TikTok、中国への不法データ転送で530百万ユーロの罰金

アイルランドのデータ保護委員会（DPC）は、EEAのTikTokプラットフォームのユーザーの個人データの取り扱いに関する広範な調査の結果、TikTok Technology Limited（TTL）に対して530百万ユーロ（約600百万ドル）の画期的な罰金を科しました。

科された罰金は、アイルランドのデータ保護委員会（DPC）による4年間の調査に続くもので、DublinにあるTikTokのヨーロッパ本社のためにEUの主要監督機関であるDPCによって課された、GDPR（一般データ保護規則）に基づく最大の罰金の一つです。

目次

• コンプライアンスの期限
• 会社が控訴予定

コンプライアンスの期限

この決定は、人気の短編動画共有アプリがEU法に完全に準拠するための6ヶ月の期限を課しています。この期間内に会社が期限を守らなければ、EEAユーザーデータの中国へのすべての転送が停止される可能性があります。

「TikTokは、EEA [欧州経済地域] ユーザーデータを中国に転送する際にGDPRに違反し、その透明性要件を満たしていません。この決定には530百万ユーロの行政罰金が含まれ、TikTokに対して6ヶ月以内に処理をコンプライアンスに適合させるよう命じる命令が含まれています」とDPCは金曜日に声明を発表しました。

DPCの調査によると、中国のテクノロジー大手ByteDanceが所有するTikTokは、EU内で要求されるように、中国の従業員がアクセスしたEUユーザーの個人データを適切に保護していませんでした。

具体的には、TikTokはGDPRの第46条第1項の重要な規定に違反し、中国の法律と慣行がEU内で「本質的に同等」の保護を提供していることを適切に検証しませんでした。また、データ転送と処理の性質についてユーザーに適切に通知しなかったため、GDPRの第13条第1項(f)にも違反しました。

「TikTokの中国への個人データ転送はGDPRに違反しました。なぜなら、TikTokは、スタッフが中国からリモートでアクセスしたEEAユーザーの個人データがEU内で保証されている保護レベルと本質的に同等であることを確認、保証、示すことができなかったからです」と、調査結果の深刻さを強調しながら、Graham Doyle副委員長は述べました。

TikTokは、中国の法律—反テロ法、反スパイ法、サイバーセキュリティ法、国家情報法—がEUのデータ保護基準から実質的に逸脱していると特定しました。それにもかかわらず、DPCは、同社がGDPRに要求される効果的な補足措置を実施せず、完全な法的分析を行わなかったと述べました。このような法律は、政府が個人データにアクセスできるようにし、EUのプライバシー保護を損なう可能性があります。

DPCは、TikTokが調査の間、EEAユーザーデータを中国にあるサーバーに保存していないと主張していたと付け加えました。しかし、2025年4月、TikTokは2025年2月に一部のEEAデータが実際に中国のサーバーに保存されていたことを発見したと明らかにし、同社の以前の声明と矛盾しています。

「DPCは、中国のサーバーにEEAユーザーデータが保存されているという最近の展開を非常に真剣に受け止めています。TikTokがデータが現在削除されたとDPCに通知した一方で、私たちは、他の規制措置が必要かどうかを、他のEUデータ保護当局と相談しながら検討しています」とDoyleは付け加えました。

クリスティン・グラハン、TikTokのヨーロッパにおける公共政策および政府関係の責任者は、同社がDPCの決定に同意せず、欧州のユーザーデータを中国当局に提供したことはなく、データ転送のために標準的な法的メカニズムを使用していると述べました。

会社が控訴予定

同社はまた、TikTokの新しい「プロジェクト・クローバー」を通じて導入された重要なデータセキュリティの改善を十分に考慮していないと主張し、決定に対して控訴する計画です。

これは、TikTokがデータプライバシーに関して監視を受けたのはこれが初めてではありません。2023年、DPCは、13歳から17歳のユーザーのアカウントをデフォルトで公開に設定し、子供のユーザーにプライバシー設定に関する十分な透明性情報を提供しなかったため、TikTokに345百万ユーロの罰金を科しました。