2025年9月4日Ravie LakshmananGDPR / データプライバシー
フランスのデータ保護当局は、Googleと中国の大手EC企業Sheinに対し、それぞれクッキー規則違反で3億7900万ドル(3億2500万ユーロ)および1億7500万ドル(1億5000万ユーロ)の罰金を科しました。
両社は、ユーザーの同意を得ずに広告用クッキーをユーザーのブラウザに設定していたと、フランス情報処理・自由国家委員会(CNIL)は述べています。Sheinはその後、規制に準拠するためにシステムを更新しました。ロイターは、小売業者がこの決定に対して控訴する予定であると報じています。
「Googleアカウントを作成する際、ユーザーはパーソナライズ広告の表示に関連するクッキーを選択するよう促され、一般的な広告の表示に関連するクッキーよりも優先されていました。また、広告目的でのクッキーの設置がGoogleのサービスを利用するための条件であることが、ユーザーに明確に通知されていませんでした」とCNILは指摘しています。
このようにして取得された同意は有効ではなく、フランスのデータ保護法(第82条)違反にあたると付け加えています。なお、この動作は2023年10月までデフォルトでしたが、同社がクッキーを拒否するオプションを追加した後も「十分な説明を伴う同意の欠如は依然として続いていた」と述べています。
Googleはまた、Gmailの「プロモーション」や「ソーシャル」タブ内で他のメールの間に広告メールを挿入したことについても指摘されており、このような広告の表示にはフランス郵便・電子通信コード(CPCE)に従い、ユーザーの明示的な同意が必要であるとされています。
フランスの通信事業者Orangeも、2024年12月にユーザーの同意なしに実際のメールメッセージの間に広告を表示したとして、5000万ユーロの罰金を科されています。Googleは6か月以内にシステムを規制に準拠させるよう命じられており、従わない場合は1日あたり10万ユーロの罰金が科される可能性があります。
この動きは、米国の陪審がGoogleがWeb & Appアクティビティ追跡をオプトアウトした後もユーザーデータを収集し続け、ユーザーのプライバシーを侵害したと認定したことを受けてのものです。この決定により、4億2500万ドルの損害賠償が認められ、2020年7月に同社を相手取って起こされた集団訴訟の集大成となりました。
関連するプライバシー関連の発表として、米連邦取引委員会(FTC)は、ディズニーが保護者への通知や同意なしにYouTube動画を視聴する子どもから個人情報を収集し、米国児童オンラインプライバシー保護法(COPPA)に違反したとの疑いで、1000万ドルの支払いに同意したと発表しました。
同庁によると、ディズニーはYouTubeにアップロードした一部の動画を「子ども向け」と正しくラベル付けしなかったため、13歳未満の子どもがそのコンテンツを視聴した際にデータを収集し、ターゲット広告の配信に利用していたとしています。
この1000万ドルの罰金に加え、和解案ではディズニーに対し、13歳未満の子どもから個人情報を収集する前に保護者に通知し、COPPAに従って同意を得ることが求められています。また、YouTubeにアップロードする動画が子ども向けであるかどうかを適切に指定するプログラムの開始も義務付けられています。
別件として、FTCは中国拠点のロボット玩具メーカーApitor Technologyに対しても、第三者であるJPushが保護者の同意や子どもの知識なしに子どもの位置情報データを収集できるようにしたとして、COPPA違反で措置を講じています。
「Apitorは、JPushというサードパーティのソフトウェア開発キットを自社の[Android]アプリに統合しており、JPushの開発者が位置情報データを収集し、広告を含むあらゆる目的で利用できるようにしていました」とFTCは述べています。「AndroidユーザーがApitorアプリをダウンロードすると、アプリはユーザーの正確な位置情報データをJPushのサーバーと共有し始めますが、子どもユーザーやその保護者はこれを知りませんでした。」
翻訳元: https://thehackernews.com/2025/09/google-fined-379-million-by-french.html