Facebook傘下のWhatsAppに罰金290億円の判決、EUの圧力で罰金額は4倍超に跳ね上がる

アイルランドのデータ保護委員会(DPC)が2021年9月2日に、個人情報の使用に関する説明を怠りEU一般データ保護規則(GDPR)に違反していたとして、Facebook傘下のメッセージアプリであるWhatsAppに対して2億2500万ユーロ(約290億円)の罰金を科したと発表しました。これを受けてWhatsAppは、控訴する意向を示しています。

Data Protection Commission announces decision in WhatsApp inquiry | 02/09/2021 | Data Protection Commission
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry

Facebook’s WhatsApp Fined Around $270 Million for EU Privacy Violations - WSJ
https://www.wsj.com/articles/facebooks-whatsapp-fined-around-270-million-for-eu-privacy-violations-11630576800

WhatsApp fined a record 225 mln euro by Ireland over privacy | Reuters
https://www.reuters.com/technology/irish-data-privacy-watchdog-fines-whatsapp-225-mln-euros-2021-09-02/

DPCが9月2日に、GDPRに基づいて行われていたWhatsAppに対する調査の結果を発表しました。2018年12月10日から開始されていたこの調査の結果、DPCは「WhatsAppは、Facebookを含む他企業とユーザー情報を共有することなど、個人情報の使途に関する説明を十分に行っていなかった」として、WhatsAppに対して2億2500万ユーロの罰金を言い渡しました。

Facebookの欧州本社がアイルランドの首都・ダブリンにあることから、WhatsAppに対する調査を担当していたDPCは、当初500万ユーロ(約65億円)の罰金を検討していました。しかし、EU8カ国から罰金が少なすぎるとの異議申し立てがあったほか、調査に時間がかかりすぎているといった批判の声もあったため、DPCは規制当局間の対立について規定したGDPR第65条に基づく紛争解決プロセスを開始しました。これにより、WhatsAppへの制裁を強化する決定が採択され、罰金額が2億2500万ユーロへと大幅に増額されたとのことです。

2億2500万ユーロという罰金額は、Facebookの2020年の収益の約0.8％に相当する額で、GDPRの施行以来2番目に大きな金額です。2021年7月には、Amazonが消費者のデータを広告に流用してGDPRに違反したとして、これまでで最高額となる7億4600万ユーロ(約970億円)の罰金が言い渡されました。

今回の制裁に対し、WhatsAppの広報担当者は「2018年に提供していた透明性に関する今日の決定には同意できず、また罰金はあまりにも不相応です。我々は、提供する情報が透明性のある包括的なものになるよう努めてきました」と述べて、控訴する意向を示しました。今回の決定は、EU諸国全ての規制当局を代表する理事会での採択に基づいているため、WhatsAppはアイルランドの裁判所に控訴するだけでなく、EUの司法裁判所に直接訴える可能性もあります。

アイルランドには、Facebookの他にGoogleやAppleのハイテク企業が欧州本社を構えているため、DPCはこれらの企業に対する調査も受け持っていますが、活動家や他のEU諸国の規制当局からは手ぬるいとの批判が集中しているとのこと。例えば、今回のWhatsAppへの罰金の前に下された大企業への制裁は、2020年12月にTwitterに言い渡された45万ユーロ(約6000万円)の罰金だけでした。

こうした批判に対し、DPCのデータ保護委員であるヘレン・ディクソン氏は「ハイテク企業の案件は複雑で、慎重に扱わなければ後の裁判で覆される危険性があります」と説明し、難しい立場にあることをにじませました。