アイルランドデータ保護委員会（DPC）は、2023年5月22日、一般データ保護規則（GDPR）に違反したとして、Meta社に12億ユーロの罰金を科しました。

規制当局は、Meta社が欧州のユーザーのデータを米国にあるサーバーへ違法に転送しており、ユーザーのプライバシーを確保するための十分な措置を講じていないと判断しました。

Meta社は、5ヶ月以内にデータ転送を停止し、国境を越えて違法に転送されたEU/EEAユーザーの個人データを削除しなければなりません。そうでなければ、また新たなリスクに直面します。

Meta社は、問題のあるEUと米国のデータフローにすでに対処している欧州連合司法裁判所（CJEU）の以前の判決を受けて、米国への個人ユーザーデータの転送を続けていました。2021年に欧州委員会によって採択された最新の標準契約条項（「SCCs」）に基づき、転送を継続しました。

アイルランドの規制当局は、これらの取り決めが、CJEUの判決で示された欧州のデータを主体とする「基本的権利と自由」に十分に対処していないことを証明することに成功しました。Meta社は、米国当局やその他の権限ある団体による監視や同意のない使用の可能性に基づくEUユーザーのデータを保護するために十分な対策をしていませんでした。

なぜ欧州の規制当局は米国の大手ハイテク企業を狙うのでしょうか？

GDPR規制は、米国に拠点を置く大手ハイテク企業にとって、コンプライアンス上切実な問題でした。

事実上、ユーザー同意の収集、準拠したデータ保存の確保、ユーザーベースの相当な部分に対するデータ削除要求の権利などの措置をとらなければならなくなりました。

しかし、Google社やMeta社などの企業は、市場ごとに個別のデータ処理インフラを持っていません。その代わりに、すべてのユーザーデータは米国にある各社のサーバーに集約されます。

データ保管施設の所在地が問題になっています。2020年、CJEUはプライバシーシールドの無効化という歴史的な判決を下しました。もともと国際企業は、データ保護の7つの原則を守れば、EUとアメリカの間でデータを転送することが許されていました。この取り決めはプライバシーシールドと呼ばれていました。

しかし、継続的な調査により、プライバシーシールド制度はGDPRに準拠していないことが判明したため、企業は国境を越えたデータ転送をこの制度に基づいて利用できなくなりました。

プライバシーシールドの無効化は、大手ハイテク企業のコンプライアンス状況をさらに調査する根拠となりました。

2022年3月、アイルランドのDPCは、「欧州ユーザーの情報セキュリティを確保するための技術的・組織的措置が不十分」として、Meta社に最初の1700万ユーロの罰金を科しました。2022年9月、Meta社はInstagramがGDPRの原則に違反したとして、再び4億500万ユーロの罰金が科されました。

2023年も一連の判決で始まり、DPCはMeta社のFacebookサービスに関するGDPR違反（罰金2億1000万ユーロ）、Instagramに関する違反（罰金1億8000万ユーロ）と結論付けたのです。

明らかに、Meta社はGDPR対応が不十分だと知っていたにもかかわらず、プライバシーに焦点を当てた行動を取ることを拒否していました。

Google社はGDPRに対応していますか？

Google社はGDPRへの完全なコンプライアンス遵守において、Meta社と同様の「実績」を持っています。Google社は、データプライバシーを管理するためのより多くのコントロールをユーザーに提供すると述べていますが、提案された解決策は表面をなぞっただけのものです。

その背景には、Google社が保有するユーザーの閲覧・行動・端末データの豊富な蓄積を、製品開発や広告に活用しているということがあります。

2022年、アイルランド自由人権協会（ICCL）は、Google社がウェブユーザーの情報を知らないうちに、あるいは同意なしにリアルタイム入札広告システムで使用していたことを明らかにしました。一方、フランスのデータ規制当局（CNIL）は、同年、クッキーの同意バナーが不十分だったとして、Google社に1億5千万ユーロの罰金を科しました。

しかし、Google AnalyticsのGDPRコンプライアンス対応状況の方がより大きな懸念材料となります。

2020年のプライバシーシールドの枠組み無効化に伴い、Google Univeral Analytics（UA）、Google Analytics 4のいずれもGDPRに対応していません。

スウェーデン、フランス、オーストリア、イタリア、デンマーク、フィンランド、ノルウェーの各規制当局から、Google AnalyticsはGDPRに準拠していないため、使用することは違法であるとの罰金判決が下されました。

規制の決定は、Google社だけでなく、GAのユーザーにも影響します。同製品が欧州のプライバシー法に違反しているため、使用している人たちは満足しています。例えばnoybのようなプライバシー団体は、Google Analyticsを使用している個々のウェブサイトを訴える権利を行使しています。

ウェブサイト分析でGDPRを遵守する方法

潜在的なリスク露出を避けるために、各ウェブサイト分析プロバイダーのデータ保存および管理方法を選択的に調査します。

最初に会社のデータ保存場所について問い合わせてください。例えば、Matomo CloudはすべてのデータをEUに保管しますが、Matomo On-Premiseエディションでは、任意の国にデータを保管するオプションが用意されています。

次に、同意の追跡とその後のデータ分析に関するプロセスについて尋ねます。当社のウェブサイト分析製品は、ファーストパーティ・クッキーをデフォルトで有効にし、アウト・アウトを追跡する便利なオプションを提供し、データ削除メカニズムを提供し、安全なデータ保存を実践しているため、GDPRに完全に準拠しています。実際、Matomoはフランスのデータ保護局（CNIL）により、トラッキングの同意なしにデータ収集に使用できる数少ないウェブ解析アプリとして承認されています。

内蔵したGDPRマネージャーを使用することで、Matomoのユーザーは、市場や業界に適した管理セットを実装することができます。例えば、データまたはIPの匿名化、訪問者ログとプロフィールの無効化などを実施することができます。

プライバシー・バイ・デザインのアーキテクチャとネイティブ・コントロールにより、ユーザーはHIPAA、CCPA、LGPD、PECRといった最も厳しいプライバシー法にもMatomoアナリティクスを準拠させることが可能です。

GDPRに対応したウェブサイト解析について詳しく解説します。

おわりに

2018年にGDPRが施行されて以来、規制に違反した様々な企業に対して1,400件以上の罰金が科されています。Meta社やGoogle社は、欧州の規制要求に対して、当初は甘い対応をしてきました。しかし、新たな罰金が続き、消費者の圧力が高まるにつれ、ハイテク企業は、パーソナライズ広告のオプトアウトを追加したり、サードパーティクッキーに代わる仕組みを導入したりと、より積極的な対応を迫られています。

GDPRに準拠していないツールを使用している企業は、消費者の怒りと規制当局の批判の矢面に立たされる危険性があります。倫理的でコンプライアンスに配慮したビジネスを展開するためには、特にウェブサイト解析の分野で、プライバシーに焦点を当てたGoogle製品の代替品として検討してください。