Google Analyticsを使用したデータ転送に対して初の罰金判決

スウェーデンのデータ保護当局が「EU圏のユーザーのデータをアメリカにあるサーバーに移動させることは違法にあたる」というEU一般データ保護規則(GDPR)の方針に基づき、Google Analyticsを利用してデータをアメリカに転送していた通信プロバイダーに対して1200万クローナ(約1億6000万円)、小売業者に対して30万クローナ(約400万円)の罰金を科しました。Google Anaylyticsを利用した企業がGDPRにより罰金判決を受けるのは初のことです。

noyb win: First major fine (€ 1 million) for using Google Analytics
https://noyb.eu/en/noyb-win-first-major-fine-eu-1-million-using-google-analytics

Companies must stop using Google Analytics
https://www.imy.se/en/news/companies-must-stop-using-google-analytics/

Stop using Google Analytics, warns Sweden’s privacy watchdog, as it issues over $1M in fines | TechCrunch
https://techcrunch.com/2023/07/03/google-analytics-sweden-gdpr-fines/

欧州司法裁判所が2020年に「EUとアメリカ間でデータ転送を行うことは基本的に違法」という判断を示したにもかかわらず、多くのEU企業は判決を無視し、「補足措置」や「標準契約条項」をめぐる主張に依存する形で、引き続きGoogleやMeta、Microsoft、Amazonなどのサービスを使い続けています。

オーストリア・ウィーンに本拠を置く消費者権利団体・noybは、Googleにデータを送っていることが特定されたEU加盟国の101のウェブサイトを告訴。

2022年1月に、オーストリアのデータ保護当局・Datenschutzbehördeは、匿名のドイツ企業によるデータ転送がGDPR違反であるという判決を下しました。このとき、問題のドイツ企業への罰則はありませんでした。

「Googleへのデータ転送は違法」という判決が下りGoogleアナリティクスがEUで違法になる可能性 - GIGAZINE

2022年2月にはフランス当局も、Google Analyticsによるデータ転送は違法と判定しています。

「Googleアナリティクスの使用は違法」とデータ保護機関が宣言、ウェブサイト運営者にGoogleアナリティクス排除を命令 - GIGAZINE

今回、スウェーデンのデータ保護当局であるIntegritetsskyddsmyndigheten(IMY)は、プロバイダーのTele2、小売のCDON、Coop、Dagens Industriの4社に対する監査を実施。4社とも、Google Analyticsを用いた個人データ転送は「標準契約条項」にのっとって行っていました。

IMYは技術的セキュリティ対策が不十分であると判断し、Tele2に対して1200万クローナ、CDONに対して30万クローナの行政的罰金を科すことを決定。また、すでにGoogle Analyticsの利用を停止したTele2を除く3社に、Google Analyticsの利用停止を命じました。Google Analyticsを利用したことでGDPR違反であるとして企業が罰金を科されるのは初の事例です。

GDPRでは、個人データの適切な保護レベルを備えた国だと欧州委員会が判断した国との間でデータを転送することは認められています。しかし、オーストリアのマクシミリアン・シュレムス氏がFacebookを相手取って起こした裁判の結果、「Schrems II判決」によってEUからアメリカへのデータ転送の根拠とされてきた2000年のセーフハーバー協定は無効化され、アメリカはEUからのデータ転送相手として必要な保護レベルを満たさないと結論づけられています。今回の決定は改めて、EUからアメリカへのデータ転送の拒否を突きつけるものです。

なお、noybは2023年7月に、EUとアメリカの間の新協定が発行されると述べています。ただし、協定の内容は以前のものと同じなため、欧州司法裁判所によって破棄される可能性が非常に高いそうです。