「私たちの個人データに手を出すな」グーグルやフェイスブックをねじ伏せる弁護士グループを直撃した
[ロンドン発]フランスのデータ保護機関(CNIL)が米検索大手グーグルについて欧州連合(EU)の一般データ保護規則(GDPR)に違反していたとして5000万ユーロ(約62億5600万円)の制裁金を課しました。
申し立てを行ったオーストリアの非営利団体「私のプライバシーに手を出すな(noyb.eu、デジタル基本権欧州センター)」のデータ保護弁護士ガエタン・ゴールドバーグ氏がこのほど筆者の取材に応じました。
――GDPRがもたらしたプラスの効果は何でしょう。個人情報保護活動家でnoyb.euを率いるオーストリアの弁護士マクシミリアン・シュレムス氏はフェイスブックに続いて、グーグルから勝利を得ました。これは何を示唆しているのでしょうか
「GDPR(注1)はインターネットユーザーの個人データに関してユーザーにより多くの 支配権をもたらしています。この規制の非常にプラスの面は、本質的な制裁金、最大で世界での年間売上高の4%という巨額の制裁金を課すことで、最終的にユーザーの諸権利を改善させる可能性があることです」
(注1)個人データの保護という基本権を保障するために定められたEU の一般データ保護規則。2018年5月25日施行。
EUとアイスランド、ノルウェー、リヒテンシュタインで構成される欧州経済領域(EEA)域内で取得した氏名やメールアドレス、クレジットカード番号などの個人データを EEA 域外に持ち出すことを原則禁止。
個人データの収集、利用に関してユーザーの明確な同意を求める。個人データをターゲティング広告(パーソナライズド広告)に利用することに異議を申し立てる権利やインターネット上の個人情報を削除してもらう権利(忘れられる権利)をユーザーに付与。
違反が認定されれば最大で2000万ユーロ(約25億円)か、世界での年間売上高の4%という巨額の制裁金が課される。
「企業にとってビジネスプランを立てる時に少額の制裁金を見込んで予算を組んでおくという選択肢はなくなりました。企業は従わざるを得ないのです」
「グーグルに対する勝利はフェイスブックのそれ(注2)とは異なります。グーグルのケースは裁判所ではなく、データ保護当局による判断です」
(注2)法学部の学生だったシュレムス氏は8年前、米シリコンバレーのサンタクララ大学で講演したFBの弁護士が欧州におけるデータ保護の厳格さを知らなすぎることに驚き、FBに自分の個人データの開示を求めた。
送られてきたCDには1200ページもの自分の個人データが記録されていた。
2013年に発覚したスノーデン事件を巡り、FBのアイルランド法人と同国のデータ保護委員長を相手に提訴、米国へのデータ移転を認める米国・EU間の合意を無効とする司法判断を勝ち取った。
「今回のグーグルに対する判断は第一に、私たちがフェイスブックやワッツアップ、インスタグラムを相手取り同じ理由でGDPR違反の申し立てを行い(注3)、現在、審理が行われている他の欧州のデータ保護当局に強いメッセージを送ることになるでしょう」
(注3)GDPRが施行された昨年5月、シュレムス氏率いるnoyb.euは「サービスを享受するか、それとも退会するか、と脅して個人データの提供を強制した」としてグーグル、FB、ワッツアップ、インスタグラムの4社を提訴。
制裁金は最大でFBが16億ドル(約1778億円)、グーグルの持ち株会社アルファベットが44億ドル(約4888億円)にのぼる恐れがある。
「この決定に対して異議申し立てが行われるのかどうかは分かりませんが、私たちはグーグルが同意のメカニズム(注4)を見直し、将来、ユーザーにもっと自由で開かれた選択肢を認めるようになることを大いに期待しています」
(注4)サービスの利用を開始する時、ポップアップしてくる小さなウィンドウの「同意」をクリックすれば、ユーザーが個人データの使用を法的に認めたことになる仕組み。
――GAFA(注5)は彼らのビジネスモデルに対してどんなダメージを覚悟しておかなければならないのでしょうか
「GDPRのもとで個人データにアクセスする法的な根拠として同意が求められています。GAFAはこの規制を順守しなければなりません。だから事前にボックスにチェックを入れておくことはできなくなったのです」
(注5)グーグル、アップル、フェイスブック、アマゾンの頭文字を取って「GAFA」と呼ばれている。世界的に個人データを寡占的に集めている勝ち組の米テクノロジー企業の総称として使われることもある。
「フランスのデータ保護機関(CNIL)はグーグルに対する決定でこの点を非常に明確にしました。ユーザーが提供されるサービスの説明や条件、またはプライバシーポリシーを読まずにただ単に『私は同意します』とクリックしたユーザーの個人データを処理するのを止めなければなりません」
「ユーザーの個人データを当たり前のように共有することによって巨額のお金を稼ぎ出すビジネスモデルはもう選択肢にはならないのです」
――データ保護に関してGAFAやネットフィリックスのどこに問題があるのでしょう
「noyb.euで私たちが調査した結果、大多数のオンラインサービスはGDPRを完全には順守していないように見えます。私たちは最近、主要なストリーミングサービス会社(注6)に対して自分の個人データに関する情報へのアクセス権に基づいて申し立てを行いました(注7)」
(注6)noyb.euは今年1月、世界大手のストリーミングサービス、アップル、アマゾン、ユーチューブ、ネットフリックスなど8社がGDPRに違反しているとしてオーストリアのデータ保護機関に申し立てた。違反が認定されれば8社で計最大約188億ユーロ(約2兆3500億円)の制裁金が課される。
(注7)シュレムス氏によると、多くのサービスは自動的にユーザーからのリクエストに答えるシステムを導入しているが、ユーザーがアクセスする権利を有するデータをすべて提供しているわけではない。
「ほとんどのケースでユーザーがアクセスできたのは生データだけ。誰がこのデータを共有しているかや、データの出所、保存期間に関するバックグラウンド情報はなかった。情報へのアクセス権を保障したGDPRの15条やEU基本権憲章8条2項に違反している」(シュレムス氏)
「ネットフィリックスの場合、私たちが代理人を務めるユーザーは膨大で詳細なドキュメントを受けとりました。視聴したすべての映画やTVシリーズの情報、いつ、どこで、どのデバイスで視聴したのかのデータだけではなく、5年前のIPアドレス(注8)の履歴まで含まれていました」
(注8)インターネットに接続する際、自動で割り当てられるアドレス番号。
「これはGDPRで通常、最長でも13カ月と定められた個人データ保存期限に違反しています。GDPRの15条ではユーザーには情報へのアクセス権が認められています」
「しかしユーザーはネットフィリックスが自分の個人データを共有しているレシピエント(受取人)に関する情報を何一つ開示しませんでした」
――noyb.euの活動について教えてください
「noyb.eu、すなわちデジタル基本権欧州センターはオーストリアで登録されたNGO(非政府組織)です。戦略的に重要なケースを国内や欧州のデータ保護機関や裁判所で取り上げることでプライバシーと個人データ保護を改善させています」
――GDPRは個人データの保護に関して世界の黄金律(ゴールデンスタンダード)になると考えていますか
「GDPRは欧州経済領域で個人データを処理するすべての企業、それが本社かどうかを問わずに適用される規制です。欧州でデータを活用する企業はデータ保護規制に違反した場合、等しく法的責任を問われることを意味しています」
「もし企業が欧州経済領域のユーザーに認められた保護を無遠慮に無視したなら、その企業は遅かれ早かれ結果に直面しなければなりません。GDPRは、EUがユーザーの基本権、究極的には法の支配を守らせるためにとっている多くのステップのうちの1つだと確信しています」
「すでにGDPRの刺激を受けたインドやケニアのような国々は同じような個人データ保護の枠組みを導入しています。しかし規制は継続的に守らせなければ、大きな意味を持ちません。これがnoyb.euが達成しようとしている目標なのです」
(おわり)