2018年に施工されたGDPR(EU一般データ保護規則)について、詳しく知らない人もいると思うので分かりやすくまとめてみようと思います。
2019年はGDPR違反によって制裁金が科される企業が出てきました。有名な事件だと以下の通りです。
- GoogleがGDPR違反で制裁金62億円
- イギリスの航空会社British Airways(BA)に対して約250億円の制裁金
- マリオット・インターナショナルに対して約135億円の制裁金
大企業といえども馬鹿にならないほどの制裁金が課されています。
なぜ、Googleをはじめとするこれらの大企業はGDPR違反で制裁金を払わなくてはいけなくなったのでしょうか。
Googleの事例をもう少し深堀してみます。
フランス監督当局CNILは2019年1月21日付でGoogleに対して約62億円の制裁金を課すことを公表しました。
Googleは「透明性」と「適法性」の観点からGDPRを違反したと言われております。
透明性のある情報提供を行う義務に違反していた
- 重要な情報(処理の目的、データ保有期間、個人データの種類など)について分散されて記載されている。ユーザが5,6回もクリックしないといけなかった。
-
どのように情報が処理されているのかが曖昧で、ユーザが処理内容について理解するのは困難だった。
ターゲティング広告を行うための適法性に関する違反
- 特定性のある同意を取得しておらず有効な同意を得ていない。
- ターゲティング広告の処理についてドキュメントが分散していた。
- 同意を得るために事前にチェックされたチェックボックスが表示されていた。(チェックされていない状態で表示しなければいけない)
- Googleのアカウントを作成するために、提供されたチェックボックスにチェックする必要があった。このチェックによって、ユーザはすべての行為について同意したものとみなされるようになっていた。特定性のある同意を得るためには目的ごとに同意を得る必要がある。
以上のことから、罰金を受けないようにするために企業は以下のことに気を付ける必要があるようです。
- 重要な情報(データの種類や処理の目的、データ保有期間)について、ページを分散させずにまとめて分かりやすく説明する
- 同意を得るときにはまとめて同意を得るのではなく目的ごとに分けて同意を得る
どのような種類のデータが集められていてどのようにデータが処理されているかを明確に記載してほしいです。
このあたりはマイクロソフトのプライバシーのページが参考になります。
https://privacy.microsoft.com/ja-jp/
難しい法律用語は抜きで分かりやすい日本語、分かりやすい絵でプライバシーについて記載されています。
どの企業もこのようにユーザフレンドリーに書いてくれればなぁ。
おわり。