(2) 各国の手続の結果
(ⅰ)フランス
CNIL制裁小委員会(筆者注2)が、”Facebook Inc”と”Facebook Ireland Limited”に対して、15万ユーロ(約1,950万円)の公的制裁金を宣告した。制裁小委員会は、Facebookグループが、それが口座保有者に持っているすべての情報を合算してターゲット広告を表示するための法的根拠を持っていないことを明らかにした。 また、Facebookグループがインターネット・ユーザーのCookieデータを介して違法な追跡に従事していることが判明した。Facebookの「クッキー・バナー」(筆者注3) および「Facebookの内外」で収集された情報への言及は、ソーシャルプラグインを含むサードパーティのウェブサイト上をナビゲートすると、個人的なデータが体系的に収集されたことを明確に理解することはできない内容であった。 (筆者注4) (筆者注5)
(ⅱ) ベルギー
ベルギーのプライバシー委員会は、ベルギーの個人情報保護委員会が本日、プライバシー委員会の最初の発足後(筆者注6) 、2015年9月と2016年5月のFacebookのポリシーの改定に伴い、クッキー、ソーシャル・プラグイン、およびピクセルによるFacebookのユーザーと非ユーザーの追跡について、 ベルギー・プライバシー委員会は、Facebookがクッキー、ソーシャルプラグイン、およびピクセルを通じてFacebookのユーザーと非ユーザーの両方のトラッキングに関するベルギーと米国のデータ保護法違反で引き続き行動することを考慮している。 特に、Facebookがデータ主体と通信する情報の欠如やFacebookがデータ主体に提供する選択肢の不備のために、「同意」、「公平」、「透明性」および「比例性」に関する法的要件は満たされていないとした。
また、ベルギー・プライバシー委員会は、Cookie、ソーシャルプラグイン、およびピクセルを使用するFacebookによる個人データの収集がいくつかの状況で過度であると考えている。 プライバシー委員会は、EU(ブリュッセル)第一審裁判所(Court of First Instance of Brussels)での勧告の司法執行を求めており、口頭弁論は、2017年10月12-~13日に行われる予定である。
(ⅲ) オランダ
オランダでは、Facebook Groupはオランダの「個人情報保護法(Wet Bescherming Persoonsgegevens (WBP))の英語訳)」に違反している。これは、オランダの960万人のFacebookユーザーの個人データの処理に関する調査の結果、オランダの個人情報保護監督委員会(Autoriteit Persoonsgegevens;以下、DPA)が下した結論である。 同社は、オランダのデータ保護法に違反しており、これには、ユーザーに個人情報の使用に関する不十分な情報を提供することが含まれる。 オランダのDPAはまた、Facebook Groupがユーザーからの慎重な同意なしに機密データを使用していることを見出した。 例えば、性的嗜好に関連するデータを用いて、ターゲット広告を送った。 Facebookグループはこの後者の目的でこの種のデータの使用を変更した。 オランダのDPAは現在、他の違反が停止しているかどうかを評価している。もし そうでない場合は、オランダのDPAは罰金制裁を決定する可能性がある。
(ⅳ) ドイツ(ハンブルグ)
ドイツ(ハンブルク)(ドイツFacebookの本部がある)では、ハンブルグのDPAがFacebook Groupに関する2つの異なる命令を出した。第一の裁判では仮名・ペンネームの使用を中心としていた。 Facebookは命令に対してハンブルグ高等行政裁判所(Hamburgischen Oberverwaltungsgerichts) に訴えた。同裁判所は、ハンブルクDPAに管轄権があるかどうかの決定をしないで、仮名・ペンネームの使用を許可するDPAの命令を解除した。 (筆者注7) (筆者注8) その代わりに同裁判所は 欧州司法裁判所において、ECCJ事件(C-210/16)の適用法について意見を求めた。第二番目の裁判手続きでは、ハンブルグDPAは、Facebookグルーに、事前の同意なしにWhatsAppユーザーからの個人データの結合を停止するよう命じた。2017年4月25日、第一審のハンブルグ行政裁判所(Verwaltungsgericht Hamburg)は適用法を決定することなく、この命令の有効性を認めた。 (筆者注9)
(ⅴ) スペイン
スペインでは、FBのプライバシーポリシーと利用規約に関する予備調査が行われた後、スペインDPAが2つの侵害手続きを開始した。 調査の結果を考慮した手続きにもとづき、スペインのデータ保護法の規定違反と判示した。
***************************************************************
(筆者注3) 「クッキー・バナー」: Cookieを利用した「行動ターゲティング」
インターネットでサイトを巡回しているユーザーの行動履歴をもとに、興味・関心のある広告を配信する。行動履歴は主にCookieから取得する。
⇒特定の事柄に確実に興味・関心を持っているユーザーに対して広告を配信することができる。しかし、特定の事柄で限定するため、広告表示のターゲットとなる絶対的な母数は少なくなる。そのため浅く広くというよりも深く狭い範囲で、特定のユーザーに広告を訴求したい場合に役に立つ。また、ユーザーの行動履歴を基に広告配信を行うため、ユーザーの承認を得る必要がある点に注意する(オプトイン・オプトアウトの設定)。
より詳しくは、Facebook「Cookieおよびその他のストレージ技術:広告表示を目的としたFacebookによるCookieの使用を管理する方法」(最終更新日: 2017年3月20日) 参照。
(筆者注4) CNILの制裁小委員会の構成等についてはフランス情報保護法である「情報処理、情報ファイル及び自由に関する1978年1月6日法律第 78-17 号:ACT N78-17 OF 6JANUARY 1978 ON INFORMATION TECHNOLOGY,DATA FILES AND CIVIL LIBERTIES)(英語版) 第12条(14頁以下)に定める。原文を抜粋、引用する。
・・・・The “Formation restreinte” (Restricted Committee) of the Commission shall be composed of a Chair, and five other members elected by the Commission among its members. Bureau officers are not eligible to sit on the“formation restreinte”
(筆者注5)
〇 2010年11月10日La Revue記事「Power of data protection authorities: lessons to be learned from France」がCNILの罰金刑の上限金額の引上げ(現行の15万ユーロ~30万ユーロから30万ユーロ~60万ユーロへの引き上げ) ほか権限強化策を引用している。以下が、記事原文の該当箇所である。
The French Senate submitted a new "Draft Law to Reinforce the Right to Privacy in the Digital Age" ("proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique") to the French Parliament in March 2010 which contains several amendments to the French data protection laws.
The enactment of the law would, inter alia, increase the CNIL’s enforcement powers as follows:
① It is expressively provided that the person responsible of premises be informed of their right to object to the on site investigation. But in case of urgency or material breach or to prevent destruction of evidence, the CNIL may directly require an authorisation by the court.
② Fines imposed by the CNIL for violations of the law would be increased to a maximum of €300,000 and €600,000 (instead of the current €150,000 and €300,000).
③ Hearings of the restricted committee of the CNIL would be public hearings (drawing on the decision of the Conseil d’Etat that the CNIL is a “tribunal”).
④ The CNIL’s decisions to sanction data controllers would be published even where the data controller has not acted in bad faith.
⑤ The CNIL would have the right to produce written observations or to be heard in any civil, criminal or administrative court hearing upon its own volition or at the request of the parties, whereas to date it can only do so at the request of the court itself (or refer an alleged breach to the public prosecutor).
〇2016年7月1日 Privacy & Information Security Law Blog「French Parliament Rejects Data Localization Amendment」を仮訳する。
特に、合同委員会が採択した「デジタル・リパブリック法案(Loi n°2016-1321 pour une République numérique)は、フランスのデータ保護法違反に対する最大の罰金額を大幅に引き上げている。現在、フランスのデータ保護当局(「CNIL」)は、最初の侵害については最大15万ユーロ、繰り返しの侵害については最大30万ユーロの罰金を課す可能性がある。新しい改正案が合同委員会の承認を得て、CNILは、GDPRが適用可能になると、300万ユーロ(約3億9,000万円)の罰金を直ちに課すことができる。この点に関し、共同委員会は、2018年5月25日現在、CNILはGDPRで定められた罰金(すなわち、場合によっては(1)1,000万ユーロ(約13億円)を課すことを確認する新しい規定を導入したデータ処理がGDPRの範囲内に収まる範囲で、(2)2,000万ユーロまたは年間売上高の4%を占める。 GDPRの対象とならないデータ処理活動の場合、CNILは最高300万ユーロの罰金を科す可能性がある。この点で、フランス政府は、2017年6月30日までにGDPRの発効により必要とされるフランスのデータ保護法の改正に関する報告書をフランス議会に提出する。
〇 この法案等に関し、 2016年10月4日 Privacy Law Blog 「France Adopts Digital Republic Law」も参考になる。
(筆者注6) 2015年5月13日 ベルギー・プライバシー委員会の勧告「Re:Own-initiative recommendation relating to 1) Facebook, 2) Internet and/or Facebook users as well as3) users and providers of Facebook services, particularly plug-ins 1(CO-AR-2015-003)」も参照されたい。
(筆者注7) 2016年8月21日 筆者ブログ「わが国の改正個人情報保護法の政令、施行規則等は「顔認証」に関しベス ト・プラクティスを保証する内容といえるか?」(その2) で、ドイツ・ハンブルグ州の情報保護機関(HmbBfDI)のフェイスブック顔認識ソフトウェアならびに 「仮名・ペンネーム化(pseudonyms)問題」に関する具体的取り組み内容・論点を整理している。
(筆者注8) 2016年4月28日German IT Law「連邦行政裁判所はECJに尋ねる:Facebook Fanpagesのデータ処理の責任者は誰か?裁判」を以下、仮訳する。
ドイツ連邦行政裁判所は、欧州司法裁判所(ECJ)へFacebookの”Fanpages”の運営に関連するいくつかの面白いデータ保護問題を提起した(2016年2月25日の決定)。( ECJのケース番号はC-210/16)。原告は仕事関連の教育と訓練の提供者であり、被告「シュレスヴィッヒーホルシュタイン情報保護センター(Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein)」は、2011年11月に原告にこのFanpageの無効化を命じた。訪問者の使用データは、Fanpageのクッキーを介してFacebookによって収集される。このデータは、とりわけ広告目的でFacebookによって使用され、ユーザーに十分な情報が提供され、この使用に同意していないユーザー統計情報を申請者に提供する。第一審の行政裁判所は、訴状を支持した。その後、ドイツ高等行政裁判所は、原告がEU指令第2条dの意味において「データ管理者」として行動していないため、この上訴を棄却した。(Facebookによって収集されたデータに関しては、連邦データ保護法第3条第7項((7) “Controller” means any person or body collecting, processing or using personal data on his or its own behalf or commissioning others to do the same.)(EU指令95/46 / ECの第2条と比較)を参照。
(筆者注9) 第一審のハンブルグ行政裁判所の2017年4月25日決定(Beschluss)原文を仮訳する。
「ハンブルクの行政裁判所は次のように決定した。将来的にFacebookは、ドイツのデータ保護法に同意した場合にのみ、ドイツのWhatsAppユーザーの個人データを使用することがありうる。」
**********************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
