この罰金は、一般データ保護規則(GDPR)関連のものとしては過去最大となる。メタは、欧州委員会が定めた標準契約条項(SCCs)に基づき個人データを米国に転送していたが、DPCと欧州データ保護委員会(EDPB)は、メタのデータ転送がEUの基準を満たしていないと判断した。
EDPBのアンドレア・イェリネク委員長は「フェイスブックは、ヨーロッパに数百万人のユーザーを抱えており、個人データの転送量は膨大なものになる。前例のない罰金は、その違反が重大な結果を招くものであることを企業に知らせるためのものだ」と述べた。
今回の罰金は、メタにとって今年3件目のもので、同社はすでに数億ユーロの罰金を科されていた。罰金と同時に、メタは、米国でのデータの保管を含む違法な処理を5カ月以内に停止し、業務をGDPRに沿ったものにするよう命じられている。この決定は、EUと米国間のデータ転送を不透明な状態に陥れるものだ。
バイデン大統領は、昨年秋に欧州市民のための新たなプライバシー保護の枠組みの導入を目的とした大統領令に署名したが、EUから米国へ移転された個人データは、米国国内法に基づく安全保障などを目的とした政府機関による監視の対象となる場合があり、EUの懸念に対処するための新たな「データ・プライバシー・フレームワーク(DPF)」は、まだ調整段階だ。
「米国とEUの間でデータの流れを維持し、相互に有益な関係を保つためには、バイデン大統領の大統領令をすみやかに実施することが不可欠だ」と、業界団体の「コンピュータ&コミュニケーションズ・インダストリー・アソシエーション(CCIA)」のマット・シュルアーズ会長は、述べている。
しかし、シュルアーズ会長は、欧州議会からすでに厳しい批判を浴びていることから、この新たな取り決めも失敗に終わると考えている。
「最も簡単な解決策は、米国の監視法に合理的な制限を加えることだ。監視には正当な理由と司法による承認が必要だということは、大西洋の両側で理解されている」と彼は述べている。シュルアーズ会長はさらに「アマゾンやグーグル、マイクロソフトなど、他の米国のクラウドプロバイダーも、EUの法の下で同様の決定を受ける可能性がある」と指摘した。
メタは、今回の決定を不服として、控訴すると発表した。同社のグローバル・アフェアーズ担当プレジデントのニック・クレッグらは「この決定には欠陥があり、不当で、EUと米国間でデータ転送を行う他の膨大な数の企業にとっても危険な先例となる」と述べている。
