世界のプライバシー保護規制対応を支援するサイト

アイルランド当局、TikTokによる子供のデータ処理と中国へのデータ移転について調査開始


アイルランドのデータ保護監督機関DPCは、2021年9月14日、TikTokに対し、子供のデータ処理と中国への個人データ移転について、調査を開始したことを発表した。発表の概要は以下の通りである。なお、TikTokは、中国企業であるByteDance社が運営するモバイル向けショートムービープラットフォームである。

子供のデータ処理に関する調査について

GDPR25条では、「デザインとデフォルトによるデータ保護義務」として、データ管理者に対し、システムを設計する段階から個人データの安全性を確保する措置を組み込み、設計した手順に従って業務を行った場合に適切なデータ保護措置が機能するようにすべきことを求めている。

DPCは、本発表において、●18歳未満のユーザーのアカウント設定、●ユーザーが13歳以上であることを確認する措置(TikTokは13歳以上が利用可能)に関して、前述の「デザインとデフォルトによるデータ保護義務」が履行されているか等を調査するとしている。

また、DPCは、18歳未満のユーザーの個人データ処理に関して、TikTokが透明性の原則(GDPR5条1項a号)を遵守しているかを調査することも指摘している。この透明性の原則遵守については、TikTokが、プライバシーポリシー等を通じて、GDPR13条及び14条に従った適切な情報提供を行っているか否かを調査するものと考えられる。

中国へのデータ移転について

中国企業であるByteDance社が運営を行うTikTokについては、従前より、収集した個人データを中国に移転している可能性が指摘されてきた。DPCは、本発表において、TikTokが中国へのデータ移転を行っているか否か、また、第三国、特に中国へのデータ移転がGDPRの域外移転規制に準拠しているか否かを調査するとしている。

調査により、欧州委員会による十分性認定を取得していない中国へのデータ移転を行っていることが認められた場合、SCCの締結状況や、中国の法制度・運用状況に応じたデータ保護を確保するための補完措置の内容が調査の焦点となるものと思われる。なお、DPCにより、TikTokが補完措置を講じてもなお十分なデータ保護レベルを確保できないと認められた場合、TikTokは、中国へのデータ移転を中止しなければならないこととなる。

今後の展望等

今回発表された調査は、子供のデータ保護及び中国へのデータ移転に関するアイルランド当局の規制姿勢を示すものであるが、この姿勢はアイルランド当局に限らず、EU各国に共通するものである。EUに居住する子供のデータを取り扱う企業や委託先が中国に所在する企業等の関係事業者は、本件調査の今後の動向を注視し、自社の子供のデータ処理の取扱い手順(適切な情報提供、年齢確認措置等)やデータの域外移転対応(SCCから新SCCへの切り替え等)などを再確認することが望ましいといえるだろう。

【DPCのプレスリリース】

https://www.dataprotection.ie/en/news-media/latest-news/dpc-launches-two-inquiries-tiktok-concerning-compliance-gdpr-requirements-relating-processing

関連するブログ

関連記事