日本企業も無関係ではないGDPRと個人情報保護法：プライバシー侵害の代償は？

2025年5月11日9:56

テクノロジーと社会ニュース

日本企業も無関係ではないGDPRと個人情報保護法：プライバシー侵害の代償は？ - innovaTopia - （イノベトピア）

Last Updated on 2025-05-11 10:53 by admin

近年、世界的にデータプライバシー保護に向けた規制強化の波が押し寄せています。この流れを象徴するのが、テクノロジー大手に対する巨額の「プライバシー和解金」や制裁金のケースです。遠い国の出来事のように思えるかもしれませんが、グローバルにビジネスを展開する多くの日本企業にとっても、無関係ではいられません。

この記事では、海外で実際に発生した巨額のプライバシー関連の支払い事例と、日本の個人情報保護法における最新の動向、そして日本企業が今考慮すべきリスクと対策について解説します。

世界で巨額化するプライバシー和解金

プライバシー侵害に対する金銭的なペナルティは、年々高額化する傾向にあります。特に顕著な事例が、米国テキサス州におけるGoogleやMeta（旧Facebook）といった巨大テック企業との和解です。

テキサス州のケン・パクストン司法長官は2025年5月、Googleがユーザーの位置情報、検索履歴、生体認証データ（音声プリントや顔の形状など）を違法に収集・追跡していたとする訴訟に対し、**約14億ドル（正確には13億7500万ドル）、日本円にして約2000億円の和解金支払いに合意したと発表しました。

この和解金額は、同様のデータプライバシー問題でGoogleが他の州と達成した過去の和解金を大幅に上回るものです。例えば、これまで単一州でGoogleから得られた最高額は9300万ドル、40州の連合でさえ3億9150万ドルでした。テキサス州が単独で獲得した金額は、これらの額を大きく凌駕しています。

Google、テキサス州に史上最大級のプライバシー和解金14億ドル支払いへ – 位置情報・シークレットモード・顔認識データの不正収集で

EUの厳格なGDPRとGoogleへの制裁

米国だけでなく、欧州連合（EU）のGDPR（EU一般データ保護規則）もまた、非常に厳格なデータ保護規則として知られています。GDPRは2018年に施行され、その規定が極めて厳しいものであることを世間に知らしめた最初のケースの一つが、2019年に公表されたGoogleへの制裁です。

この時Googleに科せられた制裁金は5,000万ユーロ、日本円で約62億円（2020年7月末時点）でした。GDPR違反として問題視された主な内容は以下の2点です。

個人情報の利用目的が確認しづらい構造になっていたこと。
ユーザーがGoogleアカウント作成時に、個人情報の利用目的ごとに同意を得ず、一括して同意を取得していたこと。

注目すべきは、この事例でGoogleは個人情報の流出といった直接的なセキュリティインシデントを起こしたわけではないという点です。

利用目的の表示方法や同意の取得方法といった、プライバシー保護のプロセスに関する不備が問われたのです。悪質性が低いと判断されたためか、制裁事例の中では比較的少額にとどまったとされていますが、他のGDPR違反事例では、Marriott International社が約135億円、British Airways社が約250億円といった、さらに巨額の支払いを求められています。

GDPRの適用対象はEU域内の企業だけではありません。日本企業であっても、以下のいずれかの条件を満たす場合にはGDPRの対象となり、規定に抵触すれば巨額の制裁金を科せられる可能性があります。

EU域内に子会社や支店等の拠点を有している場合。
EU域内に拠点を有しておらず、以下のいずれかに該当する場合
- EU域内にいる個人に対して商品やサービスを提供している場合。
- EU域内の個人の行動を監視する場合。

GDPRに違反した場合のペナルティは非常に重く、最大で企業の全世界年間売上高の4%、あるいは2,000万ユーロ（約26億円、2020年7月末時点）のうち高額な方の金額を支払わなければなりません。場合によってはさらに大きなペナルティが科せられる可能性もあるため、欧州と関わりのあるビジネスを営む日本企業は細心の注意が必要です。

問われるテック大手のデータ収集手法

テキサス州でのGoogleとの和解において争点となった具体的なデータ収集の問題は、多くのユーザーが日常的に利用するサービスに関わるものです。

位置情報の不正取得:
ユーザーが「Location History」をオフにしても、別の設定（例: Web & App Activity）を通じて位置情報を収集し続け、ユーザーに誤解を与えたとされました。

生体認証データの無断収集:
Google Photosの顔認識機能、Google Assistant、Nest Hub Maxなどの製品が、ユーザーの同意なく顔の形状や声紋といった生体認証データを収集・保存したとされました。生体認証データはパスワードのように変更が利かず、一度漏洩すると取り返しがつかない性質を持つため、その取り扱いには特に厳格な基準が求められます。

シークレットモード（Incognito）の誤解:
Chromeブラウザのシークレットモードは、閲覧履歴やCookieをローカルに保存しないモードですが、Googleはユーザーが完全にプライベートであると誤解する形で、実際には検索履歴や行動データを収集していたとされました。シークレットモードであっても、ウェブサイト側やインターネットサービスプロバイダーはユーザーの活動を追跡できる可能性があり、Googleがこれをユーザーに明示的に伝えていなかった点が問題視されました。このシークレットモードでのデータ収集についても、Googleは米国の集団訴訟で数十億ドル規模の和解に合意しています。

これらの事例は、企業のデータ収集手法がユーザーに十分に理解されていなかったり、ユーザーの期待するプライバシーレベルと異なっていた場合に、大きな問題に発展し得ることを示しています。

日本も例外ではない：個人情報保護法改正と課徴金制度の議論

海外でのプライバシー規制強化の流れは、日本も例外ではありません。日本の個人情報保護法も近年改正が進められており、特に今後注目すべきは課徴金制度の導入に関する議論です。

現行法でも行政指導や命令はありますが、課徴金制度が導入されれば、違反行為に対して直接的な金銭的ペナルティが科されることになります。これは、海外のGDPRやCCPA（カリフォルニア州消費者プライバシー法）などに見られるような、より直接的で実効性のある罰則制度に近づくことを意味します。

課徴金制度の具体的な設計については議論が続けられていますが、例えば安全管理措置義務違反による大規模な個人データの漏洩等（本人の数が1,000人超）などが課徴金の対象となりうるとされています。また、違反期間の売上額に一定の算定率を乗じた額という算定方法案が示唆されており、課徴金額が相当高額になる可能性もあります。

さらに、個人がプライバシー侵害に対する救済を受けやすくするため、団体（適格消費者団体を想定）による差止請求制度や被害回復制度についても議論が行われています。

高まるプライバシーリスク管理の重要性

世界経済フォーラムが「パーソナルデータは新たなオイルになる」という見通しを示したように、データは現代ビジネスにおいて計り知れない価値を持っています。しかし同時に、個人情報やプライバシーの侵害は、企業に法令に基づく行政指導や罰則だけでなく、社会的な批判やレピュテーションの深刻なダメージをもたらし、場合によっては事業からの撤退を余儀なくされるケースも見られます。

デジタル化が進み、企業が扱うデータが質・量ともに増大する中で、プライバシーリスクはサイバーセキュリティリスクと密接に関連し、データ侵害という形で顕在化する可能性も高まっています。このような状況において、企業はデータの利活用にあたり、単に法令を遵守するだけでなく、「プライバシー・バイ・デザイン」のように、製品やサービスの設計段階からプライバシー保護を組み込むアプローチや、ステークホルダー（消費者、ビジネスパートナーなど）に対してプライバシー保護の取り組みに関する情報を積極的に開示し、対話を通じて信頼を得ることが、一層重要になっています。

データ利用の重要性や技術革新とのバランスは重要な論点ですが、同意のないデータ収集がユーザーの信頼を損ない、長期的には企業の持続可能性を損なうリスクがあることも、海外の事例が示唆しています。

まとめ：プライバシー侵害の代償、そして日本企業が今すべきこと

GDPRや米国における巨額の和解金事例は、プライバシー侵害が企業に文字通り「巨額の代償」を支払わせる時代に入ったことを明確に示しています。そして、日本の個人情報保護法も課徴金制度の導入が議論されるなど、法的な強制力とペナルティが高まる方向にあります。

日本企業も、特に海外展開している企業や、機微な個人情報（生体認証データなど）を扱う企業は、これらの世界的なプライバシー保護強化の潮流を「対岸の火事」と捉えるべきではありません。

今一度、自社のビジネスにおける個人情報の取得・利用・管理状況が、各国の法令や世界基準に対応できているかを確認する姿勢が求められています。法令の情報をキャッチアップし、既存のプライバシーポリシーやデータ管理体制を見直し、必要に応じて対策を講じること。これは、将来的な法的リスクを回避するためだけでなく、ユーザーや顧客からの信頼を築き、持続可能なビジネスを営む上で不可欠な取り組みと言えるでしょう。

【用語解説】

記事の読者の理解を深めるために、記事中で特に分かりにくい可能性のある用語や概念、企業や組織について、ソースに基づき解説します。

GDPR (EU一般データデータ保護規則):
EU（欧州連合）で施行されている、個人情報保護に関する非常に厳しい規則です。Googleは、ユーザーデータの取り扱いに関してこの規則に抵触し、2019年に制裁金を科されました。

CCPA (カリフォルニア州消費者プライバシー法):
米国カリフォルニア州で施行されている個人情報保護に関する法令の一つです。

COPPA (児童オンラインプライバシー保護法):
米国で、特に13歳未満の児童に関する個人情報のオンラインでの収集を規制する法律です。GoogleのYouTubeがこの法律に違反したとして、FTCと和解しています。

CMP (コンセントマネジメントプラットフォーム):
ウェブサイト訪問者に対して、Cookieなどのデータ利用に関する同意を求めるバナーなどを表示し、その同意状況を管理するためのツールです。

シークレットモード / インコグニトモード / プライベート・ブラウジング・モード:
ブラウザの機能で、このモードでウェブを閲覧している間、通常は閲覧履歴やCookie、フォーム入力情報などがローカルのデバイスに保存されません。ただし、訪問したウェブサイトやインターネットサービスプロバイダーはユーザーの活動を追跡できる場合があり、完全な匿名性が保証されるわけではありません。Google Chromeにも搭載されている機能です。

位置情報:
スマートフォンなどのデバイスを通じて取得される、ユーザーの地理的な現在地に関するデータです。Googleは、ユーザーが位置情報追跡をオフにしたつもりでも、他の設定を通じてこれを収集・追跡していたことが問題視されました。

生体認証データ:
個人の身体的な特徴に関するデータで、個人を識別するために利用されます。指紋、顔の形状、声紋などがこれにあたります。パスワードと異なり変更がきかないため、一度漏洩するとリスクが高い情報であり、特に厳格な取り扱いが求められます。Google Photosの顔認識機能などが関連しています。

課徴金制度 (日本の個人情報保護法関連):
法令違反行為を行った企業が、その違反行為によって得た不当な経済的利益を国庫に納付させる制度です。日本の個人情報保護法においても、より実効性のある監視監督のあり方として導入が検討されています。

団体による差止請求制度 (日本の個人情報保護法関連):
消費者団体などの特定の団体が、企業の個人情報の違法な取扱い行為に対し、その停止（差止め）を求めることができるようにする制度です。日本の個人情報保護法における個人の権利救済手段として検討されています。

被害回復制度 (日本の個人情報保護法関連):
法令違反による個人情報の取扱いによって被害を受けた個人の集団的な被害回復を、特定の団体が訴訟などの手続きを通じて行うことができる制度です。日本の個人情報保護法における個人の権利救済手段として検討されています。