TechCrunchで「LinkedInが欧州データ保護規則（GDPR）に違反。非メンバーのアドレス1800万件をFacebookの広告ターゲティングに使用」という記事がでていました。

記事によると「このたび欧州当局とのやりとりの結果、欧州におけるLinkedInのGDPR（一般データ保護規則）の実施状況は、不気味なだけでなく明確なデータ保護規則違反だったことかわかった。LinkedInは1800万件のメールアドレスを不正利用していた。」としています。

しかし、根拠としたアイルランドの監督機関(DPC)の報告書を読むとこの報告書は「2018年1月から2018年5月24日までの活動報告」であり、GDPR が実施される2018年5月25日以前の活動の報告であることがわかります。この記事は「正確性」という点で言うと信憑性にかけるといわざるを得ません。

すこしこの処分事例について説明を加えておきましょう。

アイルランドの監督機関(DPC)の報告書を読むと、LinkedInの広告掲示について苦情があり、調査を行ったようです。その結果、U.S. のLinkedIn (処理者) がアイルランドのLinkedIn (管理者) の許可を受けずハッシュ化したe-mail アドレスを用いてFacebook上でターゲティングマーケティングを行っていた、ということのようです。

“Our investigation identified that LinkedIn Corporation (LinkedIn Corp) in the U.S., LinkedIn Ireland’s data processor, had processed hashed email addresses of approximately 18 million non-LinkedIn members and targeted these individuals on the Facebook Platform with the absence of instruction from the data controller (i.e. LinkedIn Ireland), as is required pursuant to Section 2C(3)(a) of the Acts.”

LinkedInは苦情のもととなった処理を停止するためのアクションを直ちにいくつも実施し、この件は非常に友好的に解決されたということです。

The complaint was ultimately amicably resolved, with
LinkedIn implementing a number of immediate actions
to cease the processing of user data for the purposes
that gave rise to the complaint.

このブログでは繰り返し伝えていますが、監督機関の目的は制裁金を課することではなく、また会社を罰することでもありません。個人データの処理が正しい方向に進むように指導することにあります。この件を通じて、何が違反と考えられて何が正しい対応かを伝えるための手段とすればよいでしょう。

GDPR ＝ 巨額な制裁金、という図式でしか見ていないと、本来のメッセージを見落とします。また、このような不正確な情報を確認せずに流してしまうこととなります。

情報提供は「バリュー」と「インパクト」といいます。メディアは「インパクト」の強さをもとめますが、「インパクト」が強いだけの記事には注意が必要です。

関連記事：【処分事例】LinkedIn はGDPR 違反をしたのか？