Facebookのデート機能を当局が欧州での立ち上げ認めず

次の記事

無料ストリーミングサービスのTubiが12月の月間アクティブユーザー数を2500万人と発表

Facebook(フェイスブック)のデートサービス立ち上げが延期を余儀なくされた。EUデータ規制当局に事前に十分に情報を提供せず、法的に求められるプライバシーリスク評価の実施を示さなかったためだ。

2月12日、アイルランドの新聞Independent.ieは、アイルランドのデータ保護委員会(DPC)がダブリンにあるFacebookのオフィスにFacebookが提出しなかった書類を求めて職員を派遣した、と報じた。DPCはアイルランドのデータ保護法第130条で認められている立ち入り調査と書類差し押さえの権限を行使した。

DPCはウェブサイトで発表した声明文の中で、FacebookがEUでデート機能の提供を開始すると2月3日に連絡してきた、と述べた。

「Facebookアイルランドから今回初めてこの新機能について聞き、非常に懸念している。2月13日から展開しようというのは意図的だと考えている」と当局は書いている。「データ保護インパクト評価(DPIA)や、Facebookアイルランドの決定プロセスに関する情報や書類が2月3日の時点で何も提供されていなかったという事実に、我々はさらに懸念を募らせている」

Facebookは20185にデート分野に進出する計画を発表した。同社のデベロッパー会議F8の場で、Facebookを利用していない人をネットワークに引き込むために、Tinderの分野に侵入してデート機能を盛り込むことを明らかにした。

数カ月後、新機能はまずコロンビアで試験展開され、その後南米とアジアでサービスを展開する国を増やした。そして米国では昨秋、FTC(連邦取引委員会)から史上最大のプライバシー問題で50億ドル(約5500億円)の罰金が科された直後に始まったばかりだ。

米国での立ち上げ時、Facebookは2020年初めまでに欧州でもデート機能が使えるようになる、と語っていた。だが同社はDPCがFacebook所有のプロダクトについての複数の調査を行なっているにもかかわらず、EUプライバシー当局にデート機能について情報を共有しようと考えなかった。

極めて不注意なのか、あるいはデータ掘削活動のプライバシー監視など意図的に無視したのか、そのどちらかだろう。

DPCの声明文では、調査するために当局がダブリンにあるFacebookのオフィスを2月10日に訪れた、としている。“関係書類を素早く差し押さえるため”だ。

これは、デート機能の提供開始を告知してきた日から1週間たってもFacebookが必要情報をDPCに提出していなかったことを示している。

また声明文には「Facebookアイルランドは昨夜、この機能の展開を延期した、と我々に知らせてきた」とある。

これは、少なくとも半年前から準備してきたFacebookのプロダクト展開が行き詰まったことを示している。

DPCの広報責任者Graham Doyle(グラハム・ドイル)氏は調査の強制措置を認め、TechCrunchにこう語った。「月曜日に調査の一環として回収した全書類をレビューしている。そしてFacebookにさらなる質問をしていて、回答を待っている」

「我々が月曜日に回収した書類に含まれるものはDPIAだ」とも述べた。

なぜFacebookがDPIAを2月3日にDPCに送付しなかったのか、という疑問がわく。我々はFacebookにコメントを求めるとともに、いつDPIAを実施したのか尋ねている。

アップデート:Facebookの広報は以下の声明文を出した。

Facebook Datingを正しく立ち上げるのは非常に重要であり、我々はこの機能を欧州マーケットで展開する準備が整ったことを確認するのにもう少し時間をかける。強固なプライバシーセーフガードを構築するために注意深く取り組んでいる。またデータ保護インパクト評価(DPIA)は欧州での立ち上げ前に完了させた。このことは、リクエストされたときにアイルランドDPCにも共有した。

我々はFacebookに、もし“正しく”立ち上げることが“非常に重要”なら、なぜ必要とされた書類を当局がFacebookのオフィスに回収にくるのではなく、事前にDPCに提出しなかったのか尋ねた。返事があればアップデートする。

我々はまた、DPCに次のステップについて尋ねている。EUの基準に満たないようであれば、当局はFacebookに欧州でのプロダクト機能に変更を加えるよう命じるかもしれない。立ち上げ延期は多くのことを意味する。

GDPRでは、企業は人々のデータを扱うプロダクトに(明らかにデートプロダクトも対象となるだろう)プライバシーをデフォルトで盛り込む必要がある。

DPIAは個人の権利や自由への影響を検討するために、個人情報処理を査定するものだ。GDPRでは、個人のプロファイリングが行われたり、重要なデータを大規模に処理したりするときにDPIAが必須となる。

繰り返しになるが、欧州に何億人ものユーザーを抱えるFacebookのようなプラットフォームでのデート機能立ち上げは、明らかに事前査定が行われるべきケースだろう。

画像クレジット: Muhammed Selim Korkutata/Anadolu Agency / Getty Images (Image has been modified)

[原文へ]

(翻訳:Mizoguchi