アイルランドのデータ保護委員会(DPC)は5月22日、会員制交流サイト(SNS)のフェイスブックを運営する米メタ(旧フェイスブック)に対して、欧州連合(EU)の一般データ保護規則(GDPR)に違反したとして、12億ユーロの制裁金を科すと発表した。EUでのGDPRをめぐる制裁としては過去最大規模となる。
メタは欧州の拠点をアイルランドに置いている。DPCは同社がEU内の利用者のデータを米国に移転する際に、適切なデータ保護を怠ったとして、制裁金支払いを命令。さらに、5カ月以内に米国へのデータ移転を停止することも命じた。
GDPR違反での制裁では、ルクセンブルクのデータ保護当局が2021年に米アマゾン・ドット・コムに科した7億4,600万ユーロが最高だった。これを大きく上回る厳しい制裁となる。
EUが2018年5月に導入したGDPRは、域外に個人データを持ち出すことを原則として禁止しているが、欧州委がEUと同等のデータ保護水準を確保していると認めた国・地域に関しては、例外的にデータ移転を認める十分性認定の仕組みがある。EUと米国の間では、2000年に結んだ個人情報の移転ルール「セーフハーバー協定」に代わり、16年7月に「プライバシー・シールド」が発効した。
しかし、オーストリアの活動家が13年、フェイスブックがアイルランドから米本社に送った個人情報が米当局によって監視されている懸念があると主張し、データ移転の合法性をめぐって提訴。EU司法裁判所は20年、プライバシー・シールドに基づく個人データの保護水準はGDPRと同等のレベルにはないと判断し、同枠組みを無効とする判決を下した。
これを受けてEUと米は22年3月、新たな個人データの移転ルールで合意。米バイデン米大統領は同年10月、新ルールに関する大統領令に署名したが、まだ発効していない。
メタは今回の制裁について「不当かつ不要な制裁だ」として、提訴する構えを示している。