3.控訴院判決の主な論点・争点
冒頭の述べた通り、本裁判は逆転が続いた裁判である。最終的には最高裁の判断が優先されることは言うまでもないが、本ブログでこれまで述べた通り、DPA2018やUK GDPR等の解釈や運用をめぐり更なる類似のクラス・アクションが予想される。
その意味で、本ブログではあえてBird & Bird LLP と UK Human Rights blogの控訴院判決の解説内容を引用する。
3.1 Bird & Bird LLP の控訴院判決解説
2019.12「CPR 19.6の下での集団訴訟データ保護侵害訴訟は、ロイド対グーグルの控訴院によって緑色の光を与えられている」を抜粋、仮訳する。
Loyd vs. Google LLC[2019]EWCA Civ 1599、大規模なデータ侵害の主張の英国控訴院による最近の判決は、CPR 19.6の運用に役立つ洞察を提供した。CPR 19.6は、「同じ利益」を持つ個人が代表的な能力で集団での裁判請求を行うことを可能にする。英国「2018年データ保護法(以下、DPA 2018という)」の制定に続いて、これらのタイプの大規模なデータ侵害の申し立ては劇的に増加すると予想されるが、特に「同じ利益」を持つクラスがどのように特定されるかに関しては、CPR 19.6の解釈、運営が懸念されている。
ロイド対グーグル裁判は、DPA 2018ではなく「1998年のデータ保護法(DPA1998)」(注3)に基づいて決定されたが、(1)大規模なデータ侵害行為の代表クラスが「同じ利益」を持っているかどうか、および(2)そのクラスがCPR 19.6に定められた基準に従って容易に識別できるかどうかを判断するのかに関し、非常に役立つものといえる。
(1)控訴の背景
法定義務違反の損害賠償を求めるこの主張は、400万人以上の英国のiPhoneユーザー(「代表クラス」)に代わって、消費者権利団体の元ディレクターであるリチャード・ロイド氏によってもたらされた。いわゆる「Safari回避策」により、GoogleはSafariのデフォルト設定を回避するユーザーのデバイスにクッキーを設定し、サードパーティのクッキーをブロックし、Googleが特定のウェブサイトでのユーザーの活動のタイミングと時には場所に関するデータを収集することができた。このブラウザで生成された情報(以下、「BGI」という)は、広告主がGoogleに支払って特定のオーディエンスに対して広告をターゲットにする顧客利益団体を作成するために使用された。
最初の例では、高等法院の裁判官は、請求が民事訴訟規則民事訴訟規則第 63 条およびそれを 補完する同実施細則 63(PD 63)の下で指定された管轄ゲートウェイ内に収まらなかったため、ロイド氏は米国のGoogleで裁判手続きを行えないと判断した。これは、裁判官が、請求者が主張する事実が、DPAの第13条の意味の範囲内で代表クラスによって「損害」が被ったことを示していないと考えたためである。このため、ロイド氏は控訴した。
(2)控訴院は、控訴を許可する上で以下の3つの問題を検討した。
問題 1 - 請求者は、申し立てられた違反の種類に対する損害賠償を回復できるか?
問題 2 – 代表クラスのメンバーは同じ利益を持ち、CPR 19.6 の下で識別可能であるか?
問題 3 – このような状況で新たな裁量を行使するために控訴院は開放されているか?
その結果は次のとおりである。
問題 1 :控訴院は、個人データの管理を失うだけでは、金銭的損失がない場合でも、請求の目的だけで損害を与える可能性があると判断した。裁判所は、BGIは売却可能であり、各請求者が自分の私的なBGIに対する支配権を失ったとして、独自の経済的価値を持っていると考えた。控訴院は、グラティ対MGN株式会社事件は、それ以前の事実にたとえによって適用されることを受け入れた。グラティ事件はDPAに関する決定ではなく、個人情報の悪用に関するケースであったが、控訴院は、DPA第13条とMPI(Misuse of Private Information ('MPI'))の両方がヨーロッパの法律の下でプライバシーに対する同じ中核的権利から発せられることを受け入れた。グラティ判決は、MPIの損害賠償が金銭的損失または苦痛の証拠なしに利用可能であるという権限であったため、裁判所は「BGIデータに対する代表者の請求者の制御の喪失が、同様にDPAの目的のために補償されることもできないならば、原則として間違っているだろう」と述べた。同裁判所は、状況において、この違反は、DPAの第13条の下で補償に無実の当事者を引き起こす目的で損失を構成することができると主張した。
問題 2 - 高等法院が違反による損害が生じないように判断したのは間違っていることを確立した上で、控訴院は、請求者がCPR 19.6の下で代表グループを結成する能力を再考した。控訴院は、高等法院の裁判官は、請求の目的のために「損害」の欠如の彼の(誤った)解釈の結果として、あまりにも狭く「同じ利益」というフレーズを解釈したと主張した。高等法院は、各請求者への損害は、彼らの同意なしにGoogleによって取られた彼らのBGIの制御の喪失であることを受け入れた。これは、同じ申し立てに起因する一般的な損失であり、同じ状況で、各請求者の同じ期間内に発生した。高等法院ジェフリー・ヴォス(Sir Geoffrey Vos)判事は判決で次のように述べている。
Sir Geoffrey Vos 判事
「...私が述べた方法で主張が理解されると、Googleが他のすべての人に適用されなかった1人の代表請求者に防御を上げることができるとは考えられない。間違いは同じであり、主張された損失は同じである。したがって、代表当事者は、関連する意味で同じ利益を持っている」
裁判所は、個々の請求者が、自分の個人的な状況のために、違反の結果として特に大きな損失または苦痛を被った可能性を認めた。これは、代表的な行動の下で統一賞として利用可能なものよりも大きな金額を請求者に与えるだろう。しかし、裁判所は、制限期間が満了し、「代表請求者は、少なくとも理論的には、追加の損失を請求したい場合は、当事者として参加しようとする可能性がある」と指摘した。裁判所は、一律の合計の目的は、個人データの制御を失ったすべての請求者に対する基本的な違反を説明することであると表明した。
CPR 19.6の下での問題を考慮して、控訴院は、早ければ「Emerald Supplies Ltd v. British Airways plc事件」の訴訟法を引用して、確立された法的原則に言及した。この判決から、裁判所はこの問題を一般的な原則の1つと考えており、英国法に基づく代表的な主張の開発や拡大ではない。これらの線に沿って、ジェフリー・ヴォス卿は次のように述べている。
「この種の場合に代表的な行動を許可することは、ルールの例外というよりは.むしろルールの適用である」
(3)代表クラスは識別可能か?
代表クラスが「識別可能」であるかどうかを判断する際に、控訴院は、彼らが手続きのすべての段階でロイドと同じ関心を持っていたので、特定の人が代表クラスのメンバーシップの資格があるかどうかが唯一の要件であると判断した。これは、GoogleがユーザーのBGIが収集されたデータを保持していたので、事実に満足していた。分類を誤って覚えたり悪用したりする事件があるかもしれないが、これらは実用的な困難であり、代表クラスを識別しにくいものにしない。控訴院は、訴訟法に従って、請求者の数が代表的な訴訟手続きを使用する能力に影響を与えることができないことを強調した。
問題 3 –:最後に、控訴院は状況における高等法院の裁量の行使を検討した。控訴院は、高等法院は、その他の調査結果、すなわち請求者がCPR 19.6の下で同じ関心も均一な実行可能な損失も持っていないという他の調査結果によって、この問題に影響を受けた可能性が非常に高いとコメントした。これに基づき、控訴院は独自の裁量を行使することを決定した。代表的な行動は、これらの主張を追求する唯一の方法であり、その行動はユーザーデータに関するGoogleの義務の広範かつ繰り返し違反に比例することであったため、請求を進めることが許可された。
(4)これは、データ侵害に関する集団訴訟の津波の始まりを告げであろうか?
この控訴院の決定は、「同じ利益」を持つ代表者がCPR 19.6の下で行動を起こす可能性のある状況と、現代のデータ侵害への適用性を明確にした。特に、控訴院が、既存の法的原則の自然な適用として決定を提示していることは特に注目に値する。この時点まで、請求者がすべてCPR 19.6の下で「同じ利益」を持っていることを示すのは非常に困難であった。今回の控訴院の決定は、請求者が代表的な行動を形成するために同じ利益を持つクラスを作成する方法を明確にするために何らかの方法を導くであろう。
本ブログのコメンテーターは、GDPRの到来はデータプライバシー・クラス・アクションの行動の津波をもたらすだろうと推測したが、2018年に書いたように、これはまだ膨大な数で具体化する予定である。しかし、データ漏洩の申し立ては増加している。2019年10月、英国高等法院は、約50万人の顧客がCPR 19.10の下でブリティッシュ・エアウェイズに対してグループ訴訟命令の申し立てを行うことができると主張した。請求者は、ブリティッシュ・エアウェイズがGDPRに違反してハッカーによって個人および支払いの詳細を不正に収集することを許可したと主張している。企業による個人データの使用が厳しく、GDPRの導入に伴い、CPR 19.6の下でもグループ訴訟命令を通じても、このような集団訴訟タイプの裁判請求の頻度は将来的に劇的に増加する可能性がある。
3.2 UK Human Rights blog「ブラウザで生成された情報:ユーザーにとって「制御の喪失」により、検索エンジンのユーザーは補償を受けることができる」の主な論点
控訴人ロイド氏は、被控訴人たるGoogleがその広大な広告ネットワークから広告を表示しているウェブサイトへの訪問を識別し、かなりの量の情報を収集することができたと主張した。すなわち、(1)特定のWebサイトにアクセスした日時、(2)ユーザーがそこに滞在した時間、(3)どのページにどのくらいの時間アクセスしたか、(4)どの広告がどのくらいの時間表示されたかを知ることができる。さらに(5)場合によっては、ブラウザのIPアドレスを使用して、ユーザーのおおよその地理的位置を特定できる。時間の経過とともに、Googleは、Webサイトにアクセスした順序と頻度に関する情報を収集でき、実際に収集した。
ロイド氏は、このブラウザの生成情報(「BGI」)の追跡と照合により、Googleはユーザーのインターネットサーフィンの習慣や場所だけでなく、ユーザーの興味や習慣、人種、民族性、社会階級、政治的または宗教的見解または所属、年齢、健康、性別、セクシュアリティ、および財政状態、さらに、グーグルは十分に類似したパターンを表示するブラウザからBGIを集約し、「サッカー愛好家」や「現役愛好家」などのラベルを持つグループを作成したと言われている。次に、GoogleのDoubleClickサービスは、これらのグループを購読している広告主に提供し、広告を誘導したい人々のタイプを選択できるようにした。
【控訴院の結論】
第一に、請求者は、1998年データ保護法第13条(「DPA」)に基づくデータの制御権の喪失に対する損害賠償を回収し、金銭的損失または苦痛を証明することなく、データ保護指令(以下「指令」)第23.1条を実施しうる。
第二に、ロイド氏が代表しようとしたクラスのメンバーは、民事訴訟規則の19.6(1)に基づいて互いに同じ利益を持っており、識別可能であった。
第三に、以下の裁判官は、代表訴訟として訴訟を進めることを許可するために彼の裁量を行使すべきであった。
控訴院は、EU保護指令の第23.1条とDPA 1998の第13条(1)項の両方で、因果関係と結果として生じる損害の証拠が必要であるというGoogleの主な主張を却下した。
第13条の「(違反)の理由で損害を被った個人は補償を受ける権利がある」という言葉は、欧州人権条約第8条および2000年調印のEU基本権憲章の第8条の文脈で読まれ、グラティでの決定に関して、そのような解釈を正当化した。そのように法律を解釈することによってのみ、個人はそのような権利の侵害に対する効果的な救済策を提供することができると判示した。
この主張は代表者による手続きの異常な使用であったが、裁判所はそれが当局に許容されると判断した。ロイド氏がすべてを代表しようとした申立人は、同じ期間に同じ状況で同意なしにGoogleにBGI(ブラウザで生成された情報)を取得させ、個々の申立人に影響を与える個人的な状況(苦痛または抽象化されたデータの量)。代表されたクラスはすべて同じ主張された間違いの犠牲者であり、すべて同じ損失、すなわち彼らのBGIに対するコントロールの喪失を被っていた。個々の代表された請求者に影響を与える事実に依存しないというロイド氏の譲歩は、最小分母に請求される可能性のある損害を軽減する効果があった。しかし、それは、代表された請求者が請求に対して同じ関心を持っていなかったことを意味するものではなかった。Googleが他のすべてに適用されなかった1人の代表された原告に防御を上げることができると想像することは不可能であった。
控訴院は高等法院の決定を覆し、ロイド氏にロンドンのメディア・コミュニケーション裁判所でのGoogleに対する代表的な訴訟を進める権利を与えた。
3.3 最高裁判決がDPA2018と UK GDPRの解釈への影響の可能性
DPA 1998はEUのGDPRに取って代わられ、DPA 2018が制定された。これは、発効前の作為または不作為を除いて、DPA 1998を廃止および置き換えられた。英国が欧州連合から離脱した後、GDPRはUK GDPRとして英国国内法に保持され、DPA 2018(UK GDPRとともに「英国データ保護法」という)によって引き続き補足される。(注8)ロイド氏のクレームの事実はDPA 1998に基づいてのみ発生したため、最高裁判所は英国データ保護法を考慮しなかった。
ただし、今回の最高裁の決定は、英国のデータ保護法、特に英国のデータ保護の違反の結果として被った損害に対して補償を請求できるようにするUK GDPRの第82条およびデータ・プロセッサまたはデータ・コントローラのいずれかによる法規制に関し、DPA2018第169条(その他のデータ保護法の違反に対する補償)の解釈に影響を与える可能性がある。
これら2つの条項の言語は、主に「損害(damage)」と「侵害(infringement)」(UK GDPR第82条)または「違反(contravention)」(DPA 2018の第169条)の間に引き出される区別があるという点で、DPA 1998の第13条の言語を反映している。
補償の権利は「損害」から生じなければならず、単なる法律義務の侵害ではないという最高裁判所の判決は、同様にそこに当てはまるように思われる。
とはいえ、UK GDPRの第82条では、「非物質的損害(non-material damage)」を補償の権利を生じさせるものとして明示的に言及しており、GDPR詳説85(Recital85)と並行して読むと、「個人データの侵害は、物理的、物質的、または個人データの管理の喪失など、自然人への重大でない損害…」(強調を追加))、データ主体の管理権の喪失に対して補償が与えられる可能性がある。
最近、オーストリア共和国の最高裁判所(OGH)は、同様の質問を欧州司法裁判所に付託した(GDPRの第82条で原告が損害を被ったことを要求しているかどうか、または侵害自体が補償に十分であるかどうか)、(注9)これらはGDPRに関してより決定的な決定を提供するであろう。とにかく、コントロール権の喪失などの重大でない損害賠償が利用可能であったとしても、最高裁判決は「彼または彼女の個々の事件における違法な処理の範囲を確立することが依然として必要である」ことを明確にし、そのような理由で提起されている代表訴訟を事実上排除している。
さらに、最高裁判所は、一般的にEU法またはデータ保護指令(GDPRに先行する)の特定の文脈のいずれでも権限を見つけ出さなかったので、「損害」という用語は、重大な損害や苦痛を引き起こさない法的権利の侵害を含むと解釈されるべきであると示唆した。EU法の引用は、裁判所によるさらなる扱いに応じて、UK GDPRの下で行われた将来の裁判での主張に影響を与える可能性がある。
**********************************************************************************:*******
(注8) (1)データ移転と法的枠組み
欧州委員会は、2020 年 12 月 24 日に英国と合意した通商・協力協定の中で、移行期間終了後も十分性認定の決定が採択されるまで最大 6 カ月間、EEA から英国への個人データの移転を認めるとした。当初の猶予措置期間は 4 カ月間とされており、その後、英国・EU 双方が異議を唱えなかった場合は、さらに 2 カ月間の猶予期間が付与される。なお、英国からEEA への個人データ移転に関しては、英国の EU 離脱前と同様に制限を受けない。
EU の GDPR 規則は、移行期間終了後は、2018 年 6 月に採択された 2018 年 EU 離脱法に基づいて英国法に置き換えられ、移行期間終了後は英国法として適用され、GDPR を英国の事情に合わせて補完し調整する「2018 年データ保護法」も継続して適用される。
2019 年 2 月 28 日には、英国法への置き換えにあたり、移行期間終了後、英国のみを適応範囲とするのに必要な技術的修正を定める第二次立法として「2019 年データ保護、プライバシー、電子取引(改正等)(EU 離脱)規則」が制定された8。これらの適用法令とそのリンクは、以下に示すとおりである。英国の GDPR(UK GDPR)の規制監督当局は、これまでと同様に、情報コミッショナー事務局(ICO:Information Commissioner's Office)が担う。(2021 年 2 月 日本貿易振興機構(ジェトロ)ロンドン事務所「海外調査部移行期間終了後の英国ビジネス関連制度:データ保護」から一部抜粋。
(注9) Clyde & Co LLPの解説「 Highest EU court will decide on GDPR damages」 を一部仮訳する。
一般データ保護規則(「GDPR」)第82条に基づく非物質的損害賠償訴訟を扱う場合、オーストリア共和国の最高裁判所(OGH)は、欧州連合(CJEU)司法裁判所に次の質問を参照することを決定した。
(1) GDPR第82条に基づく報酬の授与には、GDPRの規定の侵害に加えて、原告が損害を受けたこと、またはGDPR自体の規定の侵害が補償に十分である必要があるか?
(2) EU法の下で、有効性と同等性の原則に加えて、損害賠償の決定に関する追加の要件は必要か?
(3) EU法と互換性のある立場は、侵害によって引き起こされた単なる迷惑を超えた少なくとも何らかの重力の侵害の結果または影響があるという非物質的損害賠償(compensation for non-material damages)を与える要件であると考えられるか?
事件の事実
原告はオーストリア郵便サービスのデータ・プライバシー・スキャンダルの影響を受け、郵便サービスがオーストリアの人口全体の政治的所属に関する情報を処理し、販売したことを明らかにした。原告は、彼が極右政党(FPÖ)に「高い親和性」を起因したので、これについて怒った。したがって、彼は彼の偉大な内なる不快感のためにEUR 1,000の金額でオーストリア・ポストによる非物質的損害賠償を受ける権利があるという意見を述べた。ウィーン地方裁判所(Vienna Regional Court)とウィーン高等地方裁判所(Vienna Higher Regional Court)が重大な損害の欠如に対する賠償請求を却下した後、オーストリアの最終裁判所として、ウィーンのオーストリア最高裁判所が決定しなければならなかった。
*オーストリア自由党(ドイツ語: Freiheitliche Partei Österreichs、略称:FPÖ )は、オーストリアの政党である 。独立連盟(ドイツ語版)を前身とする 極右政党 で、ポピュリズム・欧州懐疑主義・反移民・反ムスリムを掲げる 。現在の党首はノルベルト・ホーファー。(筆者がWikipedia から引用)
オーストリアの裁判所構成から抜粋
最高裁判所の決定
オーストリア最高裁判所は、重大な損害の欠如に対するGDPR第82条(1)に基づく請求の却下は、CJEUの照会なしに認められないというドイツ連邦憲法裁判所の立場を明確に共有しなかった(2021年1月14日付の決定、ケース番号1 BvR 2853/19 を参照)、CEUへの補償のためのそのような請求のしきい値の質問に言及した。しかし、予備的な判決を得ることは、EU法の統一的な適用の利益であると考えられている。
その決定では、オーストリア最高裁判所は、まず、事件法と法的文献における議論の状態を分析し、ドイツからの情報源も考慮に入れた。裁判官は、EU議員が非物質的損害賠償責任を確立する際に、GDPR侵害の影響を受ける個人の感情的な状態に対する最小限の影響がそのような主張を引き起こすことを明確に念頭に置いていないと仮定することを示していた。原告が求めた解釈の結果、効果はごくわずかな感情的な効果でさえ補償を可能にすべきであるという、一般的にEU法とは異質である補償の考えを超えた懲罰的損害につながるであろう。
実務的な影響
オーストリア最高裁判所が、GDPR訴訟の現在最も議論の余地のある問題の1つを明確にするためにCJEUに提示する機会を得たことは非常に肯定的な発展といえる。GDPRが侵害された場合に非物質的損害の補償を受ける権利のあるデータ対象はいつか?この質問は現在、第82条GDPRに関するドイツの判例法において非常に異なる方法で答えられているので、法的確実性の理由から緊急に明確にする必要がある。(以下、略す)。
*******************************************************************
Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
