2022年9月初旬、「InstagramがEU一般データ保護規則(GDPR)に違反した」として、アイルランドのデータ保護委員会が、Metaに4億500万ユーロ(約570億円)の罰金を科したことを複数の海外メディアが報じた。

イギリスの大手一般新聞「The Guardian」の報道によれば、Instagram上で13〜17歳のユーザーにビジネスアカウントを運営させ、ユーザーの電話番号と電子メールアドレスを公開していたことが違反の内容だという。

Photo by Brett Jordan on Unsplash

GDPRに違反した罰金としては、2021年7月にAmazonに科された7億4600万ユーロ(当時のレートで約970億円)に次いで、2番目に大きな額となる。SNSを提供する企業への罰金としては、過去最大だ。

Metaの広報担当者は「この罰金の計算方法には同意できず、上訴する予定である」と話したそうだ。本記事では、InstagramのGDPR違反の内容、及びInstagramの「子どものプライバシー保護」にまつわる近年の改定を紹介する。

焦点となった「子どものプライバシーを侵害」とは?

The Guardianの報道によれば、アイルランドのデータ保護委員会は、InstagramのGDPRに違反する可能性について2年間調査した結果、4億500万ユーロという高額の罰金を科したそうだ。Metaの欧州本部がアイルランドにあるため、同国のデータ保護委員会がEU全体を代表して規制している。

Instagramが13〜17歳のユーザーにビジネスアカウントを運営させ、ユーザーの電話番号と電子メールアドレスを公開していたこと。さらに、13〜17歳のユーザーのアカウントをデフォルトで「公開」に設定するユーザー登録システムを運用していたことも、違反とみなされた。

英国のデータコンサルタント会社の経営者であるCaroline Carruthers氏は、「GDPRは、子どもを対象としたサービスが高い透明性を保っているかどうかを確認するための特別な規定を持っている。Instagramは子どものユーザーのプライバシー設定において、明らかに配慮が欠如していた」と述べた。

Photo by Maddi Bazzocco on Unsplash

2018年5月にEUで施行されたGDPRは、個人情報の保護という基本的人権の確保を目的としており、EUを含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを EEA域外に移転することを原則禁止している。今回のMetaのように、違反が認められれば高額の罰金が科せられる。

日本で知られるGDPR関連のニュースといえば、2022年4月6日にYahoo! JAPANがEEAとイギリスでサービスを終了したことかもしれない。ヤフーは、「EEA、およびイギリスで継続的なサービス利用環境を提供することが困難である」との理由から、Yahoo!メール、Yahoo!カード、ebookjapanを除くサービスを同エリアで終了した。同社は明確にGDPRに言及はしていないものの、GDPRがこの決定に影響を与えたと推察されている。

AmazonやWhatsAppにも高額の罰金

これまで、GDPR違反として高額の罰金が科されたのは、Instagramに対してだけではない。2021年7月には、ルクセンブルクのプライバシー規制当局であるCNPDが、Amazonに7億4600万ユーロの罰金を科した。消費者への広告表示のために顧客データを使用する方法について違反があったという。

日本経済新聞の報道、及びTechCrunchの報道によれば、Amazonは「根拠のない判決」だと非難したうえで、以下のような声明を出している。

「我々はCNPDの決定にまったく同意しておらず、抗議するつもりだ。当社にとって、顧客情報の安全性と信頼維持は最優先事項である。データ侵害はなく、顧客データはいかなる第三者への漏洩もない」

COMPLIANCE WEEKの報道によれば、罰金の決定から1年が経過した2022年7月時点でも、この決定の詳細はクリアになっていないようだ。

2021年9月には、メッセージングアプリであるWhatsAppのGDPR違反で、Metaに対して2億2500万ユーロ(当時のレートで約290億円)の罰金が科されている。

焦点となったのは、WhatsAppのユーザーと非ユーザーの両方に対しての透明性、および親会社Facebookとのデータ共有に関するプラットフォームの透明性の義務を果たしているかどうか。調査の結果、GDPRは透明性侵害があったと判断したのだ。

海外でおなじみのメッセージングアプリ「WhatsApp」は、22億人以上のユーザーを持つ(Photo by Adem AY on Unsplash

WhatsAppには、ユーザーが他人の個人データを含む電話帳を取り込むことに同意すれば、非ユーザーの電話番号をアップロードできる設定があるという。また、2016年の利用規約改定から、WhatsAppユーザーのアカウント情報は親会社のFacebookと共有されるようになった。当時は「WhatsApp、Facebook間のデータの紐付けをしない」という選択が可能だったが、その後の利用規約改定によって選択できなくなった。

Metaもまた、WhatsAppにまつわる罰金に対して、「この決定に同意せず、罰則はまったく不釣り合いなものだ。私たちはこの決定を不服としている」とコメント。上訴の意思を示した。

Instagramは続々と改定・新機能を発表

このような背景があり、欧州では、大手のテックカンパニーが個人情報の保護に配慮した機能のアップデートや利用規約改定に迫られている。ここでは、2021年以降にInstagramが発表した「10代の子どもを守るための利用規約改定と新機能」を抜粋して取り上げたい。

まず、2021年3月に若年層の利用者を守る3つの新機能を発表した。1つめは、18歳未満のユーザーと彼らがフォローしていない大人とのダイレクト機能の制限だ。

18歳未満のユーザーは、自分がフォローしていない大人とはDMのやり取りができない(Metaのプレスリリースより)

2つめは、不審な行動を取るアカウントとのやりとりを警告し、対応策を通知する機能だ。例えば、18歳未満のユーザーに対して大量のフォローリクエストやメッセージリクエストを送るなど、不審な行動を取る大人とダイレクト機能でやりとりしている場合に、18歳未満のユーザーに通知される。2021年3月より数か国で提供開始し、より多くの国と地域で順次利用可能になる。

不信な行動を取るユーザーを制限・報告・ブロックする通知が出る(Metaのプレスリリースより)

3つめは、18歳未満の利用者にアカウント非公開を推奨する通知を表示すること。若年層の利用者が積極的に非公開アカウントを選択するよう促すためだ。

若年層には非公開設定が推奨される(Metaのプレスリリースより)

プレスリリースには、「不審な行動を取っていると疑われる大人が18歳未満の利用者と交流しづらくする方法を導入予定」とも書かれていた。

この新機能の追加と同時に、「保護者のためのInstagramガイド」を一新し、公開している。アカウントのプライバシー設定など、子どもが安心・安全にInstagramを利用するために保護者が知っておくべき機能をわかりやすく紹介している。

2021年7月には、Instagram上に作成される16歳未満(一部の国と地域では18歳未満)の全アカウントをデフォルトで非公開に設定すると発表。これにより、悪意がある可能性が高いアカウントから若年層の利用者を見つけにくくする、若年層の利用者へリーチする広告に関して、広告主が持つ選択肢を制限する効果があるという。Metaは、「最近の調査では、若年層の利用者の10名中8名がアカウント作成時にデフォルトで非公開アカウントを選択した」とも明かした。

GDPR違反として問題視された、子どものアカウントの公開設定をデフォルトで「非公開」に変更(Metaのプレスリリースより)

もっとも最新の改定は、2022年6月に実施した保護者が子どもの利用を管理しやすくするファミリーセンターの導入だ。3月に先んじて米国で展開していたものを、InstagramとすべてのMeta Questヘッドセットにおいて、順次日本でも導入するとしている。

この改定では、子どものオンライン体験を管理する上で役立つ記事や動画にアクセスできるほか、ペアレンタルコントロールツールも利用できる。同ツールを使うと、以下の管理が可能となる。

●子どもの利用時間を確認し、上限を設定

●1日、あるいは1週間のうち特定の時間を選び、子どもがInstagramを利用できないように設定

●子どもがフォローしているアカウント、および子どもをフォローしているアカウントを確認。また、子どもが新たにアカウントをフォローしたり、フォロワーが増えたときは通知を受け取る

●子どもがアカウントや投稿を報告したとき、通知を受け取る。また、どのアカウントを報告したか、どんな理由で報告したかなどの詳細を確認

保護者が子どものアカウントを管理できるように(Metaのプレスリリースより)

欧州でサービスを展開する事業者にとって、GDPRは大きな脅威となっている。これまで以上に、子どものプライバシー保護、犯罪の防止、個人情報の取り扱いに慎重に取り組まなければならないだろう。

文:小林香織
編集:岡徳之(Livit