配車サービス大手の Uber が、欧州のドライバーの個人情報を不適切に取り扱ったとされる問題で深刻な結果に直面しています。オランダのデータ保護機関(DPA)が同社に対し、過去最高額となる2億9000万ユーロ(3億2400万ドル)の罰金を科しました。
違反内容
DPAは、 Uber がEUの一般データ保護規則(GDPR)に対する重大な違反を犯したと主張しています。欧州のドライバーの機密データを適切な保護措置なしに米国本社に転送したとされています。このデータには以下が含まれていたとされます:
- 身分証明書
- タクシー免許
- 位置情報
この違反は2年間にわたって行われ、複数のEU加盟国のドライバーに影響を与えたとされています。
法的複雑性
この事例は、企業が国際的なデータ転送規制に対応する上で直面している継続的な課題を浮き彫りにしています:
- 2020年のEU-US プライバシー・シールド協定の無効化により、大きな不確実性が生じた
- 標準契約条項はデータ転送の根拠となり得るが、同等の保護レベルがある場合のみ
- Uber は、EUと米国の間で大きな不確実性があった期間中、法令を遵守していたと主張している
Uber の対応
Uber は、この決定に対して上訴する意向を表明し、欠陥があり完全に不当だと主張しています。同社は、問題の期間中、国境を越えたデータ転送プロセスはGDPRに準拠していたと主張しています。
 |
|---|
| Uber Technologies の CEO である Dara Khosrowshahi が、最近のデータ罰金に対する会社の控訴について考えている様子 |
より広範な影響
この事例は、EUにおけるテクノロジー企業のデータ取り扱いに対する監視強化の大きな流れの一部です:
- TikTok は最近、子供のプライバシー侵害で3億4500万ユーロの罰金を科された
- Meta はデータに関する懸念からAIモデルの発表を遅らせている
- Twitter (X)はユーザーデータ管理に関して法的措置に直面している
この事件は、ますます接続性が高まるデジタル環境において、データ転送を管理する明確で一貫性のある国際規制の必要性を浮き彫りにしています。
上訴プロセスが進行する中、この事例は、グローバルなテクノロジー企業が今後欧州のユーザーデータをどのように扱うかに関して、広範な影響を及ぼす可能性が高いでしょう。