会計事務所がMetaやGoogleに顧客の個人情報を共有したとの疑惑、数千億円規模の罰金が科される可能性も

連邦議会議員らの主導による7ヶ月間の調査の末、複数の会計事務所が納税者の個人情報をGoogleやMetaに提供していたと報告されました。氏名や住所のほか、扶養家族のデータや貯蓄口座の使用状況が共有された疑いがあります。

Attacks on Tax Privacy_Final.pdf
(PDFファイル)https://www.warren.senate.gov/imo/media/doc/Attacks%20on%20Tax%20Privacy_Final.pdf

Tax preparers that shared private data with Meta, Google could be fined billions | Ars Technica
https://arstechnica.com/tech-policy/2023/07/meta-wont-say-what-happened-to-taxpayer-data-it-may-have-illegally-collected/

Democrats call on DOJ to investigate tax sites for sharing financial information with Meta - The Verge
https://www.theverge.com/2023/7/12/23791496/meta-google-tax-filing-warren-sanders-pixel

議員らによると、H＆R Block、TaxAct、TaxSlayerの3社が自社のサービスにGoogleとMetaのトラッキングコードを埋め込んだせいで、顧客の氏名、住所、生年月日、税の申告状況、口座の利用状況などの情報が筒抜けになってしまっていたとのこと。アメリカでは顧客の同意なしに会計事務所が申告情報を共有することを禁じているため、上記3社は法律に違反している可能性があり、議員らはさらなる捜査の上で起訴するよう執行当局に要請しました。

報告書によれば、許可を得ず申告情報を開示した代行者は1回の違反につき最高1000ドル(約14万円)の罰金、および最高1年の懲役刑の対象となり、今回のケースでは数百万人の納税者の確定申告データが共有されているため、潜在的に数十億ドル(数千億円)規模の刑事責任がのしかかる可能性があるとされています。

会計事務所が情報を共有しているという指摘はテクノロジー系メディアのThe Markupによって2022年11月に初めて行われました。その後民主党のエリザベス・ウォーレン上院議員がGoogleとMetaに対して事情を聞き出し、それに続く形で民主党議員3人が内国歳入庁に対して会計事務所を調査するよう要求。7カ月にわたる調査の末に、ウォーレン上院議員および民主党のバーニー・サンダース上院議員らが報告書をまとめて公開し、連邦取引委員会や財務省など関係各所にさらなる調査を行うよう求めました。

The Markupから連絡を受けた3社はトラッキングコードを削除または無効にして対応しましたが、それまでに複数の情報が共有されたとみられています。議員らは「トラッキングコードから得られた情報は広告ターゲティングのために使用された」と指摘していますが、GoogleとMetaはこれに反論しています。

Googleは「厳格なポリシーと技術により、個人を特定できるようなデータを収集することを禁止しています。どのような情報を収集するかは、Googleではなくサイト所有者が管理し、その情報がどのように使用されるかをユーザーに通知しなければなりません。さらに、当社には機密情報に基づく広告に対する厳格なポリシーがあります」と主張。

Metaは「広告主は当社のビジネス・ツールを使って人々の機密情報を送信してはなりません。そのような行為は当社のポリシーに反しており、このようなことが起こらないよう、ビジネス・ツールを適切に設定するよう広告主を教育しています。私たちのシステムは、検出された潜在的にセンシティブなデータをフィルタリングするように設計されています」と主張し、両社ともあくまで広告主(会計事務所)のミスにすぎないとの姿勢を崩さず、得られたデータはすべて匿名化されているので個人情報の漏えいには当たらないと指摘しました。

しかし、議員たちは「2社が行う『ハッシュ化』は『匿名化』技術としては疑わしく、個人を特定するため、あるいはターゲット広告等に利用できるような個人情報を作成するために容易に扱える」と反論しています。

トラッキングコードを埋め込んでいた会計事務所に対しては、議員らは「どのような情報が送信されるのかを十分に理解することなく、専門家に相談することもせず導入していました。どのようなコードが使用されているかを知らなかったケースもあり、会計事務所はコードが納税者のプライバシーにどのような影響を及ぼしているのかを認識していなかったようです」とコメント。ポリシーを守らなかった企業に責任があると主張するGoogleとMetaをけん制しつつ、それでも会計事務所が主たる責任を有しているとの見方を示しました。

議員らは「今回のケースは、納税者データを責任を持って取り扱う税務申告業界の能力と、こうした業界が顧客のプライバシーをどれだけ真剣に考えているかについて、疑問を投げかけるものです」と述べました。