Googleアナリティクスを使用したスウェーデン企業、GDPR違反で制裁金を科される
スウェーデンの個人データ保護庁(IMY)は最近、Googleアナリティクスを使用してWeb統計データを生成したことがGDPR違反にあたるとして、同国の企業2社に合計110万ドル相当(123万スウェーデン・クローナ)の制裁金を科した。また別の2社に対しても同様の違反に対する警告を行った。IMYによれば、上記4社の行為は、安全保護措置が十分でない国や国際機関への個人データ移転を禁じるGDPR第46条第1項に反するのだという。
米国へのデータ移転はGDPR違反となる場合が
そもそもGDPRにおいて、EU域内から域外への個人データ移転は原則として禁じられているが、十分性認定(移転先の国・地域で、法整備などに基づき、十分に個人データ保護を講じているとの認定)を得ている国・地域への移転は例外的に適法とされている。またGDPRの第46条「適切な保護措置に従った移転」では、欧州委員会からの十分性認定を得ていない国・地域への個人データ移転は、SCC(標準契約条項)の締結などの追加の保護措置を講じている場合に限って適法であるとされている。
しかし今回のケースで移転先にあたる米国(Google社の拠点)には十分性認定がなされておらず、また2020年7月の「Schrems II」判決によりプライベートシールド(EU域内から米国への個人データ移転手段)も無効とされている。さらにIMYによれば、違反者となったスウェーデン企業4社の講じていた技術的セキュリティ対策は不十分であり、EU/EEA域内で保証される保護水準に見合ったレベルのものではなかったとされる。
「Googleアナリティクスの利用」が「米国への個人データ移転」に該当するとの判断
今回GDPRに違反しているとみなされた行為は、米国企業Googleの統計ツールであるGoogleアナリティクスの利用。IMYは、同ツールを通じて米国のサーバーへ移転されたデータは、「移転されるその他の固有データと紐づけることが可能である」ことからGDPR上の「個人データ」に該当すると判断している。
Googleアナリティクスの利用がGDPR違反とみなされたケースは過去にも
Googleアナリティクスの利用は、過去にもオーストリア、フランス、イタリアのデータ保護当局によってGDPR違反に該当するとみなされていた。しかし、スウェーデンのケースのように同ツールの利用を理由に制裁金が科されるのは今回が初めてであるという。
今回の決定は業界全体の教訓に?
業界全体およびGoogleアナリティクスを利用する諸企業は、今回スウェーデン企業4社の行為がGDPR違反と判定されたケースをある種の教訓とみなし、GDPRを遵守するための対応を決定する上で参考にすることができるかもしれない。
(情報源:BleepingComputer ”Google Analytics data transfer to U.S. brings $1 million fine to Swedish firms”、IMY ”Four companies must stop using Google Analytics”)