アイルランドの個人情報保護当局、TikTokの中国へのデータ移転に5億3,000万ユーロの制裁金
(apnews.com)- EUの域外データ移転規則がプラットフォーム運営リスクとして再び浮上する中、アイルランドのData Protection Commissionは4年にわたる調査の末、TikTokに5億3,000万ユーロ(約6億ドル)の制裁金を科した
- 争点は、中国国内の従業員によるリモートアクセスを受けた欧州ユーザーの個人情報について、TikTokがEUと本質的に同等の保護を受けていることを検証・保証・立証したかどうかにある
- 当時のプライバシーポリシーは、データがどの第三国に移転されるのかを十分に示しておらず、中国拠点の人員によるリモートアクセスについても明確に説明していなかった
- TikTokはこの決定に同意しておらず、控訴する予定であり、問題となった期間は2023年5月までの特定期間で、その後はProject Cloverによって欧州データセンターと独立監督を導入したと反論している
- GDPRは欧州ユーザーデータのEU外への移転を認めているが、同等の保護水準を求めており、一部データが中国のサーバーに保存されていたという事後通知は追加の規制措置につながる可能性がある
5億3,000万ユーロの制裁金と6カ月の是正命令
- アイルランドのData Protection Commissionは、TikTokの中国へのデータ移転がEUの個人情報保護規則に違反したとして、5億3,000万ユーロ、約6億ドルの制裁金を科した
- 今回の決定は2021年9月に始まった4年調査の結果であり、TikTokは6カ月以内に規則を順守するよう命じられた
- 規制当局は、中国へのデータ移転が欧州ユーザーを監視リスクにさらしたと判断した
- TikTokの欧州本社がダブリンにあるため、アイルランド当局がEU27カ国におけるTikTokの主要な個人情報保護規制当局の役割を担っている
中国国内からのリモートアクセスとEU水準の保護をめぐる論争
- Deputy Commissioner Graham Doyleは、中国国内の従業員によるリモートアクセスを受けた欧州ユーザーの個人情報について、TikTokがEUと本質的に同等の保護水準を検証・保証・立証できなかったとみている
- 調査では、中国の反テロ、反スパイ、サイバーセキュリティ、国家情報関連の法律により、中国当局が欧州ユーザーの個人情報にアクセスする可能性が争点となった
- アイルランド当局は、これらの中国法がEU基準と実質的に異なると判断した
プライバシーポリシーの透明性の問題
- TikTokは、個人情報がどこに送られるのかをユーザーに十分伝えていなかった点でも制裁を受けた
- 調査当時のTikTokのプライバシーポリシーは、ユーザーデータが移転される第三国を明示しておらず、その中に中国も名指ししていなかった
- このポリシーはその後更新されたが、当時はSingaporeとUnited Statesに保存された個人情報に中国拠点の人員がリモートアクセスして処理する点についても説明していなかった
TikTokの控訴方針とProject Clover
- TikTokは今回の決定に同意しておらず、控訴する予定である
- 同社は、今回の決定が2023年5月に終了した特定期間に焦点を当てたものであり、その後はデータローカライゼーション計画であるProject Cloverを進めてきたと反論している
- Project Cloverには、欧州に3つのデータセンターを構築する計画が含まれる
- TikTokの欧州公共政策・政府渉外責任者であるChristine Grahnは、Project Cloverには業界でも最も厳格な部類のデータ保護が備わっており、欧州のサイバーセキュリティ企業NCC Groupによる独立監督も含まれていると説明した
- Grahnは、TikTokが中国当局から欧州ユーザーデータの提供要請を受けたことはなく、欧州ユーザーデータを中国当局に提供したこともないと述べた
GDPRの域外移転基準とTikTokの反論
- EUの個人情報保護規則であるGeneral Data Protection Regulationの下では、欧州ユーザーデータをEU外に移転することは可能だが、同等の保護水準を保証する安全措置が必要となる
- Grahnは、TikTokがデータ移転に必要な評価を行っていなかったというアイルランド規制当局の判断に強く反対した
- TikTokは法律事務所や専門家に助言を求め、欧州内の数千社が使っているのと同じ法的メカニズムを用いており、そのアプローチはEU規則に適合していると主張している
- Grahnは、TikTokがsingled outされていると述べた
中国サーバー保存の通知と追加措置の検討
- TikTokは親会社ByteDanceが中国に拠点を置く企業であることから、欧州でのユーザー個人情報の取り扱いをめぐって調査を受けてきた
- 欧米当局者は、中国に移転されるユーザーデータに関連して、TikTokが安全保障上のリスクをもたらすとの懸念を示してきた
- アイルランド当局は2023年にも、別の児童個人情報調査でTikTokに数億ユーロの制裁金を科したことがある
- 今回の調査中、TikTokは欧州ユーザーデータを中国サーバーに保存していないと述べていたが、4月になって初めて、2月に判明した事実として一部データが実際に中国サーバーに保存されていたと規制当局に通知した
- Graham Doyleは最近の展開を非常に深刻に受け止めており、追加の規制措置が必要かどうかを検討している
1件のコメント
Hacker Newsの意見
「massive」とは言うが、何を基準にしているのか?
企業に対しては、売上の妥当な割合に応じた罰金を科すことに慣れるべき時だろう
TikTokの昨年の世界売上高だけでも200億〜260億ドルと推定されている https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...
その記事によれば、TikTokは200億ドルのうち100億ドルを米国だけで稼いでおり、したがって欧州売上の上限は100億ドルということになる
ブラジルやインドネシアのような大市場を除いての計算なので、実際の欧州売上ははるかに低い可能性が高い
5億3千万ユーロは約6億ドルなので、関連する2024年売上の少なくとも6%であり、実際にはもっと高いかもしれない
これで不正行為による利益を相殺できるほど大きいかは分からないが、生ぬるい処罰ではないことは確かだ
金額ベースで見れば、単一案件の罰金としては歴代上位20位前後に見え、欧州の個人情報関連罰金に限れば上位3位前後だ
こうした金額に慣れたからといって分類が変わるわけではない
こういう数字がより一般的になったとしても、依然として巨額であり、特に本来は一般的になってはいけない額だ
売上の大半はコストとして消えるので、売上の妥当な割合で罰金を科すと企業をそのまま破綻させかねない
行動を変えることが目的なら、それは望ましい結果ではない
世界売上高が200億ドルで利益率を20%と仮定すれば、純利益は40億ドルなので、この罰金は世界純利益の15%に当たる
とてつもない罰金だ
また、この種の規制は曖昧で解釈の余地が大きいため、企業や弁護士が本気で遵守していると信じていても、裁判官が別の判断を下すことがある
各国が世界売上高を基準に罰金を科せば、同じ行為について罰金が重複するリスクもあり、最終的には行動変容ではなく企業破綻につながりかねない
容疑を額面通りに受け取るなら、中国は4年間にわたり相当数のEU市民を監視し、今後もさらに6か月続けられることになる
その後も実際に止まる可能性は低く、結局は被害者1人あたり数ドル程度の罰金で終わる
米国ももっと迅速には動かず、他の大半の国はそもそも動かない
結果として、潜在的な敵対国は、くだらない動画といら立つサウンドトラックさえ添えれば、巨大な監視作戦を長期間ほとんど代償なしで運用できてしまう
既存株主の持分を希薄化して悪い行動を罰する方式だ
政府が共同所有者になれば内部に入り込めるし、情報請求や可視性も大幅に高まる
悪い行動が続けば、時間とともに政府が支配権を得ることになる
Teslaのように株価は非常に高いが利益は低い企業には、利益比率ベースの罰金はあまり意味をなさないかもしれない
しかし株式を通じた政府統制なら、会社にも株主にもすぐに強い注意を向けさせるだろう
HN投稿タイトルのЄはユーロ記号ではない
ユーロ記号は**€**だ
Dangが直してくれることを願う
https://codepoints.net/U+0404
このスレッドにはフラストレーションと皮肉が多いが、それを増幅している誤解がいくつかあるようだ
まず、IrelandはEUの一部であり、GDPRのワンストップショップ制度では、EU本社がある国がEU全体の執行を主導する
多くの巨大テック企業のEU本社がIrelandにあるため、Irelandの規制当局がGDPRに基づいて罰金を科す場合、実質的にはEU全体を代表して執行していることになる
GDPRの罰金は非常に大きくなり得て、世界売上高の割合または高額な固定額のいずれか高い方を基準に制裁できる
そのため大企業でも影響を感じる
こうした罰金は公に透明性をもって発表されるため、財務的打撃だけでなく評判面の打撃も伴う
罰金が静かな営業コストではなく、実際の抑止力となるよう、この公開性は意図されたものだ
また、罰金がどこへ行くのかも明確にする必要がある
Irelandの懐にだけ入るのではなく、実務上はEU予算に入り、Irelandが通常EU予算に支払うべき分担金と相殺される
他のEU諸国の人々が侵害を受けていたなら、それらの国も罰金の一部を請求できる
結局、Irelandだけが利益を得る仕組みではなく、企業がそこに拠点を置いているため徴収の窓口になっているだけだ
興味深いことに、ある人は罰金が厳しすぎると言い、別の人は弱すぎると言う
実際には、こうした制裁は企業規模と違反の程度に比例しつつも意味のある重さとして感じられるよう設計されており、企業を破壊することが目的ではないが、決して取るに足らない水準でもない
その後、規制当局がその最大値のX%を実際の罰金として科すことができる
これは、個々のEU加盟国が企業誘致のために罰金を低くしすぎるのを避けるための仕組みでもある
Irelandが過去に税を安くしすぎていた問題と似た文脈だ
他のEU諸国が請求しなかった部分については、結局Irelandの懐に入ることになる
GDPRの話題が出るたびに、ここでは何十件も投稿が立ち、いつもこの点をめぐって議論が繰り返される
法の範囲内で動いているのかもしれないが、より大きな脅威はデータが外へ出ることではなく、アプリのアルゴリズムに影響力が入り込むことであり、その結果ユーザーに影響を与えることだと思う
@dang タイトルにこの記号を入れられる? €
2つ気になることがある
1つ目は、こういう罰金が実際に執行されるのか、それとも無期限の控訴に進むのかという点
2つ目は、罰金がどこに行くのかという点
TikTok がアイルランドで罰金を科される仕組みなら、罰金がアイルランド政府に行くようにも聞こえるが、それは変だ
EU 全体の文脈で罰金を算定しながら、収入はアイルランドだけが受け取るなら、その仕組みは破綻している
税金と同じような大きな財布に入るということ
EU は直接の法執行をほとんど行わず、その大半を各国の規制当局が担っているので、おおむね予想どおりの方式だ
Apple の件とは逆で、あのときは Apple から十分に税金を徴収しなかったとして、EU がアイルランド政府に罰金を科した
ただし国ごとに違いがあるようで、Spain は個人情報監督機関が直接保有する、やや珍しい仕組みに見える
もしかすると、それこそがアイルランドの望みかもしれない
アイルランドは小さな市場なので、TikTok がアイルランドで 5億3,000万ユーロの利益を出すには非常に長い時間がかかるだろう
こうした罰金で回収した金の 100% は、該当企業による 個人情報侵害の調査と公表 に使うべきだ
実質的に、自分たちの監視コストを自分たちに払わせるべき
彼らが大規模に収集しているデータが、今後 AI によってどう悪用されるのか分からず、かなり怖い
そのお金が現地の人々のために状況を改善するのに使われることを願う
少し話題から外れるが、罰金を科した政府がその金をどう使うのか気になる
たとえば データプライバシー保護 に関する活動や業務の資金になるのか?
ほとんどの国では、「クマ税」を払ったからといって、その金がクマ駆除専用の大きな壺に入るわけではない
だからこうした罰金は通常、政府支出の一般財源に入る
英国では、データ侵害の罰金は執行機関の運営費に使われ、残りは国に戻る https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
EU 予算そのものが実際に変わるわけではないので、実質的に「お金が増える」仕組みではない
1段階飛ばしているようなものだが、この罰金はアイルランド固有ではなく EU 全体の罰金で、記憶では EU に納付される
責任者個人に罰金を科さない限り、こうした罰金は役に立たず 影響がない