メタ、データ転送違反で過去最高の12億ユーロの罰金に直面

アイルランドデータ保護委員会（DPC）は5月22日、欧州連合（EU）内のFacebookユーザーのデータを米国のサーバーに送信したとして、Facebookの親会社Metaに対し、過去最高の12億ユーロ（13億ドル）の罰金を科すことを決定した。

EUを代表して行動していると主張するDPCは、欧州データ保護委員会（EDPB）がDPCに対し、Metaに対し「12億ユーロの行政罰金を科す」よう命じたと述べた。さらにDPCはMetaに対し、欧州のユーザーデータを米国に転送するのを停止するよう5ヶ月の猶予を与えた。

これは、EUが一般データ保護法を制定して以来、過去5年間で最も重い罰金の一つです。2021年には、ルクセンブルクがAmazon.comに対し、この法律に違反したとして、過去最高額となる7億4,600万ユーロ（8億2,120万ドル）の罰金を科しました。

Metaの欧州本社はアイルランドのダブリンにあります。DPC（情報処理委員会）は、2020年からMetaがアイルランドのユーザーデータを米国に転送した件について調査を行ってきました。DPCによると、調査の結果、Metaはユーザーデータに関する「基本的人権リスクへの対応を怠った」ことが判明しました。DPCは、大西洋を越えて転送されたデータは適切に保護されておらず、米国の諜報機関による監視の可能性があるとした2020年の欧州司法裁判所の判決にMetaが従わなかったことを強調しました。

一方、Metaの代表者は控訴する予定であり、EUにおけるFacebookのサービスは中断されないと述べた。

米国とEUはプライバシーシールドと呼ばれる協定に署名しており、これによりFacebookなどの企業は両地域間でデータを移転することが可能となっています。しかし、2020年、オーストリアのプライバシー活動家マックス・シュレムス氏が、米国とEUの協定を無効にする訴訟に勝訴しました。欧州司法裁判所は、米国によるデータ傍受のリスクは、欧州のユーザーの基本的権利を侵害すると判断しました。

EUと米国の当局は、Metaに米国と欧州間でユーザーデータの転送を継続するための新たな法的保護を与えるデータ共有協定について交渉中である。予備的な合意は昨年発表された。