SpotifyがGDPR規則違反で540万ドルの罰金

Spotify、人気の音楽ストリーミングプラットフォームは、火曜日にスウェーデンでユーザーのデータアクセス権を侵害したとして、5800万SEK（約540万ドル）の行政罰金を科されました。

2018年に施行された一般データ保護規則（GDPR）によれば、ユーザーはアクセス権を持ち、これは企業がその人に関してどのような個人データを扱っているかを知り、そのデータがどのように使用されているかについての情報を受け取る権利を意味します。

しかし、スウェーデンのプライバシー保護当局（IMY）は、監査中にSpotifyがヨーロッパのGDPRの第15条に違反していることを発見しました。Spotifyは、個人が要求した際に処理している個人データを公開していますが、同社が収集したデータがどのように使用されているかについて明確で包括的な情報を提供していませんでした。

IMYは、Spotifyが「個人の個人データがどのように、また何の目的で扱われているかについて、より透明性を持つべきである」と強調しました。この不明瞭さは、ユーザーが自分の個人データがどのように処理されているかを理解し、その取り扱いが合法であるかどうかを評価するのを困難にしました。

「スウェーデンのプライバシー保護当局（IMY）は、Spotifyのアクセス要求の処理に関する一般的な手続きについて調査を行い、GDPRの第15条1 a-hおよび15.2に基づいて要求を行った個人に提供すべき情報に関連するいくつかの欠陥を発見しました。また、Spotifyが提供した技術ログファイルにおけるデータの説明に関しても問題がありました。IMYは、これに関して個人に対して十分に明確な情報を提供しなかったため、Spotifyに5800万SEKの行政罰金を科しました。この決定には、GDPRの第12.1条、15.1 a-d、gおよび15.2条の違反が含まれています。」と、規制当局は声明で述べました。

「IMYの調査は、3件の異なる苦情に関する調査も含まれており、ここでIMYはSpotifyが調査された2件の苦情に関連するアクセス要求の処理に失敗していることを発見しました。この部分の決定には、GDPRの第12.1条、12.3条、15.1条、15.3条および15.1 a-hおよび15.2条の違反が含まれています。これらの違反に関連して、IMYは注意を促しました。」

規制当局はまた、特定された欠陥は「低い重大性のレベル」と見なされ、科された罰金はSpotifyの収益とユーザー数を考慮に入れていると述べました。

Spotifyは多くの国にユーザーを持っているため、上記の決定はEU内の他のデータ保護当局との協力のもとで行われました。

Spotifyに対する判決は、2019年初頭に非営利のプライバシーおよびデジタル権利団体noybによって音楽ストリーミングプラットフォームに対して苦情が提出されてから4年以上経過した後に下されました。

noybが提出した苦情では、Spotifyがユーザーに要求されたすべての個人データ、データの出所、受取人、またはGDPR第15条に基づく国際データ転送の詳細を提供しなかったと主張しています。

元の苦情はオーストリアで提出されましたが、Spotifyがスウェーデンに本社を置いていたため、IMYに送られました。また、同じ問題に関連するオランダで提出された苦情もスウェーデンのケースに統合されました。しかし、これらのケースはIMYで4年間も停滞しました。

その結果、2022年6月22日、noybはIMYに対してスウェーデンの裁判所で訴訟を提起しました。最終的に、元の苦情が提出されてから4年以上経過した後、IMYはSpotifyに対してGDPR第58(2)(c)条に基づいて苦情者に完全なデータセットを提供するよう命じました。

「スウェーデンの当局がついに行動を起こしたことを嬉しく思います。すべてのユーザーには、自分に関するデータがどのように処理されているかについての完全な情報を得る基本的な権利があります。しかし、このケースは4年以上かかり、私たちはIMYに対して決定を得るために訴訟を起こさなければなりませんでした。スウェーデンの当局は、確実に手続きを迅速化する必要があります。」と、noybのプライバシー弁護士であるステファノ・ロセッティは声明で述べました。

SpotifyはIMYの調査結果を拒否し、EUのGDPR罰金に対して控訴を計画しています。

「Spotifyはすべてのユーザーに対して、個人データがどのように処理されているかについて包括的な情報を提供しています。調査中、スウェーデンのDPAは、私たちのプロセスの中で改善が必要だと考える小さな領域しか見つけませんでした。しかし、私たちはこの決定に同意せず、控訴を計画しています。」と、同社は声明で述べました。

SpotifyがIMYの制裁を考慮してユーザーデータアクセス要求への応答プロトコルを変更しているかどうか尋ねられた際、Spotifyの広報担当者は、現時点で確認することは何もないと述べました。しかし、同社は透明性を高めるためにプロセスを継続的に見直し、改善していることを述べました。