フランスデータ保護機関(CNIL)は、WhatsAppとFacebookの過去および現在のデータ共有慣行は法的根拠がなく、したがって違法であると述べた。CNILはFacebookに対し、フランスおよび欧州連合のデータ保護法で義務付けられている通り、ユーザーから適切な同意を得るよう通知した。
WhatsAppがEUのプライバシー法に違反
欧州連合(EU)加盟国の各国データ保護機関の長官が参加するワーキング・パーティ29(WP29)グループは、FacebookによるWhatsAppの買収以来、WhatsAppとFacebookのデータ共有について調査を行ってきました。WP29は、WhatsAppが「ビジネス・インテリジェンス」および「セキュリティ」の目的でユーザーのデータをFacebookに転送していることを確認しました。転送されたデータには、ユーザーの電話番号やアプリケーションの利用習慣が含まれていました。
CNIL議長は、セキュリティ目的のデータ収集は許容範囲内と思われるものの、ビジネスインテリジェンスのために収集されたデータはEUのデータ処理法に準拠していないと判断しました。CNILは、ユーザーの同意もWhatsAppの「正当な利益」も、この種のデータ収集の法的根拠として利用できないと指摘しました。
CNIL は、次の理由により同意が有効に収集されていないと付け加えました。
これはこの目的に限ったことではありません。アプリケーションをインストールする際、ユーザーは、メッセージング サービスのために自分のデータが処理されることに同意する必要がありますが、一般的には、Facebook Inc. がサービスの向上などの付随的な目的のためにもデータを処理することに同意する必要があります。これは無料ではありません。「ビジネス インテリジェンス」目的でのデータ転送を拒否する唯一の方法は、アプリケーションをアンインストールすることです。
WhatsAppはCNILとの協力を拒否
CNILによると、WhatsAppはEU市民から収集したデータのサンプルの提供を拒否した。同社によれば、データは米国で保管されており、この状況では米国の法律のみに従う必要があると考えているためだという。
FacebookはEU・米国間のプライバシーシールド協定を遵守すべきであるにもかかわらず、このような主張は奇妙に思えます。一方で、EUデータ保護当局が、米国企業がEU市民から収集し、米国のサーバーに転送するデータの種類を調査することすらできないのであれば、プライバシーシールドは単によく練られた法律ではないのかもしれません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
このため、CNILはWhatsAppとFacebookのデータ共有について十分な調査を行うことができませんでした。しかし、CNILはWhatsAppに対し、1ヶ月以内にデータ保護法を遵守するよう求める正式な通知を発行しました。WhatsAppが遵守しない場合、CNILは調査官を任命し、同社に対する制裁措置を勧告する可能性があります。
CNILは今年初め、Facebookがユーザーのブラウザにクッキーをインストールし、Facebookからログアウトした後でもウェブ閲覧中にユーザーに関するデータを収集したとして同社に罰金を科した。
