アイルランドのデータ保護委員会(DPC)は19日、米メタ傘下のメッセージアプリ「ワッツアップ」に対し、550万ユーロ(約7億6,000万円)の制裁金を科すと発表した。個人情報の取り扱いがEUの一般データ保護規則(GDPR)に違反すると認定し、6カ月以内に改善措置を講じるよう命じた。ワッツアップは決定を不服として異議を申し立てる意向を示している。
ワッツアップは2018年5月に施行されたGDPRに対応するため利用規約を更新し、「サービス向上とセキュリティ強化」を目的として、個人データの利用についてユーザーの同意を求める項目を盛り込んだ。GDPRでは、特定の目的のための個人データの取扱いに関してユーザー本人が同意した場合、企業による個人データの利用が適法とみなされるため、ワッツアップ側は利用規約での同意取得を合法性の根拠と説明していた。DPCはこれに対し、サービスを利用するためのルールを定めた規約で個人情報の利用に関する同意を包括的に取得することは「違法」と判断した。
ワッツアップの広報担当はDPCの決定を受け、「ワッツアップの運営方法は技術的にも法的にも(GDPRに)準拠していると確信している」とコメント。決定を不服として異議申し立てを行う方針を示した。
アイルランドには米IT大手などが欧州事業の拠点を置いており、このところDPCはこうした企業に対して厳しい判断を下している。ワッツアップに対しては21年にも、個人情報の取り扱いについてユーザーへの十分な説明を怠り、GDPRに違反したとして2億2,500万ユーロの制裁金を科していた。また、今月初めにはメタに対し、3億9,000万ユーロの制裁金を科した。同社は傘下の会員制交流サイト(SNS)のフェイスブックとインスタグラムの閲覧履歴などをもとに広告を配信しているが、DPCはユーザーへの説明が不十分なことや、個人情報の提供を求める規約に同意しなければサービスを利用できない点を問題視し、GDPR違反と認定した。