オーストリアのデジタルプライバシー団体は、同国のデータ保護当局がソフトウェア大手マイクロソフトが365 Educationプラットフォームを通じて学生を「違法に」追跡し、彼らのデータを使用したと判断したことで、勝利を主張しました。
noybは、オーストリアデータ保護当局による発表と判決 [PDF] で、マイクロソフトがアクセス要求の責任を現地の学校に転嫁しようとしたこと、そしてソフトウェアおよびクラウド大手がユーザーデータの利用方法について説明しなければならないことが確認されたと述べました。
noybは、この判決がマイクロソフトおよびヨーロッパ全域のMicrosoft 365ユーザーに対して、同社がデータをどのように扱っているかを通知する義務に広範な影響を与える可能性があると主張しています。
この苦情はCOVID-19パンデミック時にさかのぼり、学校が急速にオンライン学習へと移行し、365 Educationなどを利用した際に発生しました。
プライバシー団体は「マイクロソフトはプライバシー法を遵守する責任をすべて学校や国の当局に転嫁しましたが、これらは学生データの利用にほとんど、あるいは全く実際の管理権限を持っていません」と述べました。
申立人がどの情報が処理されているかを確認するためにアクセス要求を提出した際、「これは大規模な責任の押し付け合いにつながりました。マイクロソフトは単に申立人を地元の学校に案内しただけでした。」
しかし、学校や教育当局は最小限の情報しか提供できませんでした。例えば学校は、マイクロソフトが保持している情報にはアクセスできませんでした。「誰もGDPRの権利に対応できると感じていませんでした。」
これが学校、国および地方の教育当局、そしてマイクロソフトに対する苦情につながりました。
機械翻訳された判決文には、「マイクロソフトは管理者として、Microsoft Education 365の利用時に処理されたデータについて完全な情報を提供しなかったことで、申立人のアクセス権(GDPR第15条)を侵害したと認定される」と記載されています。
マイクロソフトには、送信されたデータに関する完全な情報の提供や、「内部報告」「ビジネスモデリング」「コア機能の改善」などの用語の明確な説明、さらに情報が第三者に転送されたかどうかの開示が命じられました。
データ保護当局は、問題となった学校および連邦教育当局も申立人に情報を提供しなかったと判断し、10週間以内にデータ処理に関する情報を提供するよう命じました。
地方教育当局に対する苦情は却下されました。
マイクロソフトはまた、アイルランド子会社が365を管轄しているため、管轄権はアイルランドにあると主張しました。しかし当局はこの主張を退け、意思決定はマイクロソフト米国本社が行っているとnoybによれば判断しました。
マイクロソフトの広報担当者は「Microsoft 365 for Educationは全ての必要なデータ保護基準を満たしており、教育分野の機関はGDPRを遵守して引き続き利用できます。オーストリアデータ保護当局の決定を精査し、今後の対応を検討します」と述べました。
noybのデータ保護弁護士マックス・シュレムス氏は声明で「我々は『ビッグテック』プロバイダーがすべての権限を得ようとしながら、責任はすべてヨーロッパの商業顧客に転嫁しようとしているのを見ている。マイクロソフトが自社製品の仕組みを根本的に変えなければ、ヨーロッパの商業顧客は自らの義務を果たすことができないだろう」と述べました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/13/microsoft_365_education_gdpr/
