オランダのAutoriteit Persoonsgegevens(AP)は、2024年8月にUberへ2億9000万ユーロの制裁金を科した。有効な転送契約なしにドライバーのデータをアメリカのサーバーに送信したことが理由だ。越境移転に関するGDPRの制裁金として、これを上回るケースはない。APは2023年に21,400件以上の苦情を処理した。その規模は、APをヨーロッパで最も活発なデータ保護当局の一つにしている。
APがUber事件で判断したこと
Uberはオランダとフランスのドライバーからデータを収集した。データには位置情報の履歴、身分証明書、給与記録、運転記録、税務ファイルが含まれる。これらはすべてアメリカのサーバーに転送された。APは転送方法を無効と判断した。
決定を支えた3つの認定事項がある。
- 不十分な転送メカニズム: UberはBinding Corporate Rules(BCR)を使用していた。APは、これが転送されたドライバーデータの量や機密性を網羅していないと判断した。
- 転送影響評価(TIA)の欠如: Uberは、アメリカの法律が合意した転送保護をそのまま維持していることを証明しなかった。
- 組み合わせによる機密データ: 位置データ、報酬、パフォーマンス評価を合わせると、各ドライバーの詳細なプロファイルが形成される。APはこの組み合わせを機密性の高い個人データに相当すると判断した。
Uber事件は明確なルールを確立した。アメリカに送信されるスタッフや請負業者のデータには、消費者データと同じTIAと追加措置が必要だ。
APの2025年執行優先分野
2026年向けに更新済み
APは2025年に重点的に監視する3つの分野を示した。
従業員監視: リモートワーク追跡ツールが主な対象だ。生産性ログ、画面キャプチャ、キーストロークトラッキング、リモート位置情報ツールがこれに含まれる。こうしたツールを導入する前に、企業はなぜ侵害性の低い選択肢を除外したかを記録しなければならない。
越境データ転送: Uber判決を受けて、APは転送メカニズムを確認している。アメリカ、アジア、または十分性認定のない国のサービスに依存する企業が対象だ。人事、プロジェクト管理、または顧客データにアメリカのソフトウェアツールを使用する企業は、最新のTIAを用意しておかなければならない。
自動化された意思決定: アルゴリズムによる信用スコアリング、AIによる採用フィルター、パフォーマンス評価システムは第22条上の義務を生じさせる。APは、実際の人間によるレビューステップなしに自動化された意思決定を行う組織を対象とする。従業員と消費者の両方をカバーする必要がある。
BSN:法的に保護された国家識別子
Burgerservicenummer(BSN)は9桁の市民サービス番号だ。Elfproef(11の証明)アルゴリズムで検証する。検証方法は次の通り:各桁に9から−1まで減少する重みを掛け、結果を合計する。合計が11で割り切れなければならない。
BSN法(Wet algemene bepalingen burgerservicenummer)はBSNの使用を特定の法的文脈に限定している。税務、医療、行政サービス、雇用主の給与計算がこれに当たる。これらの文脈外でBSNを使用すると、BSN法に基づく執行措置が発動される。GDPRに基づく責任も加わる。
汎用ツールがBSNを見落とす理由: 多くのNLPツールはElfproef検証を含まない。それがないと、9桁の文字列はすべて潜在的なBSNとしてフラグが立つ。これにより、財務や管理文書で誤警報が大量に発生する。入力ミスのあるBSNも見逃される。検証には失敗するが、パターンには一致するためだ。ヨーロッパの識別子フォーマットの比較については、EU国内税務IDとPII検出ガイドを参照。
オランダ語テキストのNER
オランダ語(Nederlands)には、英語でトレーニングされたモデルを混乱させる特徴がある。
複合語: オランダ語は単語を結合する。Persoonsgegevens(個人データ)とBurgerservicenummer(市民ID番号)はそれぞれ1語だ。英語向けのモデルはこれらを誤った箇所で分割することが多い。それによりエンティティ認識が崩れる。
名前の語尾: -jeと*-tje*の接尾辞は名前に現れる(例:Annetje、Hansje)。名前認識モデルは基本形と短縮形の両方を処理できなければならない。
住所フォーマット: 通りの種類はStraat、Laan、Weg、Plein、Grachtがある。郵便番号は4桁の数字と2文字のアルファベットで構成される(例:1234 AB)。各コードは1本の通りに対応しており、ほとんどのヨーロッパの郵便番号より特定性が高い。
IBANフォーマット: オランダのIBANは18文字:NL+2桁のチェックデジット+4文字の銀行コード+10桁の口座番号。同国は非接触支払いの普及率が高い。財務文書には多くのIBANが含まれる結果となる。識別子の種類をまたいだ信頼スコアリング手法については、バイナリPII検出と信頼スコアリングを参照。
APコンプライアンスのための技術チェックリスト
APの現在の基準を満たすために、データシステムには次のものが必要だ。
- Elfproef検証を伴うBSN検出 — パターンマッチングだけでは不十分
- オランダ語NER — spaCy
nl_core_newsなどのモデルが複合語と短縮形を処理 - IBAN検出 — フォーマット対応、汎用スキャンは不可
- すべての越境転送に関するサブプロセッサ記録
- アメリカベンダーへのTIA — Uber事件後のAPの積極的な監査優先事項
Uber後、アメリカのベンダーへのTIAはベストプラクティスではなく、基本要件だ。判決と転送への影響の詳細は、AP Uber制裁金と越境転送執行を参照。