一般相対性osugi3yのブログ

14年勤めた企業をやめました。映画「時の行路」尾道市実行委員

GoogleアナリティクスはEUで違法と宣言した。〜シン・すべてがNになる〜

GoogleGDPRに準拠するためにヨーロッパのデータをよりよく保護しますか?

f:id:osugi3y:20220120203043p:plain

Tutanota

2022-01-19です

 欧州市民に対するプライバシー侵害でFacebookを訴えたことに成功した弁護士のマックス・シュレムスは、今回はGoogleに対して別の勝利を収めました。画期的な裁判所の判決では、オーストリアのデータ保護当局は、Googleアナリティクスがヨーロッパのウェブサイトで使用することが違法であることを発見しました。

ヨーロッパでは違法なGoogleアナリティクス

 2020年にプライバシーシールド法が無効になったとき、これはヨーロッパで運営されている米国のオンラインサービスに大きな影響を与えました。これは、欧州市民のデータをアメリカの大量監視に対して脆弱にするため、欧州市民のデータを米国に転送することはもはや許可されませんでした - 欧州GDPRの明確な違反です。

 しかし、シリコンバレーのハイテク産業は判決をほとんど無視した。NOYBは言う:

「これ(=プライバシーシールドの無効化)はハイテク業界を通じて衝撃波を送りましたが、米国のプロバイダーとEUのデータ輸出業者は、この事件をほとんど無視しています。マイクロソフトフェイスブック、アマゾンと同様に、Googleはデータ転送を継続し、ヨーロッパのビジネスパートナーを落ち着かせるために、いわゆる「標準契約条項」に依存しています。

 現在、オーストリアのデータ保護当局は、プライバシーシールドが無効であると宣言する際に、欧州裁判所と同じ和音を打ちます。Googleアナリティクスの使用は、一般データ保護規則(GDPR)に違反することを決定しました。Googleは「米国の諜報機関による監視の対象となり、欧州市民のデータを彼らに開示するように命じることができる」。したがって、欧州市民のデータは大西洋を渡って転送することはできません。

オーストリアの裁判所による当初の決定

元の決定の機械翻訳

どうしたの?

 2020年8月14日、Googleユーザーは健康問題に関するオーストリアのウェブサイトにアクセスしました。このウェブサイトはGoogleアナリティクスを使用し、ユーザーに関するデータはGoogleに送信されました。このデータに基づいて、Googleは彼または彼女が誰であるかを推測することができました。

 2020年8月18日、Googleユーザーはデータ保護機関NOYBの助けを借りてオーストリアのデータ保護当局に苦情を申し立てた。

現在、オーストリアの裁判所は、このデータ転送を違法と宣言しました。

 手元にある問題は、米国クラウド法により、米国当局は米国外で事業を行っている場合でも、GoogleFacebook、その他の米国のプロバイダーに個人データを要求することができるため、たとえばヨーロッパで個人データを要求できることです。

 したがって、GoogleGDPR第44条に基づく適切なレベルの保護を提供することはできません - ヨーロッパのデータ保護保証の明確な違反。ウェブサイト運営者によって呼び出された標準的な契約条項は、欧州司法裁判所(ECJ)が「プライバシーシールド」(シュレムスII)に関する決定で2020年に認めたように、役に立ちません。

 Googleアナリティクスの使用に関する法的評価の決定的な要因は、米国の諜報機関が実際にデータを取得したかどうか、またはGoogleが実際にユーザーを特定したかどうかではありません。これが理論的にすでに可能だったという事実は、GDPRに違反していました。

 ただし、Googleユーザーは、Googleアカウントで設定を行い、GoogleサードパーティのWebサイトの使用を詳細に評価するのを防ぐことができます。しかし、この機能が存在することは、Googleが使用データを個人とマージできるという証拠です。

NOYBの最大の成功

 この判決は、これまでのデータ保護組織NOYBの最大の成功の1つです。その結果、NOYBとマックス・シュレムスはオーストリアの裁判所の決定に非常に満足しています。

「これは非常に詳細で健全な決定です。肝心なのは、企業はヨーロッパで米国のクラウドサービスを使用できなくなったことです。司法裁判所がこれを2回目に確認してから1.5年が経ったので、法律も施行される時が経ちです。

 この判決は、欧州連合のほとんどの加盟国でシュレムスの非営利NOYBによる101件の訴訟の中で初めてです。ドイツ、オランダ、その他のEU加盟国でも同様の決定が下がると予想されています。

Googleアナリティクスを削除しますか?

 Tutanotaは、ユーザーのプライバシーに焦点を当てた安全な電子メールサービスとして、Googleアナリティクスを使用したことはありません。

 しかし、今、ヨーロッパの多くの企業は、ウェブサイトからGoogleアナリティクスを削除するべきか、GDPRに違反したとして罰則を危険にさらすべきかを自問する必要があります。

 長期的には、米国が技術ビジネスを強化するために監視法を変更するか、米国のプロバイダーがヨーロッパでヨーロッパのユーザーのデータをホストする必要がある2つのオプションがあります。

 Googleアナリティクスの使用に関する2つの決定がまだ保留中のオランダの個人データ局(AP)は、「Googleアナリティクスのプライバシーフレンドリーなセットアップ」に関する独自のガイダンスを更新しました。

 アップデートにより、APは警告を発行しました。

ご注意:Googleアナリティクスの使用はすぐに許可されなくなる可能性があります。

 オランダの個人データ局は、2022年初頭に保留中のGoogleアナリティクスのケースを決定する予定です。その後、APは、Googleアナリティクスの使用がヨーロッパで違法であるかどうかについて明確な声明を発表します。

結論

 シリコンバレーのハイテク企業は、何らかの方法でヨーロッパでサービスを提供する方法を見つけるでしょうが、プライバシーシールドの無効化後に取ったアプローチは、ヨーロッパの企業にいくつかの赤旗を掲げる必要があります。

 欧州企業として、ヨーロッパのプライバシー法を故意に無視し、ヨーロッパのビジネス顧客に多額の罰金を科すGoogleなどの企業に機密性の高いユーザーデータを信頼することはもはや不可能です。(議論されたケースでのオーストリアの健康ウェブサイトに対する罰金はまだ決定されていませんが、開発に密接に従います。)

 それどころか、世界中の消費者にとってプライバシーがますます重要になっているため、ヨーロッパの企業にとって、ユーザーのプライバシーを保護することに焦点を当てたサービスを選択することは論理的なステップです。

たとえば、Tutanotaは、GDPR完全に準拠している安全なドイツの電子メールプロバイダーです。


 さらに読むことをお勧めします:Googleの選択肢の多くであなたのプライバシーをオンラインで取り戻すためのクイックガイド

tutanota.com

f:id:osugi3y:20211127012152p:plain