DataGuidance によると、オーストリアのデータ保護局 (DSB) は、Microsoft が同意なしに Microsoft 365 Education Edition を使用している未成年の学生のデバイスにトラッキング Cookie を違法に埋め込み、これは法律違反であるとの判決を下しました。これは、オーストリアに本拠を置くデジタルプライバシー活動家団体None of Your Business(noyb)が、関連訴訟で得たもう一つの勝利である。
Microsoft の公式ドキュメントによると、関連する Cookie の目的には、ユーザーの行動の分析、ブラウザ データの収集、および広告のサポートの提供が含まれます。 DSBはMicrosoftに対し、苦情を申し立てた学生の追跡を4週間以内に中止するよう命じた。関係する学校とオーストリア教育省の両方が、noyb が告訴を提出するまでこれらの追跡 Cookie の存在を知らなかったと述べたことは注目に値します。
この判決は、2024 年に noyb によって行われた関連調査要求に基づいています。当時、同組織はオーストリアのデータ保護機関に対し、Microsoft 365 Education が一般データ保護規則 (GDPR) の透明性規定に違反していないかどうかを検証するよう依頼しました。 Microsoftは自社のシステムを利用する学校にデータ保護義務を移転し、データ主体が自身のデータにアクセスする権利を保証していないと指摘した。 Microsoft のプライバシー文書、アクセス要求、および noyb 独自の調査を通じてさえ、ソフトウェアの教育版がどのような子供のデータを処理していたのかを完全に明らかにすることはできませんでした。
実際、マイクロソフトが関連訴訟で敗訴するのはこれが初めてではない。 DSBは昨年10月、マイクロソフトが365教育プラットフォームを通じて生徒を「違法に」追跡し、地元学校へのデータアクセス要求に対する責任を回避しようとしたとの判決を下した。また、完全なデータ送信情報を提供し、「内部報告」「ビジネスモデリング」「中核機能の改善」などの用語について明確な説明を提供するよう命じた。
最新の判決を受けて、Microsoftの広報担当者は、Microsoft 365 Educationは必要なデータ保護基準をすべて満たしており、教育機関はGDPRに準拠して引き続き使用できると述べた。同社は今回の判決を検討しており、今後の対応策を決定する予定だ。
noybのデータ保護弁護士フェリックス・ミコラッシュ氏は声明の中で、未成年者の追跡は明らかにプライバシー保護原則に矛盾すると強調した。 Microsoft はプライバシー保護にあまり注意を払っていないようで、関連する対策はマーケティングと広報の目的に重点が置かれています。