オランダAPとUberへの制裁金
2024年8月、オランダのAutoriteit Persoonsgegevens(AP)はUberに2億9,000万ユーロの制裁金を科しました。Uberは法的根拠なしにEUドライバーのデータを米国サーバーに転送していました。対象データにはタクシー免許、犯罪歴確認書、医療記録、移動履歴が含まれます。
Uberは2020年7月にSchrems IIがEU-米国プライバシーシールドを無効にした後もデータを転送し続けました。転送は2年間継続されました。標準契約条項なし。第46条のいかなる手段も用いませんでした。
この制裁金はEUのデータ転送違反として最高額です。GDPR制裁金全体でも3位にランクされます。転送の失敗は今や多大なコストをもたらします。データ侵害だけが問題ではありません。
詳細はGDPRコンプライアンスガイドをご覧ください。
APの執行優先分野
APは2023年に21,400件以上のGDPR苦情を受けました。3つの分野に重点を置いています。
優先事項1 — 従業員監視(案件の43%): 多くのオランダ企業が従業員を監視したとしてAPの制裁を受けています。隠しカメラ、大量メールチェック、通知なしのGPS追跡はすべて措置を引き起こします。オランダ労働法はGDPRに加えてさらなる規則を課しています。
優先事項2 — 国境を越えたデータ転送(案件の31%): Uber制裁金とアイルランドDPCとのCloudflare共同調査(2023年)の後、APは転送監視を強化しました。アムステルダムのテクノロジー分野は高いリスクにさらされています。クラウド企業、フィンテック、急成長スタートアップはすべて対象です。
優先事項3 — マーケティングとプロファイリング(案件の26%): クッキー同意、広告ターゲティング、ダイレクトマーケティングが対象です。APは「正当な利益」について厳格な見解を持っています。明確な証拠を伴う書面によるテストを要求します。
Uber後の転送規則
転送影響評価(TIA): EDPBは第三国へのすべての転送に対してTIAを要求します。TIAは、転送先がEU法と同等の保護を提供していることを示す必要があります。APはTIAが4つの質問に答えなければならないと述べています。
- 転送先国の政府アクセス法は何か?
- 情報機関はどこまで関与できるか?
- データ輸入者への政府要請の実績はどうか?
- データ主体が利用できる法的救済手段は何か?
標準契約条項 — 単独では不十分: TIAが政府アクセスリスクを示す場合、SCCだけでは第46条を満たしません。追加の保護措置が必要です。
APが認める追加の技術的措置:
- 輸入者が復号鍵にアクセスできない暗号化
- 輸入者がデータを個人に結びつけられないよう、転送前に直接識別子を削除する
- 輸入者が必要としないフィールドを削除するデータ削減
オフラインのDesktopアプリはすべての処理をお使いのデバイス上で実行します。外部にデータを送信しません。これによりその処理における転送の問題が解消されます。セキュリティとコンプライアンスの概要をご覧ください。
従業員データとオランダ労働法
APの従業員監視への43%の注力は、GDPRとオランダ労働法がどのように重なるかを示しています。
オランダを拠点とする組織には3つの規則が適用されます。
労働協議会の承認: 労働協議会(Ondernemingsraad)を持つ企業は、監視ツールを導入する前にその承認を得る必要があります。AIツール、メールチェック、出退勤システムが対象です。
目的適合性: 監視は明示された目的に合致していなければなりません。隠れた監視は許可されません。公開の監視は最も侵害の少ない手段でなければなりません。
目的制限: ある目的のために収集されたHRデータを別の目的に使用することはできません。新たな法的根拠が必要です。
これらの規則には3つの記録が必要です:協議会の承認、目的確認、およびコントロール。コンプライアンスチェックリストですべてを確認できます。
オランダのPII検出
オランダのPIIツールはローカルIDフォーマットを処理する必要があります。グローバルな標準ツールはしばしばこれらを見逃します。
- BSN(Burger Service Nummer): 9桁のオランダ国民識別番号 — チェックサム検証が必要
- IBAN(NLプレフィックス): 独自の検証ロジックを持つオランダのIBAN
- 郵便番号(postcode): フォーマットは4桁 + スペース + 2文字
- DigiD: 政府のデジタルIDコード
- 医療番号: 患者記録用のBGZおよびEPフォーマット
汎用ツールはIBANを検出してもBSNチェックサムや郵便番号フォーマットを見逃す可能性があります。国民識別データを処理する前にBSN検出をテストしてください。カバレッジを前提としないでください。
オランダ組織のための手順
1. 転送監査: 第三国へのすべてのデータフローをリスト化する。既存のSCCを確認する。主要フローのTIAを実施する。TIAがリスクを示す箇所で追加の技術的措置を記録する。
2. 従業員監視の見直し: AIを含むすべての監視ツールをリスト化する。労働協議会の承認記録を確認する。目的確認が書面で存在することを確認する。
3. PIIカバレッジの確認: PIIツールでBSN、郵便番号、IBANの検出をテストする。オランダ語文書での精度をテストする。
4. テックセクターの露出: スタートアップは転送リスクを削減する選択肢を記録すべきです — EUリージョンのクラウドとローカル処理オプション。EU-US構成のプロバイダーは転送ツールとTIAアプローチを文書化すべきです。
anonym.legalはゼロ知識設計のEUベースHetznerデータセンターを使用しています。サーバーは平文コンテンツを決して参照しません。完全なサーバー侵害でもAES-256-GCM暗号文のみが露出します。ローカル処理のみが必要な場合は、外部接続なしでデバイス上で完全に動作するDesktopアプリをご利用ください。
出典
- オランダAP:Autoriteit Persoonsgegevens公式サイト — VERIFIED-EXTERNAL
- オランダAP:Uber執行決定(2024年8月) — VERIFIED-EXTERNAL
- EDPB:補足措置に関する勧告01/2020 — VERIFIED-EXTERNAL