<link href="https://fonts.googleapis.com">って書くと罰金取られます。

以下はGerman Court Rules Websites Embedding Google Fonts Violates GDPRというニュースの紹介です。

German Court Rules Websites Embedding Google Fonts Violates GDPR

ドイツのミュンヘン地方裁判所は、あるWebサイトの運営者が、ユーザの個人情報を本人の同意なしにフォントライブラリを経由してGoogleに提供したとして、100ユーロの賠償を命じました。

Webサイトが原告のIPアドレスをGoogleに無断で提供したことは、ユーザのプライバシー権の侵害に当たると判断しました。
さらに、Webサイトの運営者は収集した情報をその他のデータと突き合わせることで『IPアドレスの向こう側にいる人物』を特定することができる、とも付け加えました。

判決文には、"plaintiff's loss of control over a personal data to Google,"原告はGoogleに個人情報の制御を奪われたと書かれています。

Goole Fontsは、Googleが提供するフォント埋め込みサービスライブラリで、開発者はスタイルシートを埋め込むだけでAndroidアプリやWebサイトでフォントを使用可能になります。
2022年1月時点では1358ものフォントが存在し、5010万以上のWebサイトで利用されています。

EUの一般データ保護規則(GDPR)では、IPアドレス、広告用のID、Cookieのような個人を特定できる情報(PII)について、事業者はこれらの情報を処理する前にユーザの明確な許可を得なければならないと義務付けられています。

判決にはこのようなことも書かれています。
『被告は、Googleサーバへの接続を確立することなく、Webサイト利用者のIPアドレスをGoogleに送信することなしにGoogle Fontsを使用することも可能である』
すなわち、Webサイトはフォントをサイト側で保持することを要求しています。

裁判所は、フォントライブラリの埋め込みによるGoogleへのIPアドレス開示を停止するようWebサイトに命じ、またWebサイトの運営企業に対し、どのような個人情報を保存・使用しているかを当事者に共有するように求めました。

また数週間前にはオーストリア共和国データ保護機関(DSB)が、NetDoktorという健康情報WebサイトがGoogle Analyticsを利用して閲覧者の情報を不正にGoogleに提供することはGDPR違反に当たるとの判決を下しています。

感想

おい誰だよ海外はこんな不当な解釈しないとか言ってた奴は。

この話題、2018年には早々と議論が始まっていたのですが、Google側がろくな対応をしないまま数年間だらだら引き延ばしたせいで、ついに法的な結論が出てしまったようです。
世界中から賠償取り放題ですね。

ただまあ地裁でスットコドッコイな判決が出ることはままあることなので、今後最終的にどうなるかは継続して見ないとわかりません。

他に情報を送っているとかならまだしも、さすがにIPアドレスだけで同意取れとか言われても困りますよね。
この主張が通ってしまえば、今度は私はhoge.example.comへのIPアドレス送信に同意したのであってCloudflareへのIPアドレス送信に同意したわけじゃない！なんて主張することもできるわけですよ。
すなわち世界中のソーシャルボタンやらCDNやらSXGやらは全滅です。
たいへん困ったことになってしまいますね。

いややっぱSXGは滅んでいいや。