の追跡技術は、自らのパソコンやスマートフォンを手にしている際に監視カメラで常時覗かれ、記録されていることと変わりません。

写真=iStock.com/Urupong
※写真はイメージです

さらに、ケンブリッジアナリティカ事件で顕在化したとおり、ウェブの閲覧履歴やFacebookの「いいね!」の履歴から当人の支持政党が推知され投票行動が操作されるという企てが行われ、個人データの乱用は民主主義の歪曲という事態にまで発展しました。

個人の人格と民主主義を確保するためにも個人データの保護はデジタル化を推進する上で重要な主題となっています。いずれにしても、GAFAに象徴されるデジタルプラットフォーム企業への厳しい法的規律は、独占に対する競争法による取り締まりのほかに、個人情報保護の観点からも理解することができます。