2019年1月21日、フランスの個人データ保護当局であるCNILは、Google LLC(グーグル)に対し、以下の2つの種類の侵害を理由に、5000万ユーロの罰金を科した。 (i) グーグルのアンドロイドユーザーに対する情報提供システムに関する、一般データ保護規則(GDPR)第12条及び第13条により求められる透明性及び情報の義務についての違反、並びに (ii) 広告パーソナライゼーションサービスに関する、GDPR 第6条により求められる法的根拠を持つ義務についての違反。
科された罰金の大きさは非常に注目を集めているが、私たちの見解では、この決定における他の4つの論点は、ヨーロッパで事業を行う日本企業にとってより重要な意味をもつと思われる。それゆえ、私たちは、罰金の論点に先立ち、まずこれらの4つの論点について以下で述べることとする。
1. 手続
本件においては、4つの手続上の特殊性がある。
第一に、GDPR第80条に従って、2つの非営利団体である、マックス・シュレムスのNone of Your Business及びフランスの活動家グループLa Quadrture du Netによる異議申し立ての後、調査が開始された。これは、著名な非営利団体が、基本的ではあるが十分に議論されている異議申立てを行った場合に、データ保護当局が調査を開始するのに十分であるという可能性を示している。また、本件の集団的な異議申立ての成功は、データ主体がGDPR第80条に基づいて規定されている集団的な異議申立て及び/又は救済メカニズムを活用することを奨励する可能性がある。
第二に、調査はオンラインのみで行われ、現場での検査は行われなかった。データ保護当局は、現在、たとえ事業所が地理的に管轄外にある場合であっても、デジタルビジネスを容易に調査できる可能性がある。それゆえ、グローバルデジタルビジネスにとって、データ保護当局による調査のリスクが高まっているといえる。
第三に、CNILの調査は、プライバシーポリシーと利用規約に焦点を当てていた。しかし、それはまた、アンドロイドやグーグルアカウント、デジタルツールの利用の評価についても拡大していた。ひとたび調査が開始されると、その範囲は調査の主題に間接的に関連する分野にも拡大することができる。
最後に、CNILは、罰金の決定及び報告者の意見についての英訳を欠いていること、並びに回答を提供するための時間制限が不十分であることによって、欧州人権条約6(3)に基づいて保証されている公正な裁判の権利が侵害されたとのグーグルの主張を棄却した。もしCNILが、その侵害決定において非フランス法人を名宛人として意図している場合、本件がそうであるが(決定の名宛人はGoogle LLCである)、CNILが全ての文書をフランス語で提供していることを考慮すれば、回答提供の時間制限についてより寛大であるべきである。
2. 主たる拠点
グーグルは、その「主たる拠点」がGoogle Ireland Limited にあり、したがって主任監督当局はアイルランドのデータ保護当局であること、及びCNILは管轄権を欠いていることを主張した。GDPRによって導入されたワンストップショップのメカニズムの下では、主たる拠点の監督当局が、国境を越えたデータ処理のための主任監督当局として活動することができる。このメカニズムは、国境を越えたデータ処理活動を実施する事業体の管理上の負担を軽減するとともに、複数のデータ保護当局による整合しない判断を回避することを目的として設けられた。
CNILは、グーグルの主張を拒絶し、EUにグーグルの主たる拠点がない場合であっても、CNILは本件の問題を取り扱うことができると判断した。GDPR第4条(16)の下での「主たる拠点」の定義に依拠して、CNILは、アンドロイドを使用した携帯電話の環境設定内のグーグルアカウント作成の文脈において実施されるデータ処理の目的及び手段に関して、Google Ireland Limitedは意思決定権限を有していないと判示した。Google Ireland Limitedの役割は、ヨーロッパの顧客との契約締結にほぼ限定されていた。
EU加盟国のデータ保護当局が、「主たる拠点」の概念について判断をしたのは、これが初めてである。そのため、これは孤立したケースであり、他のEUデータ保護当局はCNILのアプローチに必ずしも従わないであろうと主張しようとする人がいるかもしれない。しかし、CNILの結論に関してコンセンサスがあると思われる事実を考慮すると、他のEUデータ保護当局もそうする可能性が高い。事実、CNILが他のEUデータ保護当局に、GDPRの下での協力メカニズムを開始するために、主たる拠点の論点に関するその立場を知らせた際に、彼らは誰も反対しなかった。
CNILのアプローチによれば、デジタルツール又はITシステムに関する問題において、EUの主体が主たる拠点としての適格を認められるためには、そのデジタルツール又はITシステムの選択と運用において積極的な役割を担う必要がある。しかし、日本企業は、しばしばITシステムを日本の本社に集中させている。その結果として、ITシステムが調査中であるとき、彼らがEU子会社の一つがEUの主たる拠点であると主張することは困難になる。
EUに主たる拠点がないと、協力メカニズムが適切に機能しないとき、多国籍企業が異なるデータ保護当局による複数の罰金の対象になる危険性がある。GDPRの発効前の事例であるが、ウーバーのケースはこのリスクを良く示す例である。米国の親会社(ヨーロッパの子会社ではない)は、同一のデータ侵害事件について、英国当局から43万5000ユーロ、オランダ当局から 60万ユーロ、フランス当局から40万ユーロ、それぞれ罰金を科された。合計の罰金は、143万5000ユーロに及んだ。
3. 透明性ポリシー
ここ数か月に出された制裁の大半がセキュリティーの違反に関わるものであった事実が示すように、データセキュリティーの問題は、データ処理に関連する主なリスクとして注目を集めている。そのような状況において、CNILの決定は、他のデータ保護原則が、データセキュリティーと同様に不可欠であり、その違反が重大な結果を伴うということを思い起こしてくれる。
特に、CNILは、複雑な複数の処理操作が含まれる場合であっても、透明性はいかなるデータ管理者によっても無視されてはならないということを明らかにした。グーグルのケースにおいて、CNILは、グーグルがGDPR第12条及び第13条に基づいて求められる透明性のレベルを達成していなかったと判断した。GDPR第12条によれば、データ管理者がプライバシー通知を提供したり、データ主体に伝達をする際には、「簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式」でしなければならない。
しかし、CNILにとって、GDPR第13条に基づく義務を果たすためにグーグルからデータ主体に対して提供されたプライバシー通知は、補足情報のためのボタンとリンクを含むいくつかの文書に過度に散らばっていた。ユーザーは、関連する情報を識別するために、大量の情報を注意深く確認する必要があった。この複雑な構造のため、特定の情報には容易にアクセスができなかった。
また、CNILは、グーグルが理解しやすく、明確な方法で情報を提供していなかったとも判断した。グーグルは、位置情報や視聴したコンテンツなど、様々なソースからの様々な種類のデータを組み合わせることで、ユーザーに関する深い知識を得ることができる。このような組み合わせは、非常に煩わしい性質を表し、それは提供される情報のより高いレベルの「理解しやすい」、「明確な」性質が必要となる。しかし、グーグルからユーザーに提供された情報では、ユーザーに関するデータ処理の結果を十分に理解することができなかった。特に、目的の説明では、ユーザーが処理の程度及び私生活への潜在的な侵入の程度を測定することができなかった。さらに、収集されたデータの説明は、特に不正確で不完全なものであった。したがって、CNILは、グーグルが提供した情報は、理解しやすさ及び明確さの特徴を欠いていると結論づけた。
4. 同意
グーグルは、GDPR第6条に沿って、パーソナライズド広告の目的で個人データを処理することについてのユーザーの「同意」に頼った。この点に関して、GDPR第4条(11)によると、「同意」とは、「自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するもの」を意味するとされる。
しかし、透明性の欠如(過度に散らばった情報)の理由と同じ理由で、CNILは、ユーザーが十分に情報提供されていないと判断した。また、CNILは、デフォルトでアカウント設定が事前にチェックされており、広告のパーソナライゼーションについて同意するためのユーザーの積極的な行為が基本的に存在しないため、同意は明瞭でないと判断した。さらに、CNILは、ユーザーは全体として様々な目的のために全てのデータ処理操作を受け入れる義務を負うため、同意は特定されていないと判断した。したがって、CNILは、グーグルがデータ処理した根拠となる同意は無効であると結論づけた。
5. 罰金
グーグルの決定により、CNILは、GDPRに関する最も知られているリスク、すなわち大きな経済的リスク、を現実のものとした。それまでは、そのリスクは理論的なものにとどまっていた。2018年5月25日にGDPRが発効された以後の罰金の額は穏当なままであった。たとえば、2018年にバーデン=ベルテンベルク州当局及びポルトガル当局によって科されたGDPR違反に対する罰金は、2万ユーロ及び40万ユーロであった。
CNILのグーグル決定はしきい値を踏み越えた。罰金額は重大であり、以前の罰金と比較して著しく増加した。2017年7月、CNILが、家電製品の大手小売店であるダーティーに10万ユーロの罰金を科した。GDPRが発効されてから2週間後の2018年6月、CNILはオプティカル・センターに25万ユーロの罰金を科した。
そのような規模の変化を正当化するために、CNILは、主にその違反の程度に基づいて議論を行っている。CNILは、ユーザーの7%、すなわち新しいデバイスを設定している間に新しくアカウントを作成したユーザーのみが違反に関わるものであるとのグーグルの議論を否定した。CNILは、彼らが同様の状況に置かれているとして、違反はフランス市場における全てのアンドロイドユーザーに影響を与えたと考えた。
6. コメント
ほとんどの業界の企業は、契約、ユーザーアカウント、ウェブブラウジング、位置情報などの複数のソースからユーザー(又は顧客)に関するデータを収集している。このように蓄積されたデータは、これらの企業が、習慣、意見、社会的交流を含むユーザーの行動についての深い知識を持つことを可能にする。企業にとっては、このような知識は、よりターゲットを絞った広告やサービスを提供するのに役に立つ。しかし、ユーザーの視点から見ると、企業が収集した膨大な量のデータとそのデータ処理の複雑さは、彼らの私生活に侵入する高いリスクを表している。そのため、ユーザーが透明性のある方法で自分の個人データの処理を理解することを企業が可能にすることが不可欠である。
問題は、複雑でしばしば複数であるデータ処理操作に関するプライバシー通知を提供する際に、必要なレベルの透明性をどのように達成するかということである。CNILが認めているように、複雑なデータ処理に関する全ての情報を1つの文書に表示することは、逆効果となってしまう可能性がある。このような場合、階層化されたアプローチが推奨されるが、データ処理についての情報の包括的な見通しを得るために、ユーザー側での5回又は6回の操作を求めるべきではない。特に、ユーザーアカウントの基本設定は、速やかに、少なくとも2回の操作で登場するべきである。コンテンツに関しては、情報によって、ユーザーが自身の個人データがどのように使われ、その使用についてどのように範囲と方法を簡単にコントロールすることができるかを理解することができなければならない。
透明性のあるプライバシー通知がないと、「事前の説明を受けた上での」という性質を欠くため、同意も無効となる。同様に、同意は、いくつかの処理目的のために1つの行為でまとめて取得されるべきではない。ユーザーが、全ての目的や異なる目的の組み合わせに関してではなく、それぞれの目的に関して、受け入れ又は拒絶の判断ができるようにするために、それぞれの目的のために空白のボックス(事前にチェックされたものではない)がなければならない。
これらの点を念頭に置いて、企業は、ユーザーの視点を考慮して、プライバシー通知の表示に関する方法及び同意の取得の方法を検証し、必要があれば見直しをする必要があるであろう。それがなければ、そしてEUの主たる拠点がなければ、彼らは、商業的な見地からこれまで重要視していなかったかもしれない複数法域における罰金ということに直面するかもしれない。
