昨日、FTC が Elon Musk の Twitter に不吉な警告を発したのと並行して、「CEO や企業は法を超越しているわけではない」という警告を発したのと並行して、このマイクロブログ プラットフォームの EU における主任規制当局は、セキュリティとプライバシーを担当する上級スタッフの発言を受けて、その訴訟を起こしています。コンプライアンスはドアから出て行きます。
アイルランドのデータ保護委員会 (DPC) の副委員長であり、現在 EU の一般データ保護規則 (GDPR) に基づいて Twitter の監視を主導している Graham Doyle 氏は、TechCrunch に対し、昨日のメディア報道を受けて同社と連絡を取り合っていると語った。 DPO)は辞任した。
Doyle 氏によると、DPC と Twitter の会議は来週初めに行われる予定です。 彼はまた、メディアの報道の前に、Twitter が規制当局に DPO の辞任を通知していなかったことを確認しました。
Doyle 氏によると、DPO の状況を明確にすることが会議の議題のトップになります。
しかし、彼は、規制当局が望んでいる別の懸念があると述べた Twitter と話し合う — GDPR の目的上、Twitter の主要な施設がまだアイルランドにあるかどうかについて…
次の目的地: ワンストップショップはやめましたか?
「私たちが議論したい問題の1つは、主な設立に関する問題です」とDoyleはTechCrunchに語った。 「彼らはデータ保護責任者を配置し、詳細を提供する義務がありますが、同様に、 [GDPR] ワンストップ ショップ (OSS) メカニズムを使用して主要機関を 1 つの規制当局と連携させるには、意思決定プロセス (EU データの処理に関して) をその国で行う必要があります。 それが本館設立の原則の一つです。 そして、私たちが確立したいのは、それがTwitterの場合であり続けているということです。」
アイルランドが OSS の下で GDPR の Twitter の主要な規制当局であることは重要です。なぜなら、問い合わせを開始する (またはしない) 場合、または Twitter のコンプライアンスに関する懸念に対処する場合 (国連のフォローアップなど) に関して、アイルランドの監視機関が主導権を握るからです。 -現在、DPO の辞任を通知済み)。 Twitter の観点から見ると、複数のデータ保護機関からのインバウンドを (おそらく異なる言語で) 処理するのではなく、問題について 1 つの (主要な) 規制当局と連絡をとるだけでよいため、コンプライアンスが合理化されるため、この取り決めは有利です。
アイルランドが Twitter の主任監督者の役割を担っているのは、同社がダブリン オフィスを EU の「主要施設」として通知できたためです。処理活動は連合で行われます。」
ただし、Twitter がアイルランドにこの処理基盤を持たなくなったと見なされた場合、直ちに規制の再構成が行われ、EU の 27 の加盟国のいずれかから、ブロック全体のデータ保護当局が問い合わせを促したり、地元の苦情に対処したりすることができます。規制の複雑さ、速度、および Twitter の欧州事業のリスクを高めます。
Musk は先週、全世界で Twitter の人員の 50% を削減し、アイルランドのオフィスで「大虐殺」が報告された。 アイリッシュ・タイムズ ローカル スタッフの 50% 以上が影響を受けたと報告されています。ダブリンでは、GDPR の主な施設ステータスの安定性について疑問が生じています。
「私たちはTwitterと連絡を取りました..そして、私たちが彼らと話し合いたい問題の1つは、主な設立の問題です.何か変更はありますか? DPOを含む退社の発表により、彼らが主要な施設を利用できるようにするための意思決定プロセスを変更する計画はありますか」とドイルは繰り返した.
昨日の午後、Twitter のセキュリティおよびプライバシー機能の上級段階ですべてがうまくいっていないという報告が Twitter に流出しました。
プラットフォーマーのジャーナリストである Casey Newton と Zoë Schiffer は、Twitter の CISO、最高プライバシー責任者、および最高コンプライアンス責任者が全員辞任したと報告しました。
その後すぐに、ワシントン・ポストの猫ザクシェフスキー つぶやいた アイルランドのDPCがTwitterから「より多くの情報を求めている」と述べた.
Twitter CISOのLea Kissnerは、後にツイートで彼女の退職を確認しました—同様に ダミアン・キーラン、Twitterの現在の元最高プライバシー責任者。 Twitterの(元報道によると)最高コンプライアンス責任者であるMarianne Fogarty氏は、 つぶやいた 昨日遅すぎた間接的な確認かもしれませんが、次のように書いています。 #LoveTwitter」。
Musk が就任して以来、Twitter のプレスラインへの問い合わせには回答がないため、何が起こっているのかについて公式ラインを取得することはできません.
同社のコミュニケーション部門は、Musk が買収時に迅速に適用した 50% の人員削減の大きな犠牲者となったようです。報道スタッフは完全に、またはほぼ完全に解雇されました。
また、先週アイルランドで解雇された Twitter のスタッフの数も明らかではありません。 会社には、総レイオフ数を DPC に報告する義務はありません。 また、GDPR自体には規定されていないため、規制当局が主要な施設を評価するために使用すべき基準は明確ではなく、規制当局の判断に委ねられています. (主たる施設の決定について、規則は次のように述べています。さらに、「基準は、個人データの処理がその場所で実行されるかどうかに依存するべきではなく」、「個人データまたは処理活動を処理するための技術的手段および技術の存在および使用」が決定的なものであるべきではないことも規定しています。基準ですので、何についてより決定的です ではない 規制当局がこれについて行う評価にある程度の余裕を与えるため、実際よりも主要な施設を宣言する必要があります。)
主な施設の評価について尋ねられた Doyle 氏は、EU データを処理するための意思決定機関がその国にあるかどうかによって状況が異なると述べましたが、必ずしも DPO 自体が現地に拠点を置く必要があるとは限りません。 (現在は Twitter の元 DPO である Kieran は、彼によると、サンフランシスコに拠点を置いていたようです。 リンクトイン プロフィール。)
「私たちにとって重要なことは、通知を受け、DPO が誰であるかを把握し、連絡先の詳細を知っていることです。 [the DPO is] 私たちが彼または彼女に連絡する必要があるときはいつでも連絡可能です。 法律により、地理的に特定の場所にいる必要はありません」と彼は私たちに語った. 「私たちは彼らが誰であるかを知り、すべての詳細を把握する必要があります。 しかし重要なのは、主要な施設を利用するための意思決定の部分は、あなたが主要な施設である国で行われなければならないということです。」
「もしそれが変わらなければ、意思決定がここアイルランドで行われていないのであれば、すべての監督当局はそれらを規制する権限を持っています」とドイル氏は付け加えた。
Musk がここで Twitter にとって何が危機に瀕しているのかを理解できるかどうかは議論の余地がある. 非常に多くの Twitter の主要なコンプライアンス スタッフが外出し、億万長者を取り囲み、彼のトローリングを応援しているテクブロとイエスマンの内輪で、非常に疑わしいように見えます。
Musk はまた、規制当局を荒らしてきた歴史があるため、Twitter の法遵守への影響を無視することについて、彼が非常にリラックスしていることは想像に難くありません。 その後、ルビコンを横断し、マスクは「くすくす笑っている」から「発見する」までずっとくすくす笑い続け、EU におけるデータ保護の規制のグラウンド ゼロに到達しました。 自国のTwitterユーザーの情報にリスクがあると判断したブロック全体のDPAは、彼の会社を直接追跡する権限を与えられます. したがって、基本的には、規制自由対慎重に育成された主任監督者です。
(これがもたらす違いの例については、 フランスの CNIL は 2019 年に早期に GDPR の罰金を科されました — Google がアイルランドの主要な施設を主張し、アイルランド経由で国境を越えた懸念を再ルーティングする前に、規制監視の速度が OSS のボトルネックに押し込まれたため、GDPR の施行を中断しました。 ; CNIL 以来、Google に対する GDPR の主要な罰金はまだありません。)
DPO または GTFO
DPO の問題に関しては、Twitter の問題は小さくなりますが、それでも「氷山の一角」タイプの問題である可能性があります。
少なくともその地域のユーザーがサービスを利用できる間は、Kieran の後任を任命する必要があることは間違いありません。 GDPR の下では、特定の種類のデータを処理する (および/または Twitter のように十分な規模で個人データを処理する) エンティティは、データ保護オフィサー (DPO) を任命する義務があります。仕事をする — したがって、辞任による彼の辞職 (複数の上級コンプライアンス同僚と共に) は問題を示しています。
DPO の役割は、規制当局 (DPC など) の連絡先として機能すること、およびデータ保護影響評価 (DPIA) をコンパイルするためのガイダンスを提供するなど、データ保護義務の内部コンプライアンスの監視を助言および支援することです。 その役割には、専門知識と独立性が必要です。 (つまり、いいえ、マスクは、自分自身または彼のばかの手先の1人を「チーフDPO」に任命して、この問題がなくなることを期待することはできません。)
もちろん、コンプライアンスも継続的な要件です。したがって、この問題は終わりのない旅であり、目的地ではありません。 最低限、Twitter は規制当局と連絡を取り、主要な変更点を通知する必要がありますが、マスクの下では、それすら行っていません。
Musk の下での製品開発も、コンプライアンスの悪夢のように見えます。 彼の混沌としたバージョンの Twitter Blue は、明らかになりすましの問題を引き起こす可能性がありました。 また、何億人ものユーザーに情報リスクをもたらす可能性のある製品を軽率に急いで出すことは、欧州のデータ保護規制の精神と意図に真っ向から反することになります。
Musk の刷新された Twitter Blue サブスクリプション製品の立ち上げが急速に進んでいることを考えると、たとえば、立ち上げ前にリスクを評価するために DPIA が適切に実施されていた可能性があることを理解するのは困難です。単に仕事を遂行できないと感じた場合。
このような状況で、適切な資格を持つ人物がそのような役割を引き受けることに故意に同意するかどうかは、別の大きな問題です。 Twitter の DPO として十分な資格を持っている人なら誰でも、少なくとも現在のチーフ Twit の下では、その仕事をすることは不可能だとすぐに結論付けるかもしれません。
そして、前述のように、仮にマスク氏がジョークの約束をして規制当局を荒らそうとすれば、それはより精査を招き、Twitter と監視機関との関係をさらに悪化させ、規制リスクを増幅させることになります。 (DPC だけでなく、FTC と欧州委員会にも、マスク氏が Twitter で何をしているかを監視する差し迫った理由があります。)
GDPR に準拠していない場合の罰則は、最も悪質な違反の場合、世界の年間売上高の 4% まで拡大する可能性があります (したがって、理論上の最大値では実質的ではありません)。 ただし、DPO を適切に任命しなかった場合 (または離職を通知した場合) の罰金は、通常、その見出しのカテゴリには分類されません。
たとえば、食品配達アプリの Glovo は、2020 年にスペインの DPA から DPO を任命しなかったとして 2 万 5,000 ユーロの罰金を科されました。ベルギーの DPA は、同年、コンプライアンス、監査、およびリスクの責任者を任命したとして、非公開の事業体に 5 万ユーロの罰金を科しました。 DPO として — 利益相反が生じていることが判明した後。
一方、Twitter のこれまでの唯一の GDPR 罰金は、2020 年 12 月に発行された 55 万ドルの罰金で、データ侵害を迅速に宣言し、適切に文書化することを怠ったためです。 とても小さいビールです。
しかし、マスクの下での Twitter は明らかに非常に異なる動物です。 そして、このように劇的に変化する状況において、規制当局がどのように対応するかについては、すべての賭けが外れています。