GDPRはやっぱり怖い・・・!というニュース。
2025年5月、TikTokの運営会社である中国のByteDance(バイトダンス)は、欧州連合(EU)の一般データ保護規則(GDPR)違反により、アイルランドのデータ保護委員会(DPC)から5億3,000万ユーロ(約870億円)の制裁金を科されたというニュースが報道されました。
870億円!!!すごっ。
<GDPRのおさらい>
GDPR(General Data Protection Regulation:一般データ保護規則)は、2018年に欧州連合(EU)で施行され、現在は欧州経済領域(EEA)にも適用されている、個人データの保護に関する包括的な法律です。
個人のプライバシー保護を強化し、企業に対して厳格なデータ管理責任を課すことで、デジタル時代における信頼性あるデータ利活用の枠組みを構築しています。
主な特徴は以下の通りです:
-
個人の権利強化:
自分のデータについての確認・修正・削除・移転などを求める権利(データ主体の権利)を保障。 -
企業の責任強化:
個人データを収集・処理する企業に対し、正当な目的、明確な同意、適切な保護措置を義務付け。 -
域外適用:
EEA域外の企業であっても、EEA域内の個人にサービスを提供したり、行動を追跡・分析する場合はGDPRの対象。 -
違反時の高額制裁:
重大な違反には、全世界年間売上高の最大4%または2,000万ユーロのいずれか高い方が制裁金として科される。
制裁金が非常に高額なのは有名ですが、
今回の制裁金は、GDPR施行以来、過去3番目の高額とのこと。
GDPRでは、EEA域外の第三国へ個人データを移転する際には、当局の承認を得るか、十分なデータ保護水準を確認することが求められています。
TikTokは、中国のサーバーには欧州ユーザーの個人データを保存していない!と主張していたのですが、2025年に入って一部の保存を認めました。
中国には、ご存じの通り、企業や国民に国の情報活動への協力を義務づける「国家情報法」がありますよね。
これは、中国政府がTikTok(ByteDance)に対しデータ提供を強制できる構造にあるってことで、
このことが”EUと同じ水準でデータが保護されていない”=”GDPR違反”と判断されたわけです。
また、データの使用目的などについて利用者に通知し同意を得る手続きも不十分だった点も指摘されています。
ちなみに上位2件も含めて、過去の主要なGDPR制裁金事例(上位3件)は以下の通り。
| 順位 | 企業名 | 制裁金額(ユーロ) | 日本円換算(約) | 年度 | 主な違反内容 |
|---|---|---|---|---|---|
| 1位 | Meta(旧Facebook) | 12億ユーロ | 約1,980億円 | 2023年 | 欧州から米国への個人データ移転時に十分な保護がなかった |
| 2位 | Amazon | 7億4,600万ユーロ | 約1,230億円 | 2021年 | Cookie使用に関する同意取得の不備 |
| 3位 | ByteDance(TikTok) | 5億3,000万ユーロ | 約870億円 | 2025年 | 欧州の未成年者データの中国移転とプライバシーポリシーの不備 |
※1ユーロ=約165円で換算(2025年5月時点の参考レート)
GDPRほんと恐ろしい〜〜(;°-°;)))
ヨーロッパのユーザを対象するサービスを提供する場合は、
GDPR要チェックです!!
