オランダ個人情報保護当局、運転手データの米国移転でUberに2億9,000万ユーロの罰金
(autoriteitpersoonsgegevens.nl)- オランダ個人情報保護当局(DPA)は、Uberが欧州のタクシー運転手の個人情報を米国へ移転する際に必要な保護措置を講じていなかったとして、GDPRの重大違反に当たると判断
- 移転された情報には、アカウント情報やタクシー免許、位置データ、写真、決済情報、身分証明書、一部運転手の犯罪・医療データまで含まれていた
- Uberは2年以上にわたりデータを米国本社へ送っており、2021年8月以降はStandard Contractual Clausesを使っていなかったため、EUの運転手データ保護が不十分だったと判断された
- 今回の調査は、フランスの運転手170人以上が提起した苦情から始まり、Uberの欧州本社がオランダにあるため、オランダDPAがフランスDPAおよび他の欧州DPAと連携した
- Uberは違反を終了し、昨年末からPrivacy Shieldの後継枠組みを使用しているが、2億9,000万ユーロの罰金については異議を申し立てる意向を示した
Uberが受けたGDPR違反の判断
- オランダDPAは、Uberが欧州のタクシー運転手の個人情報を米国へ移転する際に、GDPRが求める保護水準を確保できていなかったと判断
- 問題となったデータは米国のサーバーに保存されており、対象は一般的なアカウント情報にとどまらなかった
- アカウント情報とタクシー免許
- 位置データ、写真、決済情報、身分証明書
- 一部運転手の犯罪データと医療データ
- オランダDPA委員長のAleid Wolfsen氏は、欧州外では個人情報保護が自明ではなく、欧州居住者の個人情報をEU域外に保存する企業は通常、追加措置を講じる必要があると述べた
- Uberは米国移転に関する違反を現在は終了している
国際データ移転ルールと調査の経緯
- Uberは2年以上にわたり運転手データを米国本社へ移転しながら、transfer toolsを使用しておらず、そのため個人情報保護が不十分だったと判断された
- EU司法裁判所は2020年にEU-US Privacy Shieldを無効とした
- Standard Contractual Clausesは、EU域外国へのデータ移転の根拠となりうる
- ただし、実際に同等の保護水準を保証できなければならない
- Uberは2021年8月以降、Standard Contractual Clausesを使用しなくなり、昨年末からPrivacy Shieldの後継枠組みを使用している
- 調査は、フランスの運転手170人以上がフランスの人権団体Ligue des droits de l’Homme(LDH) に苦情を申し立てた後、LDHがフランスDPAに申立てを行ったことで始まった
- GDPRの**ワンストップショップ(one-stop-shop)**原則により、複数のEU加盟国でデータを処理する企業は、主たる事業所がある国のDPAを相手にする
- Uberの欧州本社はオランダにある
- オランダDPAはフランスDPAと緊密に協力し、他の欧州DPAと決定を調整した
罰金額とUberの過去の制裁
- 欧州DPAによる企業への罰金は同一方式で算定され、上限は企業の全世界年間売上高の4%
- Uberの2023年の全世界売上高は約345億ユーロ
- Uberは今回の2億9,000万ユーロの罰金に異議を申し立てる意向を示した
- 今回はオランダDPAがUberに科した3件目の罰金
- 2018年のデータ漏えいに関連して60万ユーロの罰金を科した
- 2023年には個人情報規制違反で1,000万ユーロの罰金を科しており、Uberはこの罰金にも異議を申し立てている
1件のコメント
Hacker News の意見
面白いのは、少なくとも銀行業界では、米国データはほぼ常に米国外の人々が管理しているという点
サーバーは米国にあるかもしれないが、アクセスしている人は欧州やインドにいる可能性が高い
アクセス中はデータが一時的にそちら側に存在することになるので、米国もこの部分についてより強い法律が必要
かつてインターネットが国境に大きく左右されない世界規模のコンピューターネットワークのように感じられた時代が好きだったので、インターネットでも結局は国境が重要だという前提を当然のように受け入れるのは少し奇妙に感じる
0x62 の説明が参考になった: https://news.ycombinator.com/item?id=41357888
サプライヤーが再帰的に絡み合う構造は考えが及んでいなかった
完全に無実でも同じ
知る限り、GDPRはそのデータを扱わないので、国境を越えても問題ない
問題はEU市民のGDPR保護対象データで、法執行のような特定の例外を除けば、非EUの国境を越えることは認められていない
インドの従業員が米国に保管されたデータを見る場合、画面に表示された瞬間にデータがインドに到達したのは明らかでも、形式上は米国からインドへ移転されたとは見なされない可能性がある
重要なのは管理者や処理者がどの法的管轄下にあるかであり、別の管轄の処理者へデータを移せば移転になる
別の記事(https://nos.nl/l/2534629、オランダ語)で Uber は、Autoriteit Persoonsgegevens と「不明確な法律」について議論してきたと主張している
iOS の翻訳によると、Uber の広報担当者は、プライバシー規則の曖昧さのために AP に直接連絡し、その時点で監督機関は Uber が規則に違反しているとは言わなかったと説明している
しかし、よく整った法務チームを持つ裕福な企業が、それが許されるかどうか確信を持てないからといって、それを行ってよい権利に変わるわけではない
罰金もこれくらい大きくあるべきだ。罰金が単なる事業コストになってはならず、ルールを守ることが株主から下の全員の関心事になるべき
「昨年末から Uber は Privacy Shield の後継制度を使用している」というくだりを見ると、こうした制度がこれまで何度も崩れてきたことを考えると、後でまた有罪判断を受けそうに思える
欧州委員会はこの部分をきちんとできていない
そしてこのフレームワーク遵守の「認証」も開始した: https://www.dataprivacyframework.gov/list
そのため各データ保護機関は、今回の新フレームワークについてはGDPR上の十分性に関するECの解釈に従う可能性がある
ただし Schrems がすでにこのフレームワークに異議を申し立てると表明しているため、不確実性は大きい
不確実性なしに「安全な」選択肢は、データが米国を経由せず、米国所在の親会社傘下の子会社での保管にも入らないよう、すべてのシステムを設計することだけに見える
オランダで Uber が罰金を科されたのは少し笑える。現地では一般のタクシーが保護されていて、Uber はほとんど見かけないからだ
正確なデータはないが、住民1人あたり少なくとも15ユーロほどなら非常に大きな罰金で、運転手1人あたりにすれば25,000ユーロくらいになるかもしれない
オランダの規制当局が「もう出て行ってくれないか?」と言っているような感じで、Uber も同じように感じていそう
フランスの個人情報監督機関に寄せられた苦情がオランダ側へ移されたもの
罰金はオランダの規制当局から出たが、調査はフランスで始まり、2020年6月にフランスの Uber 運転手21人が人権団体 Ligue Des Droits De L'homme Et Du Citoyen に働きかけた
その後、151人の Uber 運転手が追加で苦情に加わり、LDH はこれをフランスの個人情報規制当局 CNIL に持ち込み、CNIL は Uber の欧州本社がオランダにあることを理由に、2021年1月にオランダの個人情報保護当局へ移管した
ここの税制が好きだから
DPA によると控訴手続きには約4年かかる予定なので、実際には4年がかりの控訴になる
欧州のすべてのデータ保護機関は企業への罰金額を同じ方法で計算し、企業の全世界年間売上高の最大4%まで科すことができる
オランダのDPAがUberの調査を開始したきっかけは、170人を超えるフランスのドライバーがフランスの人権団体LDHに苦情を申し立て、LDHがそれをフランスのDPAに提出したことだった
そもそもドライバーたちがどのような根拠で疑いを持ったのか気になる
個人的に、ずっと以前に米国の団体と関わったことがあり、その後は完全に忘れていた
ほぼ15年後、ワシントン本部の住所からメールスパムが届き始め、停止を求めたが止まらなかった
GDPRに基づく法的措置と削除を求めると、遵守したと返答してきたが、1年後に同じ住所からまたスパムが届いた
それで、彼らが私の情報を削除しておらず、米国に保管していたことが分かった
この件がEU–US Data Privacy Frameworkとどう関係するのか気になる
このフレームワークはEU–US Privacy Shieldの代替として、こうした移転を認めるためのものだと理解していたので、Privacy Shield時代である2020年以前なら問題ではなかったように思う
もしかして理解が間違っているのだろうか?
Privacy Shieldは2020年に無効化され、有効な移転手段として残ったのは標準契約条項だけだった
Uberは、2023年に新しいプライバシーフレームワークが導入される前の2021年8月に標準契約条項の使用を停止し、2年間にわたって非常に機微な情報を有効な手段なしに送信していた
[1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
基本的にFrameworkも、以前のShieldと同じく、欧州委員会が「ほら、直した」と示そうとする試みだ
残念ながら、過去2回はいずれも、ECJは事後的に、米国のデータプライバシー法制の不足はどんなフレームワークでも修正できないと見なし、Shieldもその前身と同様、主張していた権限を実際には認めていないと判断した
今回のFrameworkはまだECJで検証されていないが、米国法が大きく変わったわけでもないため、結果は見えているように思える
インターネットが本当に世界中のネットワークだった短い時期を生きられたのは幸運だった
オランダやナイジェリア[1]にいる人が世界最高の技術サービスを利用でき、人々は国境を越えて比較的自由に相互作用できた
だが、もう終わりつつある。あらゆる領地が自分の取り分と発言権を求めるようになり、インターネットをグローバルなネットワークとして維持するのが難しくなっている
続いている間は楽しかった
[1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...
会社が名誉ある行動をしているなら恐れるものはなく、世界中で簡単に事業を展開できる
問題は、そもそも違法であるべきだった怪しいことをするときに起きる
要点は、米国法が最も緩く、市民のプライバシー侵害を大きく許容しているため、企業が今になって自分たちは不必要に制限されていると感じていることだ
米国法がもっと厳しければ問題にはならなかっただろうし、誰もこの話をしていなかったはず
会社が望むとおりに行動する自由だけに焦点を当てるのは、非常に近視眼的で米国中心的だ。監視されずに生きるユーザーの自由はどうなるのか?
ネットワーク効果が大きすぎて、「気に入らないなら他へ行け」という自由市場の論理はあまり当てはまらず、外部からデータ処理のやり方を知るのが難しいという透明性の問題も大きい
特に、どの会社もデータを自分の所有物であり金のなる木のように扱っている
それも「領地が自分の取り分と発言権を求めている」と呼ぶのか? 法という概念そのものに反対しているのか?
おそらく大英帝国末期の無知な誰かも、こんなふうに言っていただろう
あるいは、そのネットワークに参加した企業が、ネットワークを囲い込みの中に閉じ込めることに利害を見いだしたのではないだろうか?[2][3]
それとも、そのグローバルネットワークがいくつかの支配的な行為者によってあまりにも大きく再編され、外部からの規制が必要になったのではないだろうか?[4][5]
もちろん、そんなはずはない。業界による大規模な濫用への反応ではなく、地域の領主たちがわずかな権力をかき集めようとしているだけなのだろう
[1]: https://en.wikipedia.org/wiki/PRISM
[2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
[3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
[4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
[5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
自由とは何か? GPLなのか、BSDなのか、拳を振り回すことなのか、鼻を殴られないことなのか?
控訴手続きに約4年かかり、すべての法的救済手続きが終わるまで罰金が停止されるというのだから、この件は4年後にまた聞くことになりそうだ
Uberはこれを「欧州で事業を行うコスト」として処理し、価格にマークアップとして上乗せするだろう
ここ数年でEUが米国のテック企業に科した罰金の総額は148億ドルになっている: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
このSubstackはかなり良く、米国のテック企業が近いうちに欧州を離れることはないものの、関係においてはるかに大きな力を握っていることを明確に示している
規制当局は自分の手札を使いすぎている
米国のビッグテックが欧州から撤退するとしても、短期を除けば地域市場にとって良いことになるかもしれない
彼らと競争するのは非常に難しく、米国の国内市場でも同じだ
EUのような大きな市場から彼らが消えれば、競争が促される可能性が高い
EUに能力がまったくないと仮定しても、現在最高の画像生成モデルとかなり優れたオープンソースLLMがEUから出ていることを考えると、その仮定は非常に非現実的だ
さらに欧州の多くの国、特に東欧には優れた技術人材がいて、中国企業もすぐに参入するだろう
だから欧州の側から見れば、依然としてひどい取引だ