英国情報コミッショナー事務局(ICO)は、WhatsAppが、EUの新しい一般データ保護規則(GDPR)に完全に準拠するまで、ユーザーのデータをFacebookと共有しないという公約に署名したと発表した。
WhatsAppデータ共有に関するICOの調査
英国のデータ保護機関(DPA)であるICOは、2016年にWhatsAppとFacebookのデータ共有に対する独自の調査を開始した。ICOの調査は、Facebookが2014年にWhatsAppを買収した後、他の欧州連合(EU)DPAによる調査と並行して開始された。
買収から2年後、WhatsAppユーザーは、1ヶ月以内にデータがFacebookと共有されるというメッセージを受け取りました。当時は、Facebookへのデータの一部の共有のみを回避できる限定的なオプトアウトオプションがありました。
EUのデータ保護機関は、WhatsAppユーザーに対して、より公平な警告と、アプリの使用を完全にやめることなく利用できる、実質的なオプトアウトの選択肢を提供するべきだと考えました。そもそもWhatsAppがユーザー基盤を構築するために行った主要な約束の一つは、ユーザーのデータを第三者に販売したり、広告を表示したりしないことでした。
ICO の調査により、次のことが判明しました。
WhatsApp は、このような個人データの共有について、処理の法的根拠を特定していません。WhatsApp は、このような個人データの共有に関連して、ユーザーに適切な公正な処理情報を提供していません。既存のユーザーに関しては、このような共有には、個人データが取得された目的と矛盾する目的での個人データの処理が含まれます。データを共有していた場合、データ保護法の 1 番目と 2 番目のデータ保護原則に違反していたことが判明しました。
WhatsAppの公約
ICOは、WhatsAppがFacebookと既にデータを共有していたとは確認しませんでした。これは、EUのデータ保護機関が、ユーザーがWhatsAppからデータ共有の通知を受け取るとすぐにWhatsAppに連絡を取ったためと考えられます。このため、ICOは現時点でWhatsAppに罰金や処罰を科す予定はありませんが、前述の通りデータを共有しないことを公約させることに成功しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
WhatsAppは引き続きFacebookを「データ処理者」として利用することができ、これはFacebookがWhatsAppにサポートサービスを提供できることを意味します。ICOは、データ処理が法律に準拠して行われる限り、データ保護上の懸念は生じないと主張しました。また、ICOは、データ保護とは企業がユーザーデータを共有できないことを意味するのではなく、共有する際には法律を遵守しなければならないことを意味すると明確にしました。
ICOはWhatsAppが公約に署名したことに満足しているようですが、引き続きWhatsAppの遵守状況を監視する予定です。さらに、他国のDPA(データ保護機関)は、WhatsAppとFacebookのデータ共有について調査を継続する予定です。ICOによると、フランスのCNIL(国立情報処理機関)は近日中にWhatsAppに対して執行措置を講じる準備を進めていますが、その具体的な内容はまだ不明です。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
