アイルランドのデータ保護委員会(DPC)は、LinkedIn Irelandに対し、3億1000万ユーロ(約490億円)の罰金を科しました。この処分は、LinkedInがEUの一般データ保護規則(GDPR)に違反し、ユーザーの個人情報を不適切に扱っていたことに起因します。
違反内容と背景
調査結果と違反の詳細
- 問題点:LinkedInは、個人データの収集・処理の過程で、透明性の欠如と法的根拠の不足があったとされています。特に、ターゲティング広告にデータを使用する際、ユーザーの同意を適切に取得していなかった点が指摘されました。
- 対象データ:LinkedInのユーザーが直接提供した ファーストパーティデータ と、サードパーティパートナー経由で取得した サードパーティデータ の両方が含まれます。
DPCの判断
アイルランドDPCは、「LinkedInがEU加盟国全体のプライバシー規制に違反している」とし、プラットフォーム全体でのデータ管理体制の見直しを求めました。
副委員長グラハム・ドイル氏は次のようにコメントしています:
「適切な法的根拠なしに個人データを処理することは、データ主体の権利に対する重大な侵害であり、データ保護法の基本的な側面に反します。」
苦情の経緯
今回の調査は、2018年8月20日にフランスの非営利団体 La Quadrature Du Net からの苦情を受けて開始されました。当初はフランスのデータ保護機関に提出されましたが、LinkedInの欧州における主導監督機関としての役割を果たすDPCが最終的に調査を引き継ぎました。
LinkedInの声明
LinkedInは、GDPRに違反していないと主張しながらも、DPCの改善要求を遵守するための取り組みを進めていると表明しています。
「当社は、一般データ保護規則(GDPR)を遵守していると考えていますが、DPCの期限までに広告慣行がこの決定を満たすよう取り組んでいます。」
(LinkedIn公式サイトより)
GDPRと法的根拠
GDPRの第6条(1)では、個人データの処理は以下のいずれかの法的根拠に基づく必要があります:
- ユーザーの同意
- 契約上の必要性
- 正当な利益
同意に基づく処理の場合、ユーザーの同意は自由かつ具体的、十分な情報に基づいた形で、明確に示されている必要があります。今回のDPCの指摘は、LinkedInがこの基準を満たしていなかった点にあります。
