オランダのデータ保護局(DPA)が2024年8月26日に、アメリカのUberに対し2億9000万ユーロ(約468億円)の制裁金を科すことを発表しました。DPAはヨーロッパでUberのドライバーの個人情報をアメリカに送信する際、Uberが適切な保護措置を取らなかったと主張しています。

Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US | Autoriteit Persoonsgegevens

https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-imposes-a-fine-of-290-million-euro-on-uber-because-of-transfers-of-drivers-data-to-the-us



Uber Hit by Record $324 Million Fine for Data Transfers to US - Bloomberg

https://www.bloomberg.com/news/articles/2024-08-26/uber-hit-by-record-324-million-fine-for-data-transfers-to-us

Uber gets slapped with €290 million fine

https://www.engadget.com/uber-gets-slapped-with-%E2%82%AC290-million-fine-123039726.html

Uber to Appeal €290 Million GDPR Fine - SecurityWeek

https://www.securityweek.com/uber-to-appeal-dutch-e290-million-gdpr-fine/

今回発端となったのは170人以上のフランス人ドライバーがフランスの人権団体であるLigue des droits de l'Homme(LDH)に苦情を訴えたことです。Uberのヨーロッパ本社はオランダに置かれているため、DPAが調査を行うことになりました。

DPAによると、Uberはヨーロッパのドライバーに関するアカウントの詳細や位置データ、写真、支払いの詳細、身分証明書、ドライバーの犯罪データや医療データといった機密情報を収集しており、そのデータをアメリカのUber本社にあるサーバーに保存していたとのこと。



オランダ国内から欧州経済地域(EEA)以外の国へのデータ転送の際には、プライバシー保護を目的としたデータ転送ツールの使用などが義務付けられています。しかし調査機関のAutoriteit Persoonsgegevensの調査の結果、Uberはこうした適切な保護措置を2年以上にわたり取っていないことが明らかとなりました。

そこでDPAはUberに対し、一般データ保護規則(GDPR)に基づいて2億9000万ユーロの制裁金を科すことを決定しました。この額はDPAが企業に対して科した制裁金の最高額であるとともに、Uberが受けた制裁金としても過去最高額です。

DPAのアレイド・ウォルフセン会長は「ヨーロッパでは、GDPRで企業や政府に個人データの適切な取り扱いを義務付けており、人々の基本的な権利を保護しています。しかし、Uberはアメリカへの転送に関するデータの保護レベルを確保するためのGDPRの要件を満たしていませんでした。これは非常に深刻な事態です」と指摘しました。

一方、Uberは2021年にDPAに連絡を取り、ヨーロッパにおけるユーザーデータの転送についてGDPRに準拠していることを確認しているとのこと。また、EUでは2020年7月にEUとアメリカ間のデータ転送に関する規制である「プライバシーシールド」を無効化すると宣言し、その後2023年7月にプライバシーシールドに代わる「EU-U.S.データプライバシーフレームワーク」が発効されていますが、Uberは「新たなEU-U.S.データプライバシーフレームワークの採用後も、Uberのデータ転送プロセスに変更を加える必要はなかった」と主張しました。



Uberは「今回の欠陥のある決定と異常なまでに高い額の制裁金は完全に不当なものです」と批判し、「Uberによる国境を越えたデータ転送プロセスは、長年にわたってGDPRに準拠しています。私たちは今回の決定に対して異議申し立てを行う予定です。私たちの常識が正しいと確信しています」と語っています。