2023.01.23
【アイルランド】メタ社、GDPR違反として制裁金3.9億ユーロが科される
アイルランドの個人データ保護機関(DPC)は、2022年12月31日、メタ・アイルランド社(メタ)に対しGDPR違反として計3.9億ユーロの制裁金を科す決定をした。本事案はGDPRの施行日である2018年5月25日に提訴されたもの。GDPRの施行にあたり、メタは、フェイスブック及びインスタグラムにおける個人情報の取扱いについて、同意取得の形式ではなくメタと利用者の間の「契約」の形式に利用規約を変更し、以降その運用を続けている。これはデータ取扱いに係る法的根拠をGDPR第6条第1項(b)に規定される「契約の履行」に依拠させるもので、メタは取得したデータに基づく行動ターゲット広告が利用者との間の「契約」で規定されるサービスの提供に不可欠なものであるため、当該「契約」による個人データ取扱いがGDPRを順守したものであるという立場を取っている。
DPCは当初、「契約」に基づくメタの個人情報の取扱いをGDPR違反ではないという立場を取っていたが、他国の個人データ保護機関との協議において合意に至らなかったためEDPBへ争点が持ち込まれた。EDPBが、2022年12月5日、行動ターゲティング広告のためのデータ個人取扱いに関し、「契約」を法的根拠に使うことはできないという結論を出したことを踏まえ、DPCは、2022年12月31日、メタに対しGDPR違反として、フェイスブックに関し2.1億ユーロ、インスタグラムに関し1.8億ユーロの計3.9億ユーロの制裁金を科すことを決定するとともに、3か月以内に個人データ取扱いのオペレーションを改善するよう命じた。