欧州司法裁判所の法務官は13日、EU加盟国のデータ保護当局はIT(情報技術)大手が個人情報保護ルールに違反した場合、域内の他の国に欧州事業の拠点がある場合でも、当該企業に対して法的措置を講じることができるとの見解を示した。
これは個人情報の扱いをめぐってベルギー当局が米フェイスブックを提訴し、同国の裁判所が違法と認定して罰金の支払いを命じた事案を受けたもの。フェイスブックはアップルやグーグルなどと同様、アイルランドに欧州本社を置いているため、ベルギー当局には管轄権がないと主張していた。最終的に司法裁が法務官の見解に沿った判決を下した場合、各国当局がアイルランドに欧州本社を置く他のIT大手に対して法的措置に踏み切る可能性がある。
ベルギーのデータ保護機関(DPA)は2015年、サイトの閲覧履歴などに基づくターゲティング広告のため、サードパーティクッキーを利用して本人の同意を得ずにユーザーと非ユーザーのネット上の行動を追跡するフェイスブックの商慣行を問題視し、データ保護法に違反しているとして同社を提訴した。フェイスブックは欧州本社がアイルランドにあることを理由に、DPAには訴訟を提起する権限がないと反論したが、ベルギーの裁判所はDPAの主張を認め、個人情報の取り扱いで改善がみられない場合、同社に対して1日につき25万ユーロ(約3,100万円)の罰金を科すとの判決を下した。フェイスブックは判決を不服として上訴。ベルギーの司法当局がDPAの管轄権についてEU司法裁に判断を求めていた。
ボベック法務官は、EU一般データ保護規則(GDPR)の下では複数の加盟国をまたいで個人情報の取り扱いに関する違反行為を調査する場合、調査対象が拠点を置く国のデータ保護当局に主たる監督機関としての地位と権限を与える「ワンストップショップ」制度が導入されており、今回の事案ではアイルランド当局がこれに該当すると指摘。そのうえで、主監督機関は他の加盟国の当局と緊密に連携して効率的に調査を進める必要があり、自国で違反行為があった場合は主監督機関以外でも法的措置を講じることができるとの見解を示した。
フェイスブックのジャック・ギルバート次席法務顧問は「法務官がワンストップショップ制度の原則を改めて明確にしたことを歓迎する。司法裁の最終的な判断を待つ」とコメントした。
一方、人権擁護団体などは司法裁が法務官の見解と同様の判断を示した場合、アイルランド当局は結果として主導権を失い、他の国の当局が米IT大手に対して一斉に法的措置を取る可能性があると指摘している。