フランス国内の大規模倉庫を運営するEC大手の子会社であるAmazon France Logistiqueは、労働者のプライバシーを侵害したとして3,200万ユーロ(3,500万ドル)の罰金を科された。
従業員の業務成績を監視するために設置されたAmazon France Logistiqueの監視システムに関する調査を受け、フランスの情報規制当局はこれを「過度に侵襲的」であると判断した。
フランスのデータ監督機関であるCommission Nationale de l’Informatique et des Libertés(CNIL)は、2023年12月27日にアマゾンへ罰金を通知した。その後、2024年1月23日に公表された。
GDPRのデータ最小化原則の侵害
規制当局は、アマゾンの作業員が商品の保管、ピッキング、梱包のための発送など複数の作業を行う際に使用するスキャン端末に組み込まれた一部機能を具体的に問題視した。
これらの端末は、アマゾン商品の種類や状態に関するあらゆるデータに加え、従業員の活動および業務成績に関するデータも記録する。
CNILは、以下を含むこれらの機能の一部を違法と判断した。
- 非稼働の指標が「精密すぎる」ため、従業員があらゆる休憩や中断について正当化を求められ得る
- スキャナーを用いて商品を保管する際の使用速度を測定するシステムが「過度」である
- 31日間のデータ履歴ポリシーが「過度」であると判断された
CNILは、これらの慣行の一部がEU一般データ保護規則(GDPR)第5条1項で導入されたデータ最小化の原則に違反しており、また別のものは第6条に定めるデータ処理の適法性に関する遵守に違反していると述べた。
アマゾンの監視システムにおける透明性とセキュリティの欠如
さらにCNILは、アマゾンのフランス国内倉庫で運用されている監視システムの詳細について、従業員および来訪者に適切に周知されていなかったとして、同社がGDPR第12条および第13条に違反していると判断した。
最後にCNILは、監視ソフトウェアのセキュリティが、GDPR第32条で求められる基準を満たしていないことも確認した。
CNILの調査は、複数の報道および従業員からの苦情を受けて開始された。
翻訳元: https://www.infosecurity-magazine.com/news/cnil-france-amazon-32m-fine-spying/
