LinkedInがアイルランドデータ保護委員会から510億円の罰金を科される、ターゲット広告目的のデータ取り扱いでGDPRに準拠せず

LinkedInが「ターゲティング広告を目的としてユーザーの同意を得て情報を第三者へ送っていた」ことについて、EUの一般データ保護規則(GDPR)を満たしていない不十分な同意だったとして、アイルランドデータ保護委員会(DPC)はLinkedInに3億1000万ユーロ(約510億円)の罰金を科すことを決定しました。

Irish Data Protection Commission fines LinkedIn Ireland €310 million | 24/10/2024 | Data Protection Commission
https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million

Microsoft-owned LinkedIn fined €310m by Irish Data Protection Commission – The Irish Times
https://www.irishtimes.com/business/2024/10/24/microsoft-owned-linkedin-fined-310m-by-irish-data-protection-commission/

この問題は2018年、フランスのデジタル著作権保護団体・La Quadrature Du Netがフランスで起こした訴訟が発端となっています。

訴状は、フランスのデータ保護当局から、MicrosoftのGDPRに関するコンプライアンス監視を担当するDPCへと渡り、2018年8月からDPCによる調査が行われてきました。

LinkedInは、ユーザーの情報をターゲティング広告目的で第三者に送信していましたが、ユーザーの同意を得て行っていたものだと主張しています。

しかし、GDPRは個人情報利用には適切な法的根拠が必要となることを定めており、DPCはLinkedInは根拠を欠いていたと認定。また、ユーザーの情報を使用していることについて、ユーザーに対して適切な通知が行われていなかったことも指摘されています。

これらを踏まえて、DPCはLinkedInに、EUでGDPR違反を理由に科されたものとしては過去6番目に高額となる3億1000万ユーロの罰金を科すことを決定しました。LinkedInには30日間の上訴猶予期間が与えられます。

決定に対してLinkedInは「我々はGDPRに準拠していると確信していますが、DPCの指定期限(3カ月後)までに広告慣行が今回の決定内容を確実に満たせるよう取り組んでいきます」との声明を発表しています。

Our Response to the Irish Data Protection Commission’s Decision
https://news.linkedin.com/2024/October/Our-Response-to-the-Irish-Data-Protection-Commissions-Decision