Meta、EU当局から約1800億円の制裁金--過去最高額

　欧州連合（EU）のデータ規制当局はMetaに対し、約12億ユーロ（約1800億円）の制裁金を科し、EU域内のユーザーデータの米国への移管を10月までに停止するよう命じた。この制裁金は、2021年に一般データ保護規則（GDPR）に違反したとしてEUがAmazonに科した、8億8600万ドル（当時のレートで約980億円）の罰金を上回っている。

提供：Photo by JOSH EDELSON/AFP via Getty Images

　Metaは不服を申し立てる方針で、命令の執行停止を求める意向を示した。

この問題の経緯

　2013年に、米国の内部告発者であるEdward Snowden氏が米国家安全保障局（NSA）のグローバル監視プログラムに関する極秘情報をリークしたことで、Facebookのデータ処理ポリシーに関する議論が勃発した。このSnowden氏の暴露により、 FacebookがNSAやその他の米政府機関に、欧州ユーザーの個人データを提供していたことが報じられた。

　この内部告発の直後に、オーストリアの弁護士でプライバシー保護活動家でもあるMax Schrems氏がEUの裁判所に対し、FacebookによるEUから米国へのデータ移管についてさらに詳しく調査することを求めて、申し立てを開始した。

　EU規制当局はそれ以来、欧州のユーザーデータを他国に転送することをIT企業に止めさせるための取り組みを続けている。EUには、全EU加盟国の市民全員を対象とした、最も包括的なデータ保護法令がある。EUのGDPRには、EU域外に転送される個人データの量と種類が定められている。

　GDPRには、EUのユーザーデータを、それがEUを離れたとしても保護するという条件の下で、MetaのようなIT企業がEU域内で事業を運営することを許可する条項がある。しかしこの法令は複雑な上、米国にはユーザーデータを保護するための連邦法が存在しないため、EUのウェブ閲覧者が米国のソーシャルメディアサイトを使用する場合のGDPRの適用は難しい場合がある。

　EUと米国はこの数年間、EUユーザーデータの取り扱いについて合意点を見出そうと努めてきたが、うまくいっていない。EUは、MetaがEU域内のFacebookユーザーのデータを米国に送信することを禁止した判決に従わなかったとしている。

この訴訟のMetaにとっての意味は

　Metaはダブリンに欧州本社を構えるため、アイルランドの監視機関であるデータ保護委員会（DPC）が、同社に対するEU域内の主なプライバシー規制当局だ。金銭的な罰金に加えて、同社はEUユーザーデータの米国への転送を10月までに止めて、EUのプライバシー規則に準拠するデータ保管方法を11月までに再構築することを命じられている。

　DPCによると、Metaは「米国での保管を含む違法な処理」を止める必要があるという。これは、同社が保有するEUの全ユーザーデータを削除する必要があることを意味する。