メタのWhatsApp、GDPR違反で550万ユーロの罰金を支払うことに

アイルランドのデータ保護委員会（「DPC」）は木曜日、メタが所有するWhatsApp Irelandに対し、同国でのサービスに関連するEU一般データ保護規則（GDPR）違反により550万ユーロ（600万米ドル）の罰金を科しました。

罰金に加えて、アイルランドのDPCはソーシャルメディアの巨人に対し、データ処理業務をGDPRルールに適合させるための6か月の猶予を与え、さもなければさらなる措置を講じるとしています。

DPCによる最近の罰金は、メタにとって大きな打撃となります。なぜなら、同じ機関からInstagramやFacebookの他の子会社がGDPRルールを無視していたとして390万ユーロの罰金を科せられたばかりだからです。

WhatsAppに関しては、DPCによる決定は、2018年5月25日にドイツのデータ主体からWhatsAppサービスに関する苦情が提出されたことに関する調査の結論です。

苦情者は、GDPRが2018年に発効した際に、ユーザーがサービスにアクセスするために新しい「契約」条件を受け入れる必要があるというWhatsAppの新しいルールに異議を唱えました。

プラットフォームの更新された利用規約によれば、GDPRの導入後にWhatsAppサービスへのアクセスを継続したいユーザーは、更新された利用規約を選択する必要がありました。条件を拒否した場合、サービスにはアクセスできなくなります。

言い換えれば、WhatsAppはユーザーがサービスを継続して利用したい場合、データ処理に同意することを実質的に強制していたため、苦情者はこれがGDPRに違反していると主張しました。苦情者は、ユーザーは処理されるデータについて選択権を持つべきだと考えていました。

DPCによる包括的な調査の結果、監視機関はWhatsAppが「透明性に関する義務に違反している」と認定しました。なぜなら、データ処理がどのように行われ、何の目的で行われているのかについて十分な明確さを提供していなかったからです。

DPCは、WhatsApp Irelandが実際にはユーザーの同意に依存しておらず、個人データの処理に対する合法的な根拠を提供していないと判断しました。

WhatsApp Irelandは「サービスの改善とセキュリティの目的のために個人データの処理に対する合法的な根拠を提供する契約法的根拠に依存する権利はない」と付け加え、サービスのデータ処理の合法的根拠がEU法に違反していると述べました。

DPCが2023年1月12日に採択した罰金の最終決定は、12月初旬にEUのデータ保護規制機関である欧州データ保護委員会（EDPB）によって下された3つの拘束力のある決定に続くものです。

罰金に加えて、EDPBはDPCに対し、以下に関する新たな調査を実施するよう指示しています：

「WhatsApp IEのサービスにおける処理業務が特別なカテゴリーの個人データ（GDPR第9条）を処理しているか、行動広告の目的でデータを処理しているか、マーケティング目的でデータを処理しているか、第三者にメトリクスを提供するためにデータを処理しているか、サービス改善の目的で関連会社とデータを交換しているか、GDPRに基づく関連義務を遵守しているかを判断するため。」

木曜日にDPCの決定に対して、メタはこの決定に対して控訴すると述べ、覆すことを目指すとしています。

「私たちは、サービスの運営方法が技術的にも法的にも適合していると強く信じています。私たちは、サービスの改善とセキュリティの目的のために契約上の必要性に依存しています。なぜなら、人々を安全に保ち、革新的な製品を提供することが私たちのサービスを運営する上での基本的な責任だと考えているからです」とWhatsAppのスポークスパーソンは述べました。

「私たちはこの決定に同意せず、控訴する意向です。」