Last Updated on 2025-05-03 10:07 by admin
アイルランドのデータ保護委員会(DPC)は2025年5月2日、人気ビデオ共有プラットフォームのTikTokに対し、欧州ユーザーのデータを中国に転送したことで地域のデータ保護規制に違反したとして、5億3000万ユーロ(約6億100万ドル、約870億円)の罰金を科した。
DPCはTikTokが欧州経済領域(EEA)ユーザーデータの中国への転送とその透明性要件に関してGDPR(一般データ保護規則)に違反したと判断した。罰金の内訳は、不法なデータ転送に対する4億8500万ユーロと透明性違反に対する4500万ユーロである。決定には罰金のほか、TikTokに6ヶ月以内に処理を遵守させるための命令が含まれており、この期間内に中国へのデータ転送を停止するよう求めている。
この罰則は、2021年9月に開始された調査の結果であり、TikTokの中国への個人データ転送がGDPRの第46条(1)に反していたと認定された。これは、EEAユーザーの個人データがEU域内で提供されるのと同等のプライバシー保護を受けていることを検証し保証することができなかったためである。
DPC副コミッショナーのグラハム・ドイル氏は、TikTokが中国の反テロリズム法や防諜法に基づく中国当局による潜在的なアクセスから生じる懸念に対処しておらず、これが欧州連合の基準から「実質的に」逸脱していたと指摘した。
また、TikTokが調査中に誤った情報を提供したことも問題視された。TikTokはEEAユーザーデータを中国のサーバーに保存していないと主張していたが、2024年4月、2024年2月にシステムの問題を特定し、限定的なEEAデータが実際に中国のサーバーに保存されていたことを監視機関に明らかにした。
TikTokの欧州担当公共政策・政府関係責任者であるクリスティーヌ・グラーン氏は、この決定がProject Clover(欧州ユーザーデータを保護するためのデータセキュリティイニシアチブ)を考慮しておらず、現在実施されている保護措置を反映していないとして、決定に強く異議を唱えている。同社は「中国当局から欧州ユーザーデータの要請を受けたことはなく、そのようなデータを提供したこともない」と主張している。
これはDPCがByteDance所有のTikTokに科した2回目の罰金である。2023年9月には、子どものデータの取り扱いに関連してGDPR法に違反したとして、3億4500万ユーロの罰金が科されていた。
今回の5億3000万ユーロの罰金はGDPR下で3番目に大きい金額で、Meta Platformsの12億ユーロ、Amazon.comの7億4600万ユーロに次ぐ規模となっている。TikTokは現在、欧州で約1億5910万人の月間アクティブユーザーを抱えている。
from:TikTok Slammed With €530 Million GDPR Fine for Sending E.U. Data to China
【編集部解説】
TikTokに対する今回の制裁金は、EUのデータ保護規制の厳格な適用を示す重要な事例です。アイルランドのデータ保護委員会(DPC)による5億3000万ユーロという罰金額は、GDPRに基づく制裁としては、Meta Platformsの12億ユーロ、Amazonの7億4600万ユーロに次ぐ3番目の規模となっています。
注目すべき点は、単なるデータ転送の問題だけでなく、調査過程でのTikTokの対応にも問題があったことです。当初、TikTokはEEAユーザーデータを中国のサーバーに保存していないと主張していましたが、2024年4月になって、実際には2024年2月に発見したシステム上の問題により、一部の欧州ユーザーデータが中国のサーバーに保存されていたことを認めました。この透明性の欠如が、4500万ユーロの追加罰金につながりました。
DPCの調査では、TikTok自身が中国法の評価において、中国の反テロリズム法、防諜法、サイバーセキュリティ法、国家情報法などがEU基準から「実質的に」逸脱していることを認識していたにもかかわらず、適切な対応策を講じていなかったことが明らかになりました。
TikTokは「Project Clover」というイニシアチブを通じて、欧州ユーザーデータの保護強化に取り組んでいます。このプロジェクトでは、アイルランドやノルウェーなどEU域内にデータを保存し、独立した監視メカニズムを導入するとしています。DPCもこれを前向きな取り組みとして評価していますが、GDPRに完全に準拠した保護メカニズムの実装が必要だと指摘しています。
この決定が示すのは、グローバルなデジタルエコノミーにおけるデータの国際移転と国家安全保障の間の緊張関係です。特に中国企業が所有するプラットフォームに対しては、中国政府のデータアクセス権限に関する懸念が常に存在します。
TikTokは現在、欧州で約1億5910万人の月間アクティブユーザーを抱えており、この決定によって6ヶ月以内にデータ処理をGDPRに準拠させる必要があります。この期限が守られない場合、中国へのデータ転送は停止されることになります。
この事例は、他のグローバルテックプラットフォームにも影響を与える可能性があります。特に第三国へのデータ転送に関しては、単に標準契約条項(SCC)を使用するだけでなく、実効性のある追加的保護措置が必要であることが改めて示されました。
日本企業にとっても、EUとのデータのやり取りを行う際には、GDPRの厳格な要件に注意を払う必要があります。日本はEUから十分性認定を受けていますが、日本企業が中国などの第三国にデータを転送する場合には、同様の問題が生じる可能性があることを認識しておくべきでしょう。
テクノロジーの進化とグローバル化が進む中で、データの国際移転に関する規制は今後も厳格化していくことが予想されます。企業はコンプライアンスを確保するだけでなく、ユーザーの信頼を獲得するためにも、透明性の高いデータ管理体制を構築することが求められています。
【用語解説】
GDPR(一般データ保護規則):
「General Data Protection Regulation」の略で、2018年に施行されたEUの法令。個人データの保護を目的とし、違反した企業には最大で全世界年間売上高の4%または2000万ユーロのいずれか高い方の罰金が科される可能性がある。
EEA(欧州経済領域)
:EU加盟国にアイスランド、リヒテンシュタイン、ノルウェーを加えた地域のこと。GDPRはこの地域における個人情報の取り扱いについて定めている。
ByteDance:
2012年に中国・北京で創業されたテクノロジー企業。TikTokの親会社であり、創業者は張一鳴(Zhang Yiming)。世界中に拠点を広げ、グローバル企業として成長している。
Project Clover:
TikTokが欧州ユーザーデータを保護するために2023年に発表したデータセキュリティイニシアチブ。アイルランドとノルウェーにデータセンターを設置し、欧州ユーザーデータの域内での管理を目指している。
【参考リンク】
TikTok公式サイト(外部)
ショートムービープラットフォーム。トレンドはここから始まる。パーソナライズされたショートムービーを探索して楽しむことができる。
ByteDance公式サイト(外部)
TikTokの親会社。2012年創業の中国テクノロジー企業。150以上の国際市場、75以上の言語でサービスを展開している。
TikTok Project Clover情報ページ(外部)
TikTokの欧州ユーザーデータ保護イニシアチブの最新情報。セキュリティゲートウェイの実装など、データ保護対策について説明している。
アイルランドデータ保護委員会(DPC)
(外部)アイルランドのデータ保護規制当局。多くの大手テクノロジー企業がアイルランドに欧州本部を置いているため、GDPRの執行において重要な役割を果たしている。
【編集部後記】
私たちが日常的に使うアプリが、どのように個人データを扱っているか考えたことはありますか?TikTokの事例は、デジタル時代の国境を越えたデータ流通の複雑さを示しています。お使いのアプリのプライバシー設定を見直してみたり、利用規約の「データの取り扱い」部分に目を通してみるのも良いかもしれません。皆さんは自分のデータがどこまで共有されることに快適さを感じますか?ぜひSNSでご意見をお聞かせください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
