それは、世界中のデータ プライバシーの世界が待ち望んでいた瞬間でした。規制当局は 1 月 21 日、欧州連合の一般データ保護規則 (GDPR) に違反したとして Google に 5,000 万ユーロ (5,670 万米ドル) の罰金を科しました。これは、規則の遵守期限後の企業に対する初めての多額の罰金です。

フランス国家データ保護委員会 (CNIL) は、GDPR の原則 (透明性、情報、同意) の「侵害の深刻さ」を考慮して、罰金の額は正当であると述べた。

「Googleが実施した措置にもかかわらず、観察された侵害は、膨大な量のデータ、多種多様なサービス、ほぼ無制限の組み合わせに基づいているため、私生活の重要な部分を明らかにする可能性のある処理操作に関する重要な保証をユーザーから剥奪している」とCNILはプレスリリースで述べた。同委員会は、これらの違反は「現在に至るまで観察されているように、継続的な規制違反である。これは一度限りの時限的な違反ではない」と付け加えた。 

None Of Your Business と La Quadrature du Net の 2 つの団体は、2018 年 5 月に CNIL に苦情を申し立てました。彼らは、Google には広告のパーソナライズを目的としてユーザーの個人データを処理するための GDPR に基づく有効な法的根拠がないと主張しました。

その後、CNIL は Google の調査を開始し、ユーザーが Android スマートフォンを使用して Google アカウントを作成した際、このテクノロジー企業の行為が 2 つの点で GDPR に違反していることを発見しました。それは、広告のパーソナライズ処理の透明性と法的根拠です。

CNIL の分析により、Google が収集しようとしている情報についてユーザーに提供した通知には、簡単にアクセスできないことが判明しました。

「データ処理の目的、データの保存期間、広告のパーソナライズに使用される個人データのカテゴリなどの重要な情報が、補足情報にアクセスするためにクリックする必要があるボタンやリンクを備えた複数の文書に過剰に分散されている」とCNILは説明した。 「関連情報にはいくつかの手順を経て初めてアクセスでき、場合によっては最大 5 つまたは 6 つのアクションが必要になります。」

また、ユーザーが Google のデータ慣行に関するこの情報にアクセスできたとしても、それは必ずしも「明確または包括的」ではなかったと CNIL は述べています。

「ユーザーは、Google によって実行される処理操作の範囲を完全に理解することができません」と規制当局は付け加えた。その理由は、Google が使用した用語が「あまりにも一般的かつ曖昧であり、さまざまな目的で処理されるデータのカテゴリーも同様です。広告のパーソナライズのための処理操作の法的根拠が同意であり、会社の正当な利益ではないことをユーザーが理解できるほど、伝達される情報が十分に明確ではありません。」

CNIL はまた、Google が広告のパーソナライズのためにデータを処理するためにユーザーの同意を有効に取得していないため、GDPR に違反していることも判明しました。これは、Google が会社のデータ慣行についてユーザーに十分に情報を提供していないためであり、ユーザーが広告のパーソナライズのために収集されるデータを変更するプロセスを実行する際に、オプションが事前チェックされるためです。

これは GDPR に違反すると CNIL は説明しました。「同意は、ユーザーからの明確な肯定的アクション、たとえば、事前にチェックが入っていないボックスにチェックを入れた場合にのみ『明確』になるからです。」

BBC によると、Google は罰金に対して、ユーザーは透明性と管理を期待しており、「その期待と GDPR の同意要件を満たすことに全力で取り組んでいる」との声明を発表した。 

2019 年 2 月にアイルランドのダブリンで開催されたイベントで、Google の最高プライバシー責任者であるキース・エンライト氏は、同社が CNIL の調査結果に対して控訴するつもりであると述べた。 （までに控訴を提出していなかった）セキュリティ管理の報道時間。) Google はこの記事に関するコメントの要請に応じませんでした。

Google はこの調査結果に対して控訴する予定ですが、最初の罰金は GDPR 遵守施行 1 年目の転換点となります。この規制は 2012 年に起草され、2016 年に承認され、2018 年 5 月 25 日に発効しました。

GDPR は、EU 国民が自分の個人データをより詳細に管理できるようにすることと、共有することを選択し組織が保持するデータに対する権利を与えることを目的として設計されました。この法律では、EU 国民のデータを収集する組織に対し、データ収集について「明確かつ積極的な同意」を得ること、明確でわかりやすい言葉でプライバシー ポリシーを定めること、データが侵害された場合に国民に通知すること、国民が自分のデータを他の組織に転送することを許可すること、一般に「忘れられる権利」として知られるデータの削除を要求することが求められました。

企業は規制を遵守するために2年間の期限が与えられていたにもかかわらず、多くの企業は期限までに遵守しなかった。他の企業は、準拠するために限定的な努力しかせず、最初の多額の罰金が発行されるまで待って、規制当局がどれだけ執行に真剣に取り組んでいるかを確認することを好みました。

「…多くの企業は、欺瞞的なインターフェース設計や行動的ナッジによってユーザーを操作して同意を与えるようにしながら、法律の順守をシミュレートしてきた」と電子フロンティア財団（EFF）特別顧問のアラン・トナー氏はEFFへの記事で述べた。 「大手企業が他の国家データ保護当局からフリーパスを得ようとしている場合、その決定はCNILのアプローチと決定的に対照されることになる。」 

施行開始から 1 年が経過しても、多くの企業は依然として GDPR に準拠していないと、RSA Conference 2019 でプライバシー法についてプレゼンテーションを行った Virtru 社の首席社会科学者である Andrea Little Limbago 氏は述べています。 

多くの企業がコンプライアンスを達成する上で直面する中心的な課題は、アクセス権の要求に応えることである、と彼女はインタビューで説明していますセキュリティ管理.

「消費者がデータの収集方法や使用方法についてますます警戒しているため、データ要求の数は増加しており、多くの企業は読み取り可能な形式のデータで期限内に安全に応答できない可能性があります。」と Limbago 氏は言います。

企業は、特に透明性とアクセシビリティに関して、GDPR の同意要件にも苦労しています。 

「GDPR では、企業はデータの複数の使用を 1 つの同意書にまとめることはできません。これは多くの業界の標準でした。」と彼女は付け加えました。

この行為は、Google が GDPR に違反していると判明した理由の 1 つであり、リンバゴ氏は、CNIL が同意を重視し、Google が初めての重大な罰金を科されたこと、そして Google がユーザーが同意した行為以外の行為にデータを使用していたことには驚かなかったと述べています。 

同様の罰金を回避するために、リンバゴは企業がユーザーの個人情報を収集する同意の取得方法を見直すよう提案しています。

「データの使用にはそれぞれ独自の同意が必要であり、ユーザーが何を選択しているのかを正確に明確にする必要があります」と彼女は説明します。 「この透明性は不可欠であり、同意を前提とするボックスの自動入力など、ユーザーが積極的に同意を確認する必要があるため、準拠とはみなされない標準的な商慣行から移行する必要があります。」

企業が GDPR への準拠に向けて動き続ける一方で、カリフォルニアに本拠を置く企業は間もなくデータ プライバシーの新たな課題に直面することになります。 2018 年 6 月、当時のカリフォルニア州知事ジェリー ブラウンは、2020 年に施行されるカリフォルニア州消費者プライバシー法 (CCPA) に署名しました。

CCPA は、カリフォルニア州住民の個人情報を収集および処理する、または州内で事業を行う営利組織に適用されます。また、CCPA が適用される組織は、年間総収益が 2,500 万ドルを超えること、毎年 50,000 人を超えるカリフォルニア州住民の個人情報を受信または共有すること、またはカリフォルニア州住民の個人情報を販売することで年間収益の少なくとも 50% を得るという 3 つの追加基準のいずれかを満たさなければなりません。 

CCPA は、データ侵害後にデータを侵害から保護するために合理的な措置を講じたことを証明することを企業に義務付けるなど、GDPR と類似点もありますが、欧州の規制とも異なります。

「CCPA は、GDPR の対象となる特定のカテゴリの個人データを無視します。これは、HIPAA などの米国の他の規制でカバーされているためです」と Limbago 氏は言います。 「罰則も少し異なります。GDPR は世界の年間売上高の最大 4% に焦点を当てていますが、CCPA は違反ごとの罰金に焦点を当てています。」

GDPR とは異なり、CCPA は組織にデータ保護担当者の雇用や影響評価の実施を義務付けておりません。

「良いニュースは、GDPR に準拠している企業にとって、米国で施行されるさまざまな法律のつぎはぎに準拠することがはるかに簡単になるということです」と Limbago 氏は付け加えました。 「実際、米国全土で統一されたデータ プライバシー法の欠如が、これらのポリシーの出現の速さを考えると、コンプライアンスの最大の課題となる可能性があります。」

バーモント州は最近、データ ブローカーに適用されるデータ プライバシー対策を可決し、コロラド州は消費者データ保護法を可決し、マサチューセッツ州はプライバシー法を検討しています。米国上院商業科学運輸委員会も、今年初めに連邦データプライバシーフレームワークの創設に関する公聴会を開催しました。

「テクノロジーの急速な革新の時代において、消費者はデータがどのように収集され使用されるかについて透明性を必要としています」と委員会委員長のロジャー・ウィッカー米国上院議員 (共和党-ミシシッピ州) は述べた。 「イノベーション、投資、競争を抑制することなく消費者を保護するための連邦プライバシー基準を開発するのは、この委員会の責任であり義務です。」

しかし、リンバゴ氏は、米国はより多くの抵抗に遭う可能性が高い連邦プライバシー条項を採用する前に、連邦政府としてデータ侵害に関する法律の調和に努めると考えていると述べた。 

「現在、米国には 50 以上のデータ侵害通知法があり、それぞれの規定や要件が若干異なります。」と彼女は言います。

そして国際舞台では、各国はおそらく 2 つの方向のいずれかに進むでしょう。つまり、同様の規制を伴う GDPR を受け入れるか、より権威主義的な見解を採用することです。例えばベトナムは最近、共産主義当局が国家に反していると主張するコンテンツを削除するようインターネット企業に義務付ける法律を制定した。ベトナム国民のデータを収集する企業も国内に事務所を構える必要があります。 

インドはまた、インド人のユーザーデータを収集する企業にそのデータを国内に保管し、個人データを国家の利益のために処理することを義務付けるデータプライバシー法も検討している。

「これらの新しい法律は言論の自由を制限し、政府にデータへのアクセスを義務付ける傾向があります」とリンバゴ氏は説明する。 「この競合する枠組みを最もよく体現しているのは中国とロシアですが、ベトナムの最近のデータ法とインドで議論されているデータ法はどちらも権威主義版のデータ保護の側面を反映しており、世界的に広がり続けているモデルです。」