
アイルランドのデータ保護委員会(DPC)は、LinkedIn Ireland(リンクドイン アイルランド)に対し、3億1000万ユーロ(約490億円)の罰金を科しました。今回の制裁は、LinkedInがEUの一般データ保護規則(GDPR)に違反し、ユーザーの個人情報を適切に取り扱っていなかったことが理由です。
違反内容と背景
- 調査結果:LinkedInは、個人データを収集・処理する際に、透明性や正当な根拠を欠いていたと指摘されました。特に、ターゲティング広告の目的でのデータ利用が問題視され、ユーザーに対して適切な同意を取得していなかったとされます。
- アイルランドDPCの判断:DPCは、LinkedInがEU加盟国全体のプライバシー規制に違反していたとし、プラットフォーム全体でのデータ管理の見直しを要求しました。
DPCの副委員長グラハム・ドイル氏は次のようにコメントした。
「処理の合法性はデータ保護法の基本的な側面であり、適切な法的根拠なしに個人データを処理することは、データ主体のデータ保護に対する基本的な権利の明白かつ重大な侵害です。」
LinkedInの声明
LinkedIn は GDPR に違反していないと主張しているが、それでも DPC の変更要求を満たすために取り組んでいる。
「当社は一般データ保護規則(GDPR)を遵守していると考えているが、IDPCの期限までに当社の広告慣行がこの決定を満たすよう取り組んでいる」と同社はウェブサイトに掲載しました。
会員データを同意なく広告ターゲティングに利用した
この決定は、フランスの非営利団体 La Quadrature Du Net からの苦情を受けて 2018 年 8 月 20 日に開始された苦情に基づく調査に関連しています。苦情は当初、フランスのデータ保護機関に提出され、その後、問題となっている個人データの処理の管理者として機能する LinkedIn の主導監督機関としての役割を果たす DPC に提出されました。
問題となっている個人データには、LinkedIn のメンバーから直接提供されたデータ (ファーストパーティ データ) と、メンバーに関連してサードパーティ パートナーを通じて取得されたデータ (サードパーティ データ) が含まれていました。
GDPR では、個人データの処理は、同意、契約上の必要性、正当な利益など、GDPR 第 6 条 (1) に概説されている法的根拠のいずれかに基づいて行われる必要があります。管理者が選択した法的根拠に応じて、特定の条件を満たす必要があります。たとえば、取得された同意は、データ主体の希望が自由に与えられ、具体的で、十分な情報に基づいており、明確に示されているという GPDR で要求される基準を満たす必要があります。