オランダ当局がUberに約470億円の制裁金を科す、運転者の機密データを適切な保護なしでアメリカに送信したため

2024年8月27日 10時49分

オランダのデータ保護局(DPA)が2024年8月26日に、アメリカのUberに対し2億9000万ユーロ(約468億円)の制裁金を科すことを発表しました。DPAはヨーロッパでUberのドライバーの個人情報をアメリカに送信する際、Uberが適切な保護措置を取らなかったと主張しています。

Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US | Autoriteit Persoonsgegevens

https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-imposes-a-fine-of-290-million-euro-on-uber-because-of-transfers-of-drivers-data-to-the-us

Uber Hit by Record $324 Million Fine for Data Transfers to US - Bloomberg

https://www.bloomberg.com/news/articles/2024-08-26/uber-hit-by-record-324-million-fine-for-data-transfers-to-us

Uber gets slapped with €290 million fine

https://www.engadget.com/uber-gets-slapped-with-%E2%82%AC290-million-fine-123039726.html

Uber to Appeal €290 Million GDPR Fine - SecurityWeek

https://www.securityweek.com/uber-to-appeal-dutch-e290-million-gdpr-fine/

今回発端となったのは170人以上のフランス人ドライバーがフランスの人権団体であるLigue des droits de l'Homme(LDH)に苦情を訴えたことです。Uberのヨーロッパ本社はオランダに置かれているため、DPAが調査を行うことになりました。

DPAによると、Uberはヨーロッパのドライバーに関するアカウントの詳細や位置データ、写真、支払いの詳細、身分証明書、ドライバーの犯罪データや医療データといった機密情報を収集しており、そのデータをアメリカのUber本社にあるサーバーに保存していたとのこと。

オランダ国内から欧州経済地域(EEA)以外の国へのデータ転送の際には、プライバシー保護を目的としたデータ転送ツールの使用などが義務付けられています。しかし調査機関のAutoriteit Persoonsgegevensの調査の結果、Uberはこうした適切な保護措置を2年以上にわたり取っていないことが明らかとなりました。

そこでDPAはUberに対し、一般データ保護規則(GDPR)に基づいて2億9000万ユーロの制裁金を科すことを決定しました。この額はDPAが企業に対して科した制裁金の最高額であるとともに、Uberが受けた制裁金としても過去最高額です。

DPAのアレイド・ウォルフセン会長は「ヨーロッパでは、GDPRで企業や政府に個人データの適切な取り扱いを義務付けており、人々の基本的な権利を保護しています。しかし、Uberはアメリカへの転送に関するデータの保護レベルを確保するためのGDPRの要件を満たしていませんでした。これは非常に深刻な事態です」と指摘しました。

一方、Uberは2021年にDPAに連絡を取り、ヨーロッパにおけるユーザーデータの転送についてGDPRに準拠していることを確認しているとのこと。また、EUでは2020年7月にEUとアメリカ間のデータ転送に関する規制である「プライバシーシールド」を無効化すると宣言し、その後2023年7月にプライバシーシールドに代わる「EU-U.S.データプライバシーフレームワーク」が発効されていますが、Uberは「新たなEU-U.S.データプライバシーフレームワークの採用後も、Uberのデータ転送プロセスに変更を加える必要はなかった」と主張しました。