グーグル制裁金、個人情報の収集手法に「待った」

【シリコンバレー=白石武志】米IT（情報技術）大手のデータ独占に目を光らす欧州のデータ保護機関が、米グーグルの個人情報収集の手法に待ったをかけた。利用者からの同意を得る手続きが不完全であることなどを理由に、同社に5千万ユーロ（約62億円）の制裁金を科すと発表した。複雑なデータ利用の全体像を消費者に簡潔に示すよう求めており、グーグルは難題を抱え込んだ。

グーグルへの巨額制裁を発表したのはフランスのデータ保護機関「情報処理・自由全国委員会」（CNIL）。欧州連合（EU）が2018年5月に施行した一般データ保護規則（GDPR）に基づく米IT大手向けとしては初の制裁事例となる。これまでも明らかになっている制裁の事例はあるが、5千万ユーロの制裁金はその中では最大とみられる。

CNILはプライバシー保護に取り組む民間団体からの訴えを受け、18年9月にスマートフォン向け基本ソフト（OS）「アンドロイド」でグーグルのアカウントを作成するオンライン検査を実施した。検査では(1)グーグルから提供される情報が利用者にとって容易に入手可能ではない(2)広告を個別化する際に必要な利用者の同意を得ていなかった――という2種類のGDPR違反が見つかったという。

例えばグーグルがユーザーから集めている個人情報の目的や保存期間などの説明は複数の文書にまたがっていた。利用者が情報を知ろうとした場合にはボタンを何度もクリックしなければならず、最大で5～6段階の操作が必要なケースもあったという。

広告の個別化の処理についても、グーグルが集めた個人情報がどの範囲で使われるのかを利用者が認識することができないと指摘した。グーグルは利用者がアカウントを作成する際に利用規約への同意を求めているが、CNILは「十分な情報提供に基づくものではない」といい、「同意は正当に得られていない」と主張している。

グーグルの広報担当者は同日、「我々は（透明性などに関する）人々の期待とGDPRの同意要件を満たすことに徹底的に取り組んでいる」との声明を出した。グーグルは仏行政訴訟の最終審に当たる国務院に不服を申し立てることができるが、「次のステップを決めるため（CNILの）決定を詳しく調べている最中だ」としてまだ態度を明らかにしていない。

これまでグーグルのスンダー・ピチャイ最高経営責任者（CEO）は決算発表などの席で「我々は（施行の）18カ月前から準備を進めてきた」などと述べ、GDPRが定める同意要件への対応に自信を示してきた。今回のCNILによる制裁はピチャイ氏らの想定が甘かったことを示すもので、グーグルは利用者の視点に立ったより透明性の高い情報開示を迫られる可能性がある。

ただ、グーグルは収集した個人情報を検索サービス上の広告だけでなく動画共有サービス「ユーチューブ」や地図アプリ「グーグルマップ」など様々なサービスに活用しており、全ての利用範囲について個別に利用者からの同意を得るのは容易ではない。消費者のプライバシー保護を盾にグーグルへの圧力を強める欧州当局の手法が、欧州での同社の事業継続や将来のサービス開発に支障となる恐れもある。

GDPRは個人情報を扱う企業に対し、データ収集の目的などを明示した上で、ユーザーからの同意を得ることを求めている。違反すると最大で世界の年間売上高の4%か2千万ユーロのうち高い方を罰金として科される。CNILはグーグルへの制裁について、EU域内の他のデータ保護機関とも調整を進めるとしており、今後は同様の制裁が他の国にも広がる可能性がある。