アイルランドのデータ保護委員会(DPC)は2日、米フェイスブック傘下のメッセージアプリ「ワッツアップ」に対し、総額2億2,500万ユーロ(約290億円)の制裁金を科すと発表した。個人情報の取り扱いについてユーザーへの十分な説明を怠り、EUの一般データ保護規則(GDPR)に違反したと認定した。ワッツアップは決定を不服として上訴する方針を示している。
フェイスブックはアイルランドの首都ダブリンに欧州本社を置いているため、DPCが2018年12月からワッツアップに対する調査を進めていた。ワッツアップとフェイスブック傘下の他の企業の間でやり取りされる個人情報の扱いについて調べた結果、アプリ利用者に対して「透明性をもって情報が開示されていない」ことが判明し、企業などに個人情報の厳格な管理体制を求めるGDPR違反にあたると結論づけた。
ワッツアップの広報担当は「当社は提供する情報が透明かつ包括的なものになるよう努めており、今後もそのようにする。今回の決定には同意できず、制裁機の規模はまったく不相応だ」とコメントし、上訴する意向を示した。
2018年に施行されたGDPRに基づく制裁金としては、ルクセンブルクのデータ保護当局CNPDが今年7月、米アマゾン・ドット・コムに科した7億4,600万ユーロに次ぐ過去2番目の規模。アイルランド当局は当初、ワッツアップに対する制裁金を500万ユーロとする方針だった。しかし、違反企業に対する制裁は他のEU加盟国のデータ保護当局の意見も踏まえて最終決定されることになっており、8カ国から額が低すぎるとの批判が出ていた。このためEU各国のデータ保護機関の代表で構成する欧州データ保護会議(EDPB)がDPCに制裁金額の見直しを求め、最終的に2億2,500万ユーロに引き上げられた。