2025年5月2日、アイルランドのデータ保護委員会（DPC）は、動画投稿アプリ「TikTok」に対し、欧州ユーザーの個人データを中国へ移転したことと、その透明性要件の遵守に関して、GDPR（一般データ保護規則）に違反したとして、合計5億3000万ユーロ（約870億円）の制裁金を科すことを発表しました（アイルランドデータ保護委員会（DPC）のプレスリリース：https://www.dataprotection.ie/en/news-media/latest-news/irish-data-protection-commission-fines-tiktok-eu530-million-and-orders-corrective-measures-following）。この決定は、越境データ移転に対する巨額の罰則として、大きな注目を集めました。

 

●違反の内容と規制当局の判断

今回の調査により、TikTokによる欧州ユーザーの個人データ処理において、以下の重大な不備が認定されました。

 

①適切な保護措置の欠如（GDPR46条1項違反）

GDPRでは、EUと同等の個人データ保護水準が認められるとして「十分性認定」を受けた国以外の第三国への個人データ移転には、「適切な保護措置」を講じることが義務付けられています。DPCは、十分性認定を受けていない国である中国のTikTokのスタッフが、欧州ユーザーの個人データにリモートアクセスできる状態にありながら、個人データがEUと同等のレベルで保護を受けていることを検証・保証・実証できておらず、中国の反スパイ法などに基づく当局のアクセスリスクに対し、実効性のある追加的な保護措置が講じられていなかった、と判断しました。TikTok側はSCCを締結しているとして反論したものの、DPCはSCCによって「適切な保護措置」が講じられているとは認めませんでした。

 

②透明性要件の違反（GDPR13条1項(f)違反）

DPCは、中国にいるTikTokのスタッフが、シンガポールと米国に保存されている個人データにリモートアクセスすることについて、プライバシーポリシーに明記されていなかった時期があり、このことがユーザーに対する透明性を欠いていた、と判断しました。

 

●制裁と是正命令

DPCは、①の中国への不法な個人データ移転に対して4億8500万ユーロ、②の透明性違反に対して4500万ユーロ、合計5億3000万ユーロの制裁金を科しました。さらに、TikTokに対し、6か月以内にデータ処理をGDPRに適合させるよう命じ、期間内に是正されない場合は中国へのデータ転送を停止するよう求めました。

 

●TikTok側の反応と今後の影響

TikTok側は、今回の決定が、2023年に施行した独自の個人データ保護プロジェクトを実施する以前の状況に焦点を当てたものであり、現在実施している個人データ保護施策を十分に考慮していないものとして、決定に異議を申し立てる方針を明らかにしました。
しかし、本件は「個人データの移転先の法制度に応じた、実効性のある追加的な保護措置が必要である」というGDPR上の原則を改めて示すものとなりました。特に、中国への越境データ移転について単にSCCsを締結するだけでは不十分であり、移転先の法制度に応じた実効性のある追加措置が必要であるとの判断を示した事例の一つとして注目されます。

個人データが世界規模で飛び交う今日のシステムの中で、個人データの取扱いの安全性と透明性の確保は、企業にとって法的な義務となっていると同時に、ユーザーの信頼を得るための不可欠な要素となっています。日本企業にとっても、特に、十分性認定を受けていない第三国への個人データ移転におけるリスク管理の重要性を再認識させる事例といえるでしょう。

 

弁護士　井福貴文