カジノサイト
メタに対して12億ユーロの罰金を記録、GDPR施行5年をマーク
コンプライアンスの施行から 5 年後、データ保護当局は、EU の一般データ保護規則 (GDPR) に違反するデータ共有慣行に対して、メタ社に過去最高額の 12 億ユーロ (13 億ドル) の罰金を科しました。
アイルランドデータ保護委員会(DPC)は、メタアイルランドがEUユーザーの個人データをその後どのように米国に転送し続けたかを調査した訴訟を決定した後、この結論に達した。無効にしたデータ共有契約2 つのエンティティ間。
メタは、EU と米国の規制当局が確立に向けて取り組んでいる間、CJEU 判決後に合意されたデータ共有慣行(標準契約条項と呼ばれる)を使用していました。新しいデータ共有契約。しかし、「これらの取り決めは、CJEU の判断で特定されたデータ主体の基本的権利と自由に対するリスクに対処していなかった」と DPC は a.
最初の審査で、DPC はデータ転送が の違反であることを発見しました。GDPR に準拠しており、2023 年 10 月末までに停止される必要があります。ヨーロッパの規制当局と欧州データ保護委員会 (EDPB) による DPC の決定の検討を経て、初めて違反に対して罰金を課す決定が下されました。
「EDPBは、メタ(アイルランド)の侵害が組織的、反復的、継続的な移転に関するものであるため、非常に深刻であると判断した」とEDPB議長のアンドレア・イェリネクはaで述べた。「Facebook はヨーロッパに数百万人のユーザーを抱えているため、転送される個人データの量は膨大です。前例のない罰金は、重大な侵害が広範な影響を与えることを組織に強く示すものです。」
あるメタのグローバル担当社長ニック・クレッグ氏と最高法務責任者ジェニファー・ニューステッド氏は、同社はこの判決に対して控訴すると述べた。
「最終的に、2020年のプライバシー シールドの無効化は、データへのアクセスに関する米国政府の規則とヨーロッパ人のプライバシー権との間の根本的な法の矛盾によって引き起こされた」とクレッグ氏とニューステッド氏は書いた。 「これはメタも他のどの企業も単独では解決できない紛争です。したがって、ヨーロッパでサービスを提供しようとしている他の何千もの企業と同じ法的メカニズムを使用しているときに警告を受けたことには残念に思っています。」
監視の衝突
この紛争は、2013 年に元米国家安全保障局 (NSA) 請負業者が最初に明らかにしたエドワード スノーデン監視プログラムの詳細を記した機密文書が報道機関に流出(の下で運営されている)1978) これにより、米国諜報機関がテクノロジー企業から EU ユーザー データにアクセスできるようになりました。
EU 居住者のマクシミリアン・シュレムス氏はその後、メタ氏の個人データの米国への移転はアイルランドおよび EU のデータ保護法に違反していると主張して、DPC に苦情を申し立てました。彼の苦情が最終的に解散につながったセーフハーバーの—EU と米国間のデータ共有協定—として知られる 2016 年の決定
この決定の後、EU と米国はプライバシー シールドと呼ばれる新しいデータ共有協定について交渉しました。しかし、シュレムス氏はこの協定にも異議を唱えることを決意し、米国諜報機関がEU居住者のデータにアクセスしたこともあり、再び成功した。この決定はとして知られていました これにより、規制当局が新しいデータ転送協定の交渉に取り組む間、企業は標準契約条項 (SCC) と追加の保護措置を使用して、EU のプライバシー規制を尊重した方法で EU 域外でデータを共有することが可能になりました。
一方、DPC はシュレムスの 2013 年の最初の苦情の評価を継続し、月曜日にメタが GDPR に違反しており罰金の対象であるとの決定を発表した。シュレムスの組織ニョブが出した決定後、これを、決定が有利であるにもかかわらず GDPR の施行が機能していない例だと呼びました。
「DPCが最初の判決(現在控訴される)に達するまでに10年以上かかっただけでなく、この訴訟ではマックス・シュレムス氏がアイルランドDPCにその任務を遂行させるために3回の訴訟を起こす必要もあった。これには、EU司法裁判所とEDPBがアイルランドDPCに対し、この訴訟を効果的に処理するよう3回指示したことが含まれる。この訴訟の費用は500万円以上と見積もられている」 1,000万ユーロ。」
しかし、DPCの月曜日の決定は、SCCが米国諜報機関の慣行に関わる根本的な監視とプライバシー問題に対処するのに十分でない可能性があることを明らかにしているため、この判決に同意しない人もいるかもしれない、と国際プライバシー実務家協会(IAPP)の副会長兼最高知識責任者のケイトリン・フェネシー氏と調査・洞察部門ディレクターのジョー・ジョナス氏は記事で書いた。
「この最終的な DPC 決定は、法執行と国家安全保障を目的とした政府によるデータへのアクセスに関する米国の規則と慣行を理由に、メタによる SCC と追加の保護措置の使用がシュレムス II 決定によって残された法的空白を埋めることができるとは考えていないことを EU [データ保護当局] が示している」と彼女は説明した。 「メタ社がそのような決定の傷を負っているという事実は、これが企業だけでは完全には解決できない課題であることを改めて示しています。」
その代わり、GDPRとプライバシー権を尊重する新しいデータ共有協定を策定するために、米国とEUの規制当局間の交渉に対する圧力が高まるだろう。
「この記録破りの罰金の額は、それが送信する信号の重要性と一致しており、時間切れである」とフェネシー氏は共有された声明で述べたセキュリティ管理。「外交的な解決がすぐに行われない場合、企業全体への影響は罰金そのものよりもはるかに大きくなるでしょう。現在、すべての注目が、概要が示されているスケジュールと、その適切性の判断がどれだけ早く行われるかに注目することになります。EU-米国間のデータ プライバシー フレームワーク完了できます。”
彼女は、アイルランド DPO の決定は企業に重大なリスクが存在することを示しているとも付け加えました。
この決定により、「EUの企業が米国のビジネスパートナーにデータのローカリゼーションを要求したり、国内の代替手段に切り替えたりする可能性がある」とフェネシー氏は説明した。 「このような変化は、適切性のプロセスそのものよりも長引く可能性があります。」
GDPR の影響
GDPR のコンプライアンス施行日が発効してから 5 年が経過しましたが、GDPR は人々のプライバシーの認識と規制当局によるプライバシーの保護方法に影響を及ぼし続けています。
IAPP のジョナス氏の分析によると、この規制により、欧州企業はプライバシーに平均 110 万ユーロ (100 万ドル) 以上を費やしており、130 か国以上で国内プライバシー法が制定されています。
Don Zoufal、CrowZnest Consulting 社長、メンバー、GDPR の影響は甚大であると述べています。
「規制の範囲と、EU の管轄下で事業を展開する企業に及ぶ範囲は広範囲に及びます」とズファル氏は説明します。 「これは、EU 域内と域外の両方で設立または運営されている組織の、セキュリティ運用を含む運用のためのデータ使用に直接影響します。EU の経済力により、GDPR データ保護ルールの適用は、EU 内で事業上の利益を持つあらゆる企業の基本標準となっています。」
Zoufal 氏は、この規制はブリュッセル効果も生み出したと付け加えました。ブリュッセル効果とは、GDPR がデータプライバシーの問題や懸念に対処するための規制構造を開発する際に世界中の国々に与える影響です。米国のカリフォルニア州、コロラド州、バージニア州における最近の消費者プライバシー法は、この影響の一例であると彼は言います。
「GDPR 後の時代において、セキュリティ専門家はプライバシーの懸念に留意する必要があります」と Zoufal 氏は付け加えます。 「個人識別情報 (PII) の使用に対する監視が強化されているだけでなく、PII の定義そのものが変化しています。たとえば、CCTV 画像などのデータを他のデータ ソースと集約する機能により、収集時には PII ではなかったものが PII に変換される可能性があります。セキュリティ専門家は、収集するデータとデータの使用方法にますます注意を払う必要があります。」
ジョー・バイデン米国大統領が、提案されているEU-米国データプライバシーフレームワークの下でデータセキュリティ機関がアクセスできるものを制限するいくつかの改革を制定しようとしているにもかかわらず、DPCの決定は、GDPRと矛盾する米国の監視慣行の一部を再開する取り組みにさらなる問題を引き起こす可能性もあります。
「この大統領令は、とりわけ、米国司法省内にデータ保護審査裁判所を創設し、ヨーロッパ人が米国諜報機関によるデータの使用方法に異議を申し立てることを可能にする」と、
第 702 条プログラムは米国議会が更新法案を可決しない限り、2023年末に。しかし、国際的な批評家とともに、米国人もまた、このプログラムが令状なしに米国国民のデータを収集する能力について懸念を表明している。
「外国人をターゲットにしているとされるが、第 702 条は政府が米国人の電話、テキストメッセージ、電子メールに無令状アクセスするための豊富な情報源になっている」と分析している。プログラムが更新される場合には、大幅な改革を主張している。 「2021 年だけで、FBI はアメリカ人の情報を見つけるために、702 件の通信に対して最大 340 万件の令状なしの捜索を実施しました。」
