アマゾンのGDPR巨額罰金は、法律の力と限界を浮き彫りにする

2021年8月5日午前9時

これは、大手テック企業に対するGDPRの重要な判決としては初めてのものです。しかし、この判決に関する秘密主義は、この規制の欠陥を露呈させています。

巨額の罰金が科されると約束されていたが、GDPRはついにその約束を果たした。先週、Amazonの財務記録から、ルクセンブルク当局が欧州規則違反を理由にAmazonに7億4600万ユーロ（8億8300万ドル）の罰金を科すことが明らかになった。

この罰金は前例のない額です。GDPRに基づく罰金としては過去最大であり、他のすべてのGDPR罰金の合計額の2倍以上となります。Amazonが控訴しているこの罰金は、GDPRが緩い執行とわずかな罰金に疲弊している中で課されました。専門家は、GDPRの調査が遅すぎて効果がないため、企業が人々のプライバシーを侵害しても罰せられないと指摘しています。GDPRを完全に廃止すべきだと考える人もいます。

しかし、ルクセンブルクによるアマゾンに対する措置は、2つの点で際立っています。第一に、GDPRの潜在的な力を示していること、第二に、EU全体でGDPRの規制がいかに一貫性なく適用されているかという欠陥を露呈していることです。そして、この2つの理由から、これはGDPRに関する最も重要な決定と言えるでしょう。

「規制当局に膨大な数の大型訴訟が山積みになっているため、GDPRが実質的に効力を持つことを示すために、これらの訴訟の一つが解決されるのを待ち望んでいました」と、非営利インターネット擁護団体Access Nowのグローバルデータ保護責任者、エステル・マッセ氏は語る。当初Amazonに対して苦情を申し立てたフランスの市民団体La Quadrature du Netは、規制当局が「大手テック企業」に対する法的措置を講じられる「希望」を与えてくれたと述べた。

注目を集めた罰金にもかかわらず、Amazonが科された罰金の詳細についてはほとんど知られていない。この件はルクセンブルク当局が担当した。ルクセンブルクはAmazonの欧州における主要拠点となっているためだ。この小国は歴史的にタックスヘイブン（租税回避地）とされてきたが、Amazonが同国で租税を逃れているという非難は欧州裁判所によって却下されている。しかし、Amazonに罰金を科したことで、ルクセンブルクの国家データ保護委員会は、少なくとも短期的には、プライバシー保護派として注目を集めるようになった。

La Quadrature du Netが2018年5月に1万人を代表して提出した最初の苦情申し立てでは、Amazonの広告システムは「自由な同意」に基づいていないと主張していました。しかし、私たちが知っているのはそれだけです。ルクセンブルクの規制当局は、7月15日にAmazonに対する判決を下したと述べていますが、それ以上の詳細は公表していません。当局の広報担当者は、ルクセンブルクの「職業上の守秘義務」法により、控訴手続きが完了するまでは詳細を公表できないと述べています。そして、膨大なデータを必要とするAmazonは、この罰金に対して控訴すると述べています。

「データ漏洩は発生しておらず、顧客データが第三者に漏洩した事実もありません」とAmazonの広報担当者は述べている。確かにそれは良いことだが、企業がGDPRに違反するためにはデータ漏洩が発生する必要はない。広報担当者はさらに、同社が顧客に「関連性の高い広告」をどのように表示するかに関するルクセンブルクの判決は、「欧州のプライバシー法の主観的で検証されていない解釈に基づいており、提案されている罰金はその解釈と全く釣り合いが取れていない」と主張している。

Amazonの主張には一理あるかもしれない。控訴手続きや交渉によって罰金が減額される可能性はある。昨年、英国のデータ保護当局はブリティッシュ・エアウェイズに課した罰金を1億8,400万ポンド（2億5,600万ドル）からわずか2,000万ポンド（2,800万ドル）に減額した。また、ホテルグループのマリオットに対する罰金も、9,900万ポンド（1億3,700万ドル）から1,800万ポンド（2,500万ドル）に減額された。

アマゾンへの7億4,600万ユーロの罰金は、これまでのどの罰金よりもはるかに高額で、現在の記録はグーグルへの5,000万ユーロです。GDPRは巨額の罰金を科すことを可能にしていますが、現実には規制当局がそのような罰金を科すことはこれまでほとんど考えられませんでした。法律事務所DLAパイパーの分析によると、2021年初頭までに、欧州各国の規制当局がGDPRに基づき科した罰金は合計2億7,200万ユーロ（3億2,200万ドル）に上ります。イタリアのデータ保護機関は6,930万ユーロの罰金を科し、これが最も高額です。ドイツ（6,900万ユーロ）、フランス（5,400万ユーロ）、英国（4,400万ユーロ）がこれに続きます。

このリストにはヨーロッパで最も人口の多い国がいくつか含まれていますが、ヨーロッパで最も重要なデータ保護当局であるルクセンブルクとアイルランドは含まれていません。GDPR法の下では、ヨーロッパの複数の国で事業を展開する企業は、本社所在地を1カ国として選択し、その国に苦情を集約することができます。このプロセスはワンストップショップ・メカニズムと呼ばれています。罰金や、企業の行動変容を促す執行措置を含む決定が下される前に、当該事案に関心を持つすべてのヨーロッパ諸国に反論する権利が与えられます。

Amazonはルクセンブルクを主要なデータ保護規制当局に選定しており、フランスで最初に提起された同国に対する苦情は同国の当局に提出された。Facebook、Google、Twitter、Appleに対する多数の重大な苦情は、これらの企業の欧州本社があるアイルランドのデータ保護委員会（DPC）に提出されている。2018年5月のGDPR導入以降、アイルランドのデータ保護委員会が大手テクノロジー企業に対して下した判決は、2020年12月にTwitterに対して45万ユーロ（53万3000ドル）の罰金を科した1件のみである。WhatsAppに対するもう1件は係争中である。

ワンストップショップは機能していないと多くの人が指摘している。「機能していない」と、欧州データ権利団体NYOBのプログラムディレクター、ロマン・ロバート氏は言う。ロバート氏は、ワンストップショップ制度のせいでGDPRに関する苦情が見落とされたり、長時間の遅延やコミュニケーションの途絶が生じたりしていると主張する。「ワンストップショップには期限がない」と彼は言う。「加盟国ごとに手続きが大きく異なるため、どこに問い合わせればいいのかを把握しておかなければならない」

資金不足と過重労働に悩まされることが多いGDPR規制当局も、この体制に不満を抱いている。2021年5月にAccess Nowが発表したGDPR分析は、規制当局の懸念を示している。ドイツの規制当局は、遅延の長さを指摘した。アイルランドは、個々のケースにおいてどのデータ保護団体が「主導機関」となるべきかを判断するのが難しい場合があると述べた。スウェーデンは、国によってアプローチが異なるため、各国が「効果的に協力」することが難しいと述べた。不満は尽きない。

「これは煩雑なシステムです。すでに非常に複雑な執行状況にさらなる複雑さを加えるからです」と、ベルギーのデータ保護当局の訴訟部会長であるヒエルケ・ハイマンス氏は述べています。ベルギーの規制当局であるFacebookとワンストップショップの適用方法に関する訴訟は、欧州の最高裁判所の一つに持ち込まれ、状況によっては各国がこのメカニズムを回避できることを改めて示しています。「このシステムの煩雑さ、そして大手テクノロジー企業のほとんどが1つか2つの加盟国に集中していることから、長期的に持続可能なのかどうかについては多くの議論があります」とハイマンス氏は述べています。

EUのデータ保護規制当局間の協力を促進するために設立された独立機関である欧州データ保護委員会（EDPB）は、システムが完璧ではないことを認めています。「国家レベルでの執行と国境を越えた事案の解決を同時に行うには、時間とリソースを大量に消費します」とEDPBの広報担当者は述べています。「こうした課題やその他の課題は認識していますが、EDPBはGDPRやワンストップショップの仕組みの全面的な見直しには賛成していません。」EDPBは、「ゆっくりとではありますが、着実に成果が見えてきています」と述べ、ワンストップショップが効果的に活用された最終決定は254件に上るとしています。

では、システムを改善するために何かできることはないのだろうか？ EDPBの広報担当者は、GDPRは「長期的なプロジェクト」であり、欧州の規制当局間の「協力強化」に取り組んでいると述べている。しかし、マッセ氏とロバート氏は共に、事態はさらに進展させるべきだと述べている。GDPR関連の調査には期限を設け、何年も延々と続く事態を防ぐべきだと彼らは主張する。また、規制当局もより迅速に行動する必要がある。「この制度が実際に機能するためには、一見退屈に見える官僚的な問題に取り組む必要があります」とマッセ氏は言う。「これらはEUレベルで解決し、対処すべき問題です。」

この記事はもともと WIRED UKに掲載されたものです。

WIREDのその他の素晴らしい記事