スウェーデンのプライバシー保護庁 (Integritetsskyddsmyndigheten – IMY) は、Google Analytics を使用したとして 2 社に 1,230 万 SEK (100 万ユーロ/110 万ドル) の罰金を科し、同様の行為について他の 2 社に警告しました。
昨日発表された決定文の中で、当局は、企業がウェブ統計を生成するためにGoogle Analyticsを使用することにより、欧州連合の一般データ保護規則(GDPR)に違反していると説明した。
具体的には、これらの企業は、安全性と法的救済メカニズムを保証する保護手段が欠如している国または国際機関への個人データの転送を禁じている GDPR 第 46 条第 1 項に違反していました。
欧州連合司法裁判所 (CJEU) は、2020 年 7 月の「Schrems II」判決により、米国は欧州ユーザーのデータの保管には危険な場所であるとみなされ、いかなるデータも米国に転送されるとの判決を下しました。当時存在していたメカニズム「プライバシー シールド」の文脈では、これらは違法でした。
この違反は、EUベースのユーザーデータを米国のサーバーに転送したとしてアイルランドデータ保護委員会(DPC)がMetaに13億ドルの罰金を科したのと同じものである。
IMY は、オーストリアのデジタル著作権団体 None of Your Business ( NOYB ) による関連する苦情の提出を受けて、Google Analytics ツールが米国で送信するデータの種類を特定するために監査を実施し、それが個人情報を構成すると結論付けました。
この監査は、2020 年 8 月 14 日以降のバージョンの Google Analytics ツールに関するものでした。
「IMYは、Googleの統計ツールを介して米国に転送されたデータは、転送される他の固有のデータとリンクされる可能性があるため、個人データであると考えています」と述べています。
「当局はまた、企業が講じた技術的セキュリティ対策は、基本的にEU/EEA内で保証されているレベルに相当する保護レベルを確保するには十分ではないと結論付けている」 – IMY
懲戒処分を受けた企業は以下の4社。
- Tele2 SA (tele2.se) – 12,000,000 SEK の行政罰金
- CDON AB (cdon.fi) – GDPR 遵守と 300,000 スウェーデン クローナの行政罰金を要求
- Coop SA (coop.se) – GDPR 準拠の呼びかけ
- Dagens Industri (di.se) – GDPR 準拠の呼びかけ
スウェーデンの電気通信およびインターネット サービス プロバイダーである Tele2 SA は最近、独自の判断で Google Analytics の使用を停止することを決定しました。
他の 3 つの組織には、2023 年 6 月 30 日に発表された IMY の決定から 1 か月以内に Google Analytics の使用を停止し、適切なデータ保護措置を講じるよう命じられました。
Google Analytics の使用は、過去にもオーストリア、 フランス、 イタリアのデータ保護当局によって再び GDPR に準拠していないとみなされました。
しかし、違反者に金銭的罰金を課すというIMYの決定は、この種のものとしては初めてのことである。
これらの決定は業界全体の指針としても機能し、Google Analytics を使用している他の企業は EU の規則や規制に準拠するために戦略を調整することを決定する可能性があります。
Comments