• 明倫国際法律事務所

コラム

COLUMN

【GDPR】Whatsapp、個人情報保護に関して290億円もの制裁金が科される

個人情報保護法・GDPR

2021.09.10

執筆:弁護士 池辺健太

1.Whatsappへの制裁金

アイルランドのデータ保護委員会は、2021年9月2日、WhatsAppに2億2500万ユーロ(約290億円)もの制裁金を科しました。EUのGDPR(一般データ保護規則。個人情報保護を目的とした規則です。)への違反がその理由です。
日本企業にも適用可能性があるGDPRに関し、巨額の制裁金が課された事例として注目を集めています。

WhatsAppは、欧米では一般的なメッセンジャーアプリで、日本におけるLINEと同じ立ち位置にあります。利用人口は20億人、世界人口の4分の1による利用があるともいわれているほどメジャーです。

制裁の根拠についてメディアでは、Whatsappが「個人情報の扱いについて利用者への十分な説明を怠った」と報じられていますが、これをもう少し掘り下げて説明すると、以下のとおりです。

2.Facebookによる買収とGDPRの規制

WhatsAppは2014年に買収され、Facebook傘下に入りました。
情報企業であるFacebookは、膨大な利用者数を誇るWhatsAppの個人情報を活用したいと考えますが、GDPRには次のような定めがあります。

■GDPR Article13.1 抜粋
管理者は、その個人データを取得するとき、データ主体に対し、以下の全ての情報を提供しなければならない:
(c)予定されている個人データの取扱いの目的、及び、その取扱いの法的根拠
(d)その取扱いが第6 条第1 項(f)を根拠とする場合
(※筆者注 「正当な利益」のために取扱いが必要となる場合)、管理者又は第三者が求める正当な利益

GDPRにおいては、そもそも一定の法的根拠がない限り、個人データ(個人情報)を取り扱うこと自体ができません。また企業は、個人データの主体、つまり当該個人情報に関する本人に向けて、どのような法的根拠により個人データを取り扱うのか、情報提供しなければなりません。

さらに、その情報提供については「透明性」が要求されています(GDPR Article12.1等)。
この透明性とは、利用者にとっての理解のしやすさ、記載の箇所や記載方法等も含めての分かりやすさ、簡潔さ、アクセスが簡単であること等、情報提供自体の受け手に対して、伝わりやすいということを意味しています。

以上のように、GDPRが求める「情報提供」とは、プライバシーポリシーをWebで公表することを情報提供とする日本の個人情報保護法よりもかなり厳格です。建前だけではなく、情報提供の受け手が現実的に個人情報に関する自己決定を行える、そんな取組みを求めるものといえます。

3.Whatsappによる情報提供に関する判断

ユーザーに対するWhatsAppの情報提供は、上記のような「透明性」を有しているかという点をも踏まえたとき、当局から不適切と判断されました。

データ保護委員会は、情報提供の適法性をチェックするにあたって、Whatsappのプライバシーポリシーに詳細な検討を加えています。

例えば、Whatsappのプライバシーポリシーには複数のリンクが含まれ、他のセクション、利用規約、FAQ等に飛ぶことが可能となっていました。
Whatsappが主張するように、これによって豊富な情報提供をしており、ユーザーの理解にも役立つという面はあるでしょう。

しかし、これは断片的な情報提供ともいえ、ユーザーがリンク先を参照した場合、同じような記載を複数回読まされることにもなり、重複や矛盾の中で必要な情報を見落とす、と否定的に評価することもできます。
詳細の説明をリンク先に頼ると、ユーザーが、Webサイト上をあっちに行ったりこっちに行ったりすることになります。その問題を解決できるような、ユーザーが知りたい情報にシンプルにアクセスできるような動線や、情報を集合させた「まとめ」のような表記はなかったため、情報過多による「分かりづらさ」を、当局は否定的に評価しました。

またデータ保護機関は、プライバシーポリシーが”循環的”な部分(詳細はこちら、という趣旨のリンク先を参照しようとしても、当該リンク先には、元のセクションへのリンク先が記載されているような状態)を含むことも指摘しています。

その他に当局は、利用規約とプライバシーポリシーに整合しない部分があることも指摘していることから、プライバシーポリシーだけでなく、1つの企業が表明する複数の法的文書やWeb上の記載について、一貫した整合性を持たせることも必要であるという点が参考になります。

当局による詳細な検討は、「ユーザーが自己の個人情報の取扱いについて理解し、判断することが可能であるか」という、建前としての情報開示を超えた、本質的な情報開示を求めるものです。日本企業としても、個人情報保護法制の遵守にあたり、教訓にすべき部分は多いです。

4.これからの個人情報保護

アイルランドのデータ保護委員会が制裁金を科したのは、GDPRが施行された2018年から継続して行っていた調査に関するものです。WhatsAppは、2021年1月に入ってからも、新たなプライバシーポリシーの改訂について同意を求めた際、ユーザーから大きな反発を受けることがありました。
個人情報の商業的活用と個人情報保護との対立は、今後も続いていくと思われます。

個人情報の取扱いを適正化せよという圧力は、国際的にも日本においても高まっており、Facebookほどの情報企業でなくとも、個人情報保護の体制を再確認する必要が生じています。

  • ・東京、福岡、上海、香港、ホーチミン、ハノイの世界7拠点から、各分野の専門の弁護士や弁理士が、企業法務や投資に役立つ情報をお届けしています。
  • ・本原稿は、過去に執筆した時点での法律や判例に基づいておりますので、その後法令や判例が変更されたものがあります。記事内容の現時点での法的正確性は保証されておりませんのでご注意ください。

一覧に戻る

ページの先頭へ戻る