英国で初めて欧州の新しいデータプライバシー法違反通知を受けたカナダのデータ分析会社が、同社に対する請求に対して控訴している。
GDPRに基づく通知は、英国情報コミッショナー(ICO)から、Facebookとケンブリッジ・アナリティカのスキャンダルに関与した組織AggregateIQに対して送付された。同社は2,000万ユーロ(2,350万ドル)の罰金を科される可能性がある。
同社は不正行為を否定し、通知に異議を唱えている。
GDPR 通知は、企業が個人データを収集する際の制限、そのデータの使用方法を公開すること、そして個人が情報の削除を要求できることが法的に義務付けられる新しいデータ プライバシー環境における最初の通知です。
この通知は、ICOによるFacebookのデータ収集に関する調査の最中だった7月に送付されましたが、ICOの執行ページには掲載されておらず、実際、ICOのウェブサイトのどこにもこの通知に関する言及はありません。通知自体(PDF)は、「政治キャンペーンにおけるデータ分析の利用」に関する「調査の最新情報」の末尾にある付録にハイパーリンクされていました。これがGDPRに関する通知であるという事実は、先週になってようやく明らかになりました。
ICOレポート[PDF]のタイトルは、ケンブリッジ・アナリティカのスキャンダルに言及している。このスキャンダルでは、ソーシャルメディア大手Facebookの機能を利用して、この怪しげなデータ会社が、特定のアプリ(この場合は「アンケート」)をダウンロードした人の友達の情報を収集し、何百万人もの人々に関する情報を収集していた。
違反
その情報はその後、英国の欧州連合離脱(Brexit)投票やドナルド・トランプ氏の米国大統領選出など、一連の物議を醸した政治キャンペーンで利用された。
ICOの通知では、AggregateIQが「データ主体が認識していない方法で、データ主体が予期していなかった目的で、かつその処理の法的根拠なしに個人データを処理した」ため、GDPR規則の第5条、第6条、および第14条に違反したと非難されている。CAからAIQに情報が流出したという点で、AggregateIQはケンブリッジ・アナリティカと関連があるとされているが、AggregateIQはいかなる関連性も否定している。
欧州の GDPR、Whois の大改革はスパムの津波を引き起こすはずだったが、それはどこにあるのだろうか?
続きを読む
この処理は「当初のデータ収集目的と矛盾していた」。また、同社は第三者からデータを受け取ったことを利用者に通知していなかった。通知では、同社に対し、保有する個人データを「いかなる広告目的」でも処理することをやめるよう命じている。
これらの違反に対して、ICOはGDPRで定められた最高2,000万ユーロまたは企業の年間売上高の4%のいずれか高い方の罰金を課すことができる。
AggregateIQは、ブレグジット支持派のキャンペーンが収集したデータを活用し、ソーシャルメディアを通じて潜在的な有権者を「マイクロターゲティング」したとみられている。同社はFacebookだけでブレグジット関連広告に200万ドルを費やした。
興味深いことに、同社はGDPR施行日の5月25日より前に問題のデータをすべて収集していたため、責任は問われないと考えていた可能性があります。しかし、GDPRが施行された時点でも同社はデータを保有しており、ICOは責任を問われる可能性があると述べています。
訴える
AggregateIQは、違反通知について控訴中であることを表明するにとどまり、コメントを拒否した。3月に初めてウェブサイトに掲載された声明には、次のように記されている。
この通知はGDPR制度下で初めて送られたものですが、これが最後ではないことは間違いありません。欧州各国のデータ保護規制当局は、Google、Facebook、Instagram、WhatsAppなど、ほぼすべてのソーシャルメディア企業を対象に、消費者から多数の苦情を受けています。各企業に対する調査は現在も継続中だと考えられています。®
