マーク・ザッカーバーグ
GDPR

GDPR施行、“同意の強制”でさっそくFacebookとGoogleに対し初の提訴

次の記事

死亡事故を起こしたUberの自動運転車は歩行者検出から衝突まで6秒あったのに緊急ブレーキが無効にされていた

2年の移行期間を経て個人データの保護を目的とした、欧州の新しいプライバシーフレームワークGDPR(EU一般データ保護規則)が施行された。これを受け、長らくFacebookのプライバシー侵害を批判してきたMax Schrems(日本語版編集部注:Schremsは弁護士である)は、‘同意するか、利用をやめるか’をユーザーに迫るテック企業を相手どり、すかさず4つの訴状を提出した。

この訴状は、不特定の個人を代表していて、Facebook、Facebook傘下のInstagram、同じくFacebook傘下のWhatsApp、そしてGoogleのAndroidに対するものだ。

Schremsは、これらの企業がユーザーの個人情報の使用を続けるために、ユーザーに“同意を強制する”戦略をとっていると批判している。その主張は、サービスを提供するにあたり同意が厳密に求められる場合を除き、ユーザーは自由な選択を与えられる、とする法律に準拠している(この点について、Facebookは同社の主なサービスは広告ターゲッティングのための個人情報蓄積ではなく、ソーシャルネットワーキングであると主張している)。

「これは極めて明快なことだ。同意は、サービスに必要なものではない。全てに対し、ユーザーはイエスかノーの選択権を持っているべきだ」とSchremsはコメントしている。

Schremsはさらに「Facebookはこれまで、同意しないユーザーのアカウントを強制ブロックしさえしてきた。つまり、最終的にユーザーはアカウントを削除するか、同意ボタンを押すかを選ばなければならなかった。それは自由な選択とはいえず、北朝鮮の選挙プロセスを思わせるようなものだ」と付け加えた。

我々は、訴状が出された4社にコメントを求めていて、反応があればアップデートする。[アップデート]Facebookは個人情報保護管理者Erin Eganの名で次のようなコメントを出した:FacebookはGDPRを順守すべく、18カ月にわたり準備を進めてきました。ポリシーをより明確なものにし、プライバシー設定も簡単に見つけられるようにしました。また、アクセスやダウンロード、情報の削除などができる、より良いツールも導入しました。こうしたプライバシーを改善する取り組みは5月25日でもって終わり、というわけではありません。例えば、現在、我々は履歴削除の機能の追加にも取り組んでおります。この機能では、ユーザーは、サービス使用の情報を我々に送るウェブサイトやアプリを確認でき、またそうしたサービス使用情報をアカウントから削除することができます。ユーザーの閲覧データの保存機能をオフにすることもできます。

Schremsはつい最近、GDPR発効に伴い、戦略的提訴にフォーカスした非営利のデジタル人権団体を立ち上げた。今回の提訴はクラウドファンディングで設立されたこのNGOを経由してのものだ。NGOの名称はnoyb(none of your businesssの略)だ。

これまでのGDPRの解説で指摘してきたように、今回の規則では、重要なことに関しては個人情報の強制収集を認める一方で、noybのような非営利団体が個人を代表して提訴を行うことを認める法の履行を強化している。つまり、大企業と個人消費者の権利の間に横たわっている不均衡を正そうとしているのだ。

GDPR にある不均衡是正の条項は、EUの加盟各国が適用を除外することもできる。なぜ4社への提訴がオーストリア、ベルギー、フランス、ドイツのハンブルグで行われたのかの理由はまさしくここにあり、こうした国々ではプライバシーの権利を守るための強力なデータ保護当局がある。

提訴されたFacebookとFacebook傘下の会社が欧州本部をアイルランドに置いていることを考えると、アイルランドのデータ保護当局もこの提訴に巻き込まれる可能性が高い。データ保護という点において、欧州内ではアイルランドの評判は高いものではない。

しかし、共通する懸念や国境を超えたサービスの場合、GDPR では異なる管轄でもDPAs(追訴延期合意)の適用を可能にしている。つまり、noybの提訴は、この新しい体制を試す狙いもあるといえる。

GDPRの罰則体系では、大きく違反した場合、その違反した企業の収益の最大4%にあたる罰金を科すことができる。FacebookやGoogleに当てはめて考えると、違反すればそれぞれ10億ユーロ超の罰金を科せられる可能性があるということだ。

少なくとも今回の初提訴に限っていえば、EUの新規則は法の執行をソフトに展開することになる。というのも、もし新ルールを満たしていないようであれば、企業はそれに応じたものになるよう見直すことができるからだ。

しかしながら、企業が法を意図的に自己解釈して歪めようとしているとなった場合は、それを取り締まるためにすみやかに行動に移す必要があると判断することになる。

「すぐさま数十億ユーロもの罰金を科すわけではない。しかし、企業が意図的にGDPRを反故にした場合には罰金が科せられるはずだ」とSchremsは述べている。

つい先日、Facebook創業者のマーク・ザッカーバーグはパリで開かれたVivaTech会議のステージで、FacebookはGDPR順守のために抜本的な変更を実施したわけではない、Facebookユーザーの“大方”は新たな同意フローを経てターゲット広告を喜んで選択している、と主張した。

「我々は、5月25日に間に合うよう、何週間にもわたってGDPRに合致するフローを展開してきた。その中で興味深かったのは、ユーザーが使っているウェブサイトやアプリから送られてくるデータを、私たちが広告を最適化するために使うことについて、人々の多くがよしとみなしていることだ。これはなぜかというと、もしあなたが、使っているサービスの中で広告を喜んで見ようという人であれば、関連のあるいい広告をのぞむからだ」と述べている。

ソーシャルネットワーク業界において圧倒的存在であるFacebookだが、ターゲット広告を受け入れるか、却下するかという、選択の提供は行わない、とは彼は言わなかった。FacebookがGDPR施行前に明らかにした新たな同意の流れでは、ターゲット広告を受け入れたくないという人にFacebookを完全にやめるという選択肢を用意しているだけだ。それが意味するのは、この強力なネットワークは人々にさほどの選択を与えていないということだ(加えて、Facebookが引き続き非ユーザーの追跡を行うということは、指摘するに値するだろう。というのも、たとえFacebookのアカウントを削除しても、Facebookがあなたの個人データを使用することを止めるという保障は得られないからだ)。

今回の新規則でFacebookのビジネスモデルがどれくらい影響を受けるかについて、ザッカーバーグは特に大きな変化ないと主張した。「なぜなら、自分のデータがどのように使われるかというコントロール権を人々に与えるというのは、サービス開始時からのFacebookの基本原則だからだ」。

「GDPRによっていくつかの新たなコントロールが加えられ、そこには我々が応じるべきものもあった。しかし全体的には、これまで我々が過去に取り組んできたことと大きな差はない」「軽視しようとしているわけではない。この新ルール順守のためにやらなければならないことはたくさんある。ただ、全体として、このルールの真意は私たちがとってきた姿勢と大きく変わるものではない」と述べている。

「人々が望む方法でつながるツールを提供し、GDPRのような規則に込められた理想の社会を築くために、どれくらい長い間考慮したことか。よって、受け入れるべき新ルールに消極的でいようとは思っていない。しかし、同時に、この手のことをどう考えてきたかという点でこの規則が大きな出発点となる、というふうには考えていない」。

ザッカーバーグはこうしたテーマで、今週はじめにあったEU議会との会合でかなり手厳しく、そして多岐にわたる質問を受けたが、意味のある回答は避けた

ゆえに、EUの議員はさっそく気概を試すことになりそうだ。その気概というのは、例えば、Facebookという巨大テック企業がビジネスモデルにおいて法を自己解釈した場合に、法的措置をとるかどうかということになる。

プライバシー法というのは欧州では特段目新しいものではない。しかし強力な拘束力を持たせたという点において風穴をあけた。少なくとも、GDPRには罰則体系が導入された。この罰則は威力を持つと同時にインセンティブをも与える。またSchremsやnoybといった先駆的な存在もあることから企業は訴訟も意識せざるを得なくなった。

Schremsは、GDPRが是正をサポートすべきかという賛否両論はあるものの、同意を得るためにユーザーに「同意するか、利用をやめるか」と迫るような強引なやり方を大企業はとることができる一方で、スタートアップや地方の企業はできないだろうと指摘する。

「同意強制に反対する取り組みは、企業がユーザーに同意を強制できないようにすることを保証するものだ。これは、独占企業が中小企業に対し優位に立つことにはならないという点で、とりわけ重要だ」と述べている。

イメージクレジット:noyb.eu

[本文へ]

(翻訳:Mizoguchi)