アイルランドのデータ保護委員会(DPC)は5月22日(現地時間)、米Metaが欧州連合(EU)の一般データ保護規則(GDPR)に違反しているとして、同社に12億ユーロの制裁金を科すと発表した。欧州でのプライバシーの侵害に関する罰金としては過去最大。DPCは通知日から5カ月以内に米国への個人データの転送を停止するよう命じ、また米国におけるデータの保管を含むGDPRに反するデータ処理を6カ月以内に終了するように求めた。

EU加盟国から非加盟国に個人データを移管することは原則禁止されているが、ビジネスのニーズを満たすために「プライバシーシールド」と呼ばれるEU-米国間で個人データを合法的に移すための枠組みが2016年に設けられた。しかし、EUのプライバシー法が適用されない米国に個人データが移管されれば、EU市民が米国の監視プログラムの対象になる可能性がある。プライバシーシールド締結は法廷に持ち込まれ、2020年に無効とする判断が欧州司法裁判所によって下され、EUのデータ規制当局はGDPRに従った個人データの扱いとデータ処理を米国のビッグテックに強く求めるようになった。

GDPR違反では、2019年に米Googleが5000万ユーロ、2021年に米Amazonが7億4600万ユーロの罰金を科されており、Metaに対する12億ユーロの罰金はそれらを大きく上回る。Metaは22日(同)、ニック・クレッグ氏(グローバルアフェア担当プレジデント)とジェニファー・ニューステッド氏(最高法務責任者)が「Our Response to the Decision on Facebook’s EU-US Data Transfers」を公開、「何千もの企業やその他の組織が、人々が毎日利用するサービスを運営・提供するためにEUと米国間のデータ転送に依存しています」と述べた上で、Metaもその1つであるとして、「これは一企業のプライバシー慣行の問題ではありません。データへのアクセスに関して、米国政府の規則と欧州のプライバシー権の間には根本的な法対立があります」と指摘した。

EUと米国は現在、データ転送に関してプライバシーシールドに代わる新たな枠組みについて交渉しており、10月までには合意に至ると見られている。Metaにはデータ転送停止まで5カ月の猶予期間があり、その間に協定が締結されて新たな枠組みでデータ転送が継続することが有力視されている。しかしながら、GDPRが求める透明性、データの使用に対する明確な同意、個人データの適切な保護をどの程度確保できるかは不透明であり、新たな枠組みがそれらを満たせなければ再び法廷に持ち込まれることの繰り返しになる可能性がある。