[The Daily Star]オランダのデータ保護監視機関は月曜日、欧州の運転手の個人情報を米国のサーバーに転送したとして、配車アプリ「ウーバー」に2億9000万ユーロ(3億2400万ドル)の罰金を科したと発表した。
規制当局は、ドライバー情報を適切に保護できなかったため、この移転は欧州連合の一般データ保護規則(GDPR)の「重大な違反」であると述べた。
「ウーバーは米国へのデータ転送に関するデータ保護レベルを確保するためのGDPRの要件を満たしていなかった。これは非常に深刻だ」とオランダデータ保護機関(DPA)のアレイド・ウォルフセン委員長は声明で述べた。
DPAは、ウーバーがタクシー免許証、位置情報、写真、支払い詳細、身分証明書など、欧州の運転手の機密情報を収集し、「場合によっては運転手の犯罪歴や医療データまで収集した」と述べた。
DPAによると、2年間にわたり、情報は転送ツールを使用せずにウーバーの米国本社に転送されたという。
「このため、個人データの保護は不十分だった」とDPAは述べ、ウーバーは「違反行為を終わらせた」と指摘した。
ウーバーは罰金に対して控訴する意向を示しており、控訴手続きでは罰金の執行が一時停止されるが、最長4年かかる可能性がある。
「この誤った決定と異常な罰金は全く不当だ」とウーバーの広報担当者は声明で述べた。
「EUと米国の間で3年間にわたり大きな不確実性が続いた間、ウーバーの国境を越えたデータ移転プロセスはGDPRに準拠していた。我々は控訴するが、常識が勝つと確信している」と声明は述べた。
EUは近年、大手テクノロジー企業が何をできるか、何ができないかを規定する一連の規則を導入し、違反に対して巨額の罰金を課している。
DPAは、170人以上のフランス人ドライバーがフランスの人権団体に苦情を申し立て、その後同団体がフランスのデータ保護監視機関に苦情を申し立てたことを受けて調査を開始したと述べた。
GDPR では、複数の EU 諸国でデータを処理する企業は、本社所在地のデータ保護当局と交渉する必要があります。ウーバー の欧州本社はオランダにあります。
「欧州では、GDPRは企業や政府に個人データを適切な注意をもって取り扱うことを義務付けることで、人々の基本的権利を保護している」とウルフセン氏は述べた。
「しかし残念なことに、これはヨーロッパ以外では自明ではない」と彼は言った。
「大規模にデータを利用できる政府のことを考えてみてください。だからこそ、企業は欧州連合域外で欧州人の個人データを保管する場合、通常、追加措置を講じる義務があるのです。」
これはDPAがウーバーに対して科した3度目の罰金であり、2018年の60万ユーロ、昨年の1000万ユーロの罰金に続くものとなる。
ウーバーは月曜日、最新の事例は2021年にさかのぼる苦情に関連しており、「米国とEU間のデータ転送に関して大きな不確実性があった」3年間であると述べた。
同社は、この不確実性は、欧州連合司法裁判所が2020年にEU・米国間のプライバシーシールドとして知られるデータ移転枠組みを無効にしたことにより始まったと述べた。
後継となるEU-米国データプライバシーフレームワークは、昨年欧州委員会によって採択されました。
「EUで事業を展開し、米国にデータを移転している他の多くの企業が行わなければならなかったことと同様に、プライバシーシールドが争われていた期間中、ウーバーはGDPRに従ってデータを保護し続けた」と同社は述べた。
Bangladesh News/The Daily Star 20240827
https://www.thedailystar.net/business/news/dutch-hit-uber-324m-fine-3687486
関連
