フランスCNILの米国Googleに対するEU一般データ保護規則にもとづく罰金命令の意義と検証(その２完)

２． CNILの決定 

(1) CNILの罰金の決定

　 2019年1月21日、フランスのデータ保護監督当局である「情報処理及び自由に関する国家委員会(Commission nationalede l'informatique et des libertés：CNIL)」は、EUの「一般データ保護規則（「GDPR」）の違反について、Googleに対して5,000万ユーロ(約62億円)の罰金を決定した（この決定は、正式にはフランス語で公開された）。 このCNILの決定は、9,974人(筆者注7)を代表する2つの非営利団体からの苦情によって引き起こされ、この訴訟では、以下述べるとおり、プライバシーに関するいくつかの重要な問題を発生させた。 

 　第一に、グーグル・アイルランド・リミテッド(Google Ireland Limited )はコンピュータ処理が中心でグーグルのEUにおける主要な拠点ではないとすることで、この決定はGDPRのワンストップ・ショップの適用を却下する（これはアイルランド監督当局をCNILの代わりに管轄当局にするであろう） 。 CNILによると、AndroidとGoogleのアカウントに関連するデータの処理に関する意思決定権限は、米国のGoogle本社（Google LLC）にあるため、GoogleはEU内に主な拠点はない。CNILは、グーグルのプライバシーポリシーがグーグルアイルランドリミテッドをコントローラーとして言及しておらず、グーグル・アイルランド・リミテッドがEUにおけるグーグルの処理業務を監督するためのデータ保護責任者を任命していないという事実に他の理由も含めてこの結論を下した。 

　さらに、CNILは、その結論はGoogleによって支持されていると主張し、2019年1月までにアイルランド本部の意思決定力を強化するための措置を講じると公に述べた。EUに主要な事業所がない場合、Google LLCはフランスを含むGoogleが事業所を有するEUのあらゆる監督当局による執行の対象となる可能性がある。この決定は、規制当局が「主たる拠点」の概念を限定的に解釈する意思があることを示している。これは、非EUに本社をもつ企業にとって、ワンストップショップ適用を不要にし、EU加盟国の複数の監督当局による法執行にさらされる可能性があることを意味する。 

　CNILは、2019年1月21日に、苦情に関する最終決定を下し、同時に次の点を明らかにした。

(ⅰ) GoogleのプライバシーポリシーおよびAndroidモバイルユーザーの使用条件(利用規約)に関して、GoogleはGDPRの第12条(データ主体の権利行使のための透明性のある情報提供、連絡及び書式) (日本語訳 15頁および第13条( データ主体から個人データが取得される場合において提供される情報)16頁に記載されている透明性および情報提供義務に違反していた。

(ⅱ) Googleによるターゲット広告のための個人データの処理に関して、Googleは、ターゲット広告についてGDPRの第6条(取扱いの適法性)8頁に規定されている法的根拠を有する義務に違反していた。 

　透明性と情報提供義務に対するGoogleの以下の点でGDPR違反の疑いについて、CNILは、プライバシーポリシーと利用規約はAndroidモバイル・ユーザーに提供されるものであると判断した。

① 情報が複数のドキュメントに分散されているため、情報が断片化されていて、そのすべてにアクセスするためにユーザーが何度もクリックする必要があるため、検索が困難であった。

② 特に「大規模でかつ侵入的な」処理操作に基づく特定の結果をユーザーが明確に理解することを許可しなかった。

③（同意に基づく）複数のデータの組み合わせによるターゲット広告の実行の法的根拠と、（合法的に基づく）閲覧活動などを使用した他の形態のターゲットとの間のGoogleの区別をユーザーに理解させなかった。

　Googleがターゲット広告の法的根拠を有する義務は侵害していない主張していたが、CNILは、Googleのターゲット広告に対するユーザーの同意は次の点で有効ではないと判断した。

① 当該情報が複数の文書にまたがって断片化されているため、ユーザーにとって十分な情報が得られていない。

② ターゲット広告を含む、この同意に基づいてGoogleが実行したすべての処理操作の目的に対して、ユーザーが完全に同意を示すことを要求されたため、「特定」でも「明確」でもないものであった。

　第二に、罰金の額の計算方法についてのCNILの決定は曖昧である。しかし、GDPRの罰金の上限であるは2,000万ユーロを超えており、これはGDPRの全世界の売上高の4％という「しきい値」に基づいていることを意味する。Googleのフランスの「限られた」売上高を考えると、罰金は明らかにGoogleの持株会社である”Alphabet. Inc”(筆者注8)の売上高に基づいている。 これは面白い点であり、GDPRが4％の計算基準を明確にしていないことはよく知られている。 持株会社の売上高を基準として、CNILは長期にわたる合法的な保証付き戦闘の舞台を整えている。この結果として、今後3〜5年間このブログをフォローし続けるよう読者に勧める。(筆者注9) 

第三に罰金の額に関しては、CNILは4つのポイントを提示した。

① CNILによると、GoogleはGDPRのデータ保護の2つの基本原則を侵害している。「透明性の原則（すなわち、個人データの処理について個人に知らせる義務）」と「合法性の原則（すなわち、各データ処理活動をGDPRの第6条に記載されているいずれかの法的根拠に関連付ける義務)」である。CNILによれば、これらの原則は、個人が自分の個人データを管理し続けるための基本的権利に変換される。 

 ② 侵害がなされた期間： CNILは、GDPRに違反しているというCNILの立場にもかかわらず、Googleの継続的な侵害は是正されなかったと述べた。

③ 侵害の範囲 ：罰金を計算する際に、CNILはフランスのオペレーティングシステム市場におけるGoogleの顕著な地位、Googleのサービスを利用する個人の数、処理される個人データの量と種類、そして“無制限”の可能性を考慮した。Googleはデータを一致させる必要がある（ユーザーの個人データの「大量かつ煩雑な」処理を可能にします）。 

④ Googleの侵害から得られた利益： CNILは、Googleがそのデータ処理活動から（特にそのオンライン広告サービスから）得ることを考えると、その処理活動がGDPRを遵守していることに特に注意を払わなければならないという立場をとる。

　実質的には、今般のCNILの決定は2つの主側面に焦点を当てている。（i）GDPRに基づくGoogleの透明性義務の違反（特にGDPR第12条および第13条に基づく）および（ii）個人データ処理の法的根拠の欠如（GDPR第6条の「同意」要件に基づく））である。 

(ⅰ) 透明性義務の違反 

① GDPRの下では、管理者は、データの処理に関する個人情報の取扱いについて「簡潔で、透明性を持ち 、わかりやすい言葉で」提供しなければならない。 CNILによると、AndroidソフトウェアをインストールしてGoogleアカウントにサインアップする個人には、さまざまなポリシーや通知にまたがる「散在した」情報が提供されているが、CNILは、これがユーザーがGDPRの下で必要とされる情報のいくつかを見つけるのを困難にするという立場をとる。

② CNILによれば、Googleが提供する情報は、グーグルのデータ処理活動の特定の結果を「十分に理解する」ことをユーザーに許していない。すなわち処理の目的は「不正確かつ不完全」であり、時には矛盾する。CNILは、近年の処理活動をより透明にするためのGoogleの取り組みを認識しているが（たとえば、「プライバシー診断(Privacy Check-UP)」や「Dashboard」などのプライバシーツールを介して）、これらのメカニズムはユーザーがすでに処理に同意したとき後の段階でのみ提供される。

(ⅱ) Googleが主張する「同意」は法的根拠を欠く 

 CNILは、Googleが取得した「同意」はGDPRに基づく同意の要件を満たしていないと考える。GDPRの下では、「同意は」個人の意思の「自由に与えられた、具体的な、情報に基づいた、かつあいまいな徴候を確立する明確な肯定的行為によって与えられる」必要がある。CNILによると、Googleは、十分な情報を提供する選択をするために必要とされる十分で理解可能でアクセス可能な情報を個人に提供しなかった。CNILは、以前のVectaury (筆者注10)の決定に沿って、Googleが各処理活動について具体的な同意を求めるのではなく、ユーザーが最初にすべての処理活動を許可または拒否することを許可することも主張している。ユーザーが「その他のオプション」をクリックした場合にのみ、データ処理の個々の目的を個別に受け入れることができる。CNILはまた、「同意」ボックスにはデフォルトで「オプトイン」ではなく「オプトアウト」のように表示されている点を違法であるとみている。

３．法的考察

　今回のCNIL決定は、今後、国務院(筆者注11)で再検証される可能性が高いが、それは暫定的に企業に次のようないくつかの重要な検討課題を提供する。

 (ⅰ) 企業がワンストップショップの仕組みの利用する場合の条件： EU域に本店を置くと主張してワンストップショップの仕組みに頼ることを望む企業は、本店が以下に関連する「意思決定力」を持っているという証拠を提供する必要がある。問題の処理 組織は、自らの方針やガバナンス構造を見直し、説明責任の原則に沿って、意思決定権がどこにあるのかを証明する文書により、EU内に本部にあることを確実にするべきである。(その意味でGoogleの主張は失敗)

 (ⅱ) ターゲット広告：収益創出のためにターゲット広告に依存している企業は、EU加盟国のDPAの調査および法執行措置の対象になる可能性がある。そのような事業体は、さまざまな種類のプロファイリングにユーザーの個人データを使用するための現在の基礎を注意深く検討する必要がある。 プロファイリングが特に障害となる場合は、GDPRに準拠したデータ主体の「同意」が必要となり、この「同意」自体を明確にする必要がある（本人のプライバシーポリシーの承認のみによるものでは不十分）。

 (ⅲ) ユーザーにとって透明性を持ったアプローチの担保：EU加盟国さまざまなDPAガイダンスによって、階層化されたアプローチ、またはプライバシーセンターによる透明性への他の創造的なアプローチが奨励されているが、事業体はユーザーがコア処理のアクティビティをより容易に理解できるようにする必要がある。

４．わが国のGAFA等海外電気通信企業企業に対する「通信の秘密」やプライバシー保護強化法制化等の検討

　今回は、時間の関係で以下の研究会資料のリンクのみ行うが、研究会の報告書でも指摘されているとおり、法制度、IT技術等多方面にわたる問題に関係するため、政府や監督省庁には専門的かつ横断的な取り組みを期待したい。

・2018.12.21 総務省「「プラットフォームサービスに関する研究会における検討アジェンダ（案）」に対する提案募集の結果及び検討アジェンダの公表」

・ 2019.1.21 「プラットフォームサービスに関する研究会（第5回）配布資料）」

・2019.1.21 資料１「プラットフォームサービスに関する研究会　主要論点（案）」

 

**********************************************************************

(筆者注7) La Quadrature du Netのサイトでは12,000名とある。

(筆者注8) Alphabet Inc.（アルファベット）は、2015年にGoogle Inc.及びグループ企業の持株会社として設立された、アメリカの多国籍コングロマリットである。本拠地はカリフォルニアに置かれ、Google Inc.の共同設立者であるラリー・ペイジおよびセルゲイ・ブリンが、それぞれCEOおよび社長である。GoogleからAlphabetへの再編は、2015年10月2日に完了した。

(筆者注9)  2018.12.28 Livedor News「2018年、GDPR について学んだ5つのこと」を一部抜粋する。

3. 当局の取り締まりは始まったばかり

　GDPR発効してからの6カ月間、規制当局はとても静かにしていた。が、その後、罰金や警告が嵐のように襲ってきた。英国の規制当局である情報コミッショナー局（Information Commissioner’s Office、以下ICO）はFacebookなどの企業に重いペナルティーを科した。Facebookは、ケンブリッジ・アナリティカ（Cambridge Analytica）によるデータ不正流用スキャンダルにまつわる件で、50万ポンド（約7,200万円）の罰金を科すという警告を受けた。ウーバー（Uber）もまた、サイバー攻撃の最中に顧客データを保護する対策をしなかったとして38万5,000ポンド（約5,300万円)の罰金を科せられている。ただし、どちらもGDPR発効以前の罰金であり、データ保護法（Data Protection Act）のより寛大な条件の下で科されたものだった。2019年はこんな程度ではすまないだろう。

　フランスのデータ保護機関である情報処理及び自由に関する国家委員会（Commission nationalede l'informatique et des libertés：CNIL）は、位置情報を利用するアドテクベンダー厳しく非難し、フィズアップ（Fidzup）やティーモ（Teemo）、さらに11月にはベクチュアリー（Vectaury）といったアドテクベンダーに対して公開警告書を出して、大きな注目を集めた。罰金は科されていないが、ベクチュアリーのような企業にコンプライアンスに従うよう命令が出たことで、現行のアドテクのビジネスモデルのなかには終わりを迎えるものが出てくるかもしれない。(以下、略す)

(筆者注10) IAB EUROPE「The CNIL’s VECTAURY Decision and the IAB Europe Transparency & Consent Framework」米ネット広告業界団体Interactive Advertising Bureau（IAB）のCNIL決定の解説参照。なお、その後のCNILのVectauryに対する警告通知についての詳細は、筆者ブログ「CNILは”Vectaury”にGDPRに基づく明確な「同意」を課すべきとの警告(その1)」、「同(その２完)」を参照されたい。

(筆者注11) フランス政府の「国務院の日本語解説」を抜粋、引用する。

国務院(Conseil d’État）は、政府が法律案や政令案 などを準備する際に、

政府から 諮問を受けて答申します。また、法に関わる問題について、政府から求められた場合は、意見を述べます。

さらに、政府からの要求に応じ、又は自ら率先して、行政問題や公共政策に関する問題について研究を行います。

国務院は、行政最高裁判所の機能も有しています。国務院は、国、地方公共団体､行政施設などの行為に対する最終審裁判所です。

これら二つの役割（勧告と裁判）によって、国務院は、フランスの行政が、法に従って適正に行われることを保障します。

さらに、国務院は、第一審行政裁判所と行政控訴院を統括して管理する権限も持っています。

********************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida). All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.