オーストリアのデータ保護当局(DSB)の判決によると、Microsoftは学童のデバイスに同意なしで違法にCookieをインストールしました。
オーストリアを拠点とするキャンペーン団体None of Your Business(noyb)が勝ち取った2番目の判決[PDF]において、当局はMicrosoft 365 Educationを使用する未成年者のデバイスにトラッキングCookieを設置した際、Microsoftが違法に行動したと判断しました。
Microsoftの公式文書によると、これらのCookieはユーザーの行動を分析し、ブラウザデータを収集し、広告に使用されます。DSBはまた、この米国のソフトウェア企業が4週間以内に申立人(身元は非公開)の追跡を停止すべきだと述べています。学校とオーストリア教育省の両方が、noybが苦情を申し立てるまでトラッキングCookieの存在を認識していなかったと主張しています。
Microsoftは現在、未成年者のデバイスでのトラッキングCookieの使用を停止し、遵守するために4週間の猶予があります。The RegisterはMicrosoftにコメントを求めています。
声明の中で、noybのデータ保護弁護士であるFelix Mikolaschは次のように述べています。「未成年者を追跡することは明らかにプライバシーに配慮したものではありません。Microsoftは、マーケティングやPR声明以外では、プライバシーをあまり気にしていないようです。」
2024年、noybはオーストリアのデータ保護当局にMicrosoft 365 Educationの調査を依頼し、GDPRの透明性規定に違反しているかどうかを明らかにするよう求めました。同団体は、このテクノロジー大手がシステムを使用する学校にデータ保護義務を押し付け、データ主体の自己情報アクセス権に従わなかったと述べています。Microsoftのプライバシー文書、アクセス要求、noybの調査のいずれも、Microsoft 365 Educationで子供に関するどのようなデータが処理されているかを完全に明らかにすることはできませんでした。
この苦情は、学校がMicrosoftの365 EducationやGoogleのWorkspace for Educationなどを使用してオンライン学習に急速に移行したCOVID-19パンデミックにまでさかのぼります。
昨年10月、このオーストリアのデジタルプライバシー団体は、DSBがMicrosoftが365 Educationプラットフォームを介して学生を「違法に」追跡し、アクセス要求の責任を地元の学校に転嫁しようとしたと判決を下した後、この訴訟で最初の勝利を主張しました。
当局は、このソフトウェア大手に対し、送信されたデータに関する完全な情報を提供し、「内部報告」「ビジネスモデリング」「コア機能の改善」などの用語が何を意味するのかについて明確な説明を提供するよう命じました。®
