フェイスブック傘下のチャットプラットフォーム「WhatsApp」の利用規約更新をめぐる混乱により、イタリアのデータ保護当局が介入した。
イタリアのGPDPは本日、新利用規約で何が変更されるのか明確な情報が不足していることについて懸念を表明するため、欧州データ保護委員会(EDPB)に連絡を取ったと発表した。
WhatsAppはここ数週間、2月8日以降もサービスを継続利用するには新しい利用規約に同意する必要があるとユーザーに注意喚起している。
更新された利用規約に関する同様の警告はインドでも懸念を引き起こしており、インドでは本日、新しい利用規約がユーザーの基本的プライバシー権を侵害し、国家安全保障への脅威となると主張する請願がデリー高等裁判所に提出された。
イタリアの当局はウェブサイト上の通知の中で、WhatsAppのユーザーが新しい規約で導入される変更点を理解することは不可能であり、「2月8日以降、メッセージングサービスによって実際にどのようなデータ処理が行われるのかを明確に理解する」ことも不可能だと考えていると述べている。
EU 法の下で個人データを処理するための有効な法的根拠として同意が認められるためには、一般データ保護規則 (GDPR) により、ユーザーがそれぞれの特定の使用について適切に通知され、それぞれの目的でデータが処理されるかどうかを自由に選択できることが義務付けられています。
イタリアの当局は、ユーザーを保護し、個人データの保護に関するEU法を施行するために、「緊急に」介入する権利を留保していると付け加えた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
GPDPの介入について、EDPBに問い合わせました。この運営機関の役割は通常、EUデータ保護機関間の連絡役を務めることです。しかし、EU法の解釈に関するガイダンスも発行しており、EUの越境調査に関して意見の相違が生じた場合に介入して決定票を投じることもできます。
昨日の総会ではこの問題について「意見交換」があったと伝えられた。
「この問題については、後日改めて議論される可能性が高い」と付け加えた。「SA(監督当局)は、ワンストップショップの枠組みの中で、定期的に事例に関する情報交換を行っていることにご留意ください。」
「EDPBはSA間の協力を促進する役割を果たしており、今後もその任務に従いEU全体でデータ保護法の一貫した適用を確保するために、当局間のこうした交流を促進していきます。」
E2E暗号化メールプロバイダーも、チャットアプリのユーザーがプライバシーを求めてSignalやTelegramに集まるにつれ、登録数が急増している。
今週初め、トルコの反トラスト当局もWhatsAppの更新された利用規約を調査していると発表した。当局は、新しい規約では欧州とそれ以外の地域でFacebookと共有されるデータの量が異なると主張し、これに異議を唱えている。
一方、EUにおけるWhatsAppの主要データ規制機関であるアイルランドのデータ保護委員会は月曜日、メッセージングアプリWhatsAppがEUユーザーに対し、データ共有慣行に関するより広範な変更の影響を受けないことを約束したと発表しました。つまり、EUにおけるFacebookの主要規制機関は、WhatsAppの新しい利用規約に異議を唱えていないということです。
WhatsApp自身も、今回のアップデートでは世界中のどこでもデータ共有の慣行にまったく変更はないと主張している。
明らかに、サプライチェーンのどこかでコミュニケーションに失敗があった。そのため、新しい利用規約の文言が明確でないことにイタリアが異議を唱えるのは当然のことのように思える。
GDPDの介入についてコメントを求められたWhatsAppの広報担当者は次のように語った。
WhatsAppのプライバシーポリシー更新に関するGaranteの発表を精査中です。このポリシー更新は、友人や家族とのメッセージのプライバシーにいかなる影響も及ぼさず、イタリアのユーザーにFacebookとの新しいデータ共有方法への同意を求めるものでもありません。むしろ、今回の更新は、データの収集と使用方法に関する透明性を高めるとともに、WhatsAppで企業にメッセージを送信する際(これは任意です)に関する変更点を明確にするものです。私たちは、イタリアのすべての人々にエンドツーエンドで暗号化されたプライベートなメッセージを提供することに引き続き尽力します。
イタリアの規制当局がWhatsAppの利用規約にどのように介入できるのかは、興味深い問題です。(実際、私たちはGPDPに問い合わせて質問しました。)
GDPRのワンストップショップ方式により、国境を越えた苦情は、企業の主要地域拠点(WhatsAppの場合はアイルランド)の主任データ管理者を通じて処理されることになります。しかし、前述の通り、アイルランドはこれまでのところ、WhatsAppの改訂された利用規約に問題はないと述べています。
しかし、GDPR では、他の DPA にも、ユーザーのデータに差し迫ったリスクがあると判断した場合、独自に行動する権限が与えられています。
たとえば、2019年にハンブルクDPAがGoogleに対し、Googleアシスタントユーザーの音声スニペット(評価プログラムの一環としてレビューしていた)の手動レビューを停止するよう命じたケースなどだ。
この件でハンブルクは、GDPR第66条の権限を行使する意向をグーグルに伝えた。この権限は、国家機関が「データ主体の権利と自由を保護するために緊急に行動する必要がある」と判断した場合、データ処理の停止を命じることを可能にするものだ。この権限により、グーグルは直ちに欧州全域で人間によるレビューを一時停止した。
その後、このテクノロジー大手はプログラムの運用方法を修正しました。ハンブルクDPAは第66条を行使する必要すらなく、処理停止命令を発令するだけで十分でした。
約1年半が経ち、大手テクノロジー企業の大部分を監督するいくつかの重要な管轄区域を除く多くのEUデータ保護機関が、大手テクノロジー企業に対する規制の不作為に対する不満を募らせている兆候が見られる。
そのため、これらの機関は、国民のデータを守るために独自の独創的な手続きに頼る意欲が高まっているのかもしれない。(フランスのCNILが最近、クッキーの同意をめぐってAmazonとGoogleに巨額の罰金を科したことは、確かに興味深い。これは、GDPRのようなワンストップショップの仕組みを含まないeプライバシー指令に基づいて行動している)。
今週の関連ニュースでは、EU最高裁判所の顧問による意見も、GDPRの施行のボトルネックに対する懸念に応えているようだ。
ボベック法務長官は意見書の中で、法律では特定の状況において各国のデータ保護当局が独自の訴訟を起こすことが認められているという見解を示している。これには「緊急措置」を講じるためや、「主導するデータ保護当局が事件を扱わないと決定したことに従って」介入するためなどが含まれる。
この件に関するCJEUの判決はまだ保留中だが、裁判所は顧問の立場に同調する傾向があるため、少数のDPAがすべての主要な決定を下すのを待つのではなく、今後数年間でEUのデータ保護当局によるデータ保護執行活動が全面的に増加する可能性が高いと思われる。
大手テクノロジー企業を捕まえるにはGDPRの執行強化が必要と報告書が警告
この報告書はEDPBからのコメントに基づいて更新されました。
ナターシャは2012年9月から2025年4月まで、ヨーロッパを拠点とするTechCrunchのシニアレポーターを務めました。CNET UKでスマートフォンレビューを担当した後、TechCrunchに入社しました。それ以前は、silicon.com(現在はTechRepublicに統合)で5年以上ビジネステクノロジーを担当し、モバイルとワイヤレス、通信とネットワーク、ITスキルに関する記事を主に執筆しました。また、ガーディアン紙やBBCなどのフリーランスとして活動した経験もあります。ケンブリッジ大学で英語学の優等学位を取得し、ロンドン大学ゴールドスミス・カレッジでジャーナリズムの修士号を取得しています。
バイオを見る
