毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。
当記事で取り上げるのは以下の配信です。
- 配信日:2022年1月20日
- タイトル:CNILがFacebookとGoogleに罰金
- 発表者:データサイン 代表取締役社長 太田祐一
CNILがまたもグーグルなどに罰金を科す
個人の情報や自由の保護、イノベーションの支援を掲げるフランスのデータ保護機関として知られるCNILが、フェイスブックとグーグルに罰金を科すと2022年1月6日付で公式サイトに発表しました。理由はユーザーがCookieを受け入れるのと同等の容易さでCookieを拒否できないサービスを提供しており、データ保護法第82条およびそれに関するガイドラインに抵触するというもの。こちらのCNILの発表内容についてデータサイン 代表取締役社長 太田祐一が解説しました。
*CNILの公式サイトの内容は無償のWeb翻訳ツールで和訳しているため、本レポートにおける記述の正確性はデータサインで保証しかねる点をご了承ください。
CNIL正式名称は「Commission Nationale de l’Informatique et des Libertés」で直訳すると、情報処理と自由に関する国家委員会です。
「CNILは2020年12月7日にもグーグルとアマゾンに罰金の支払いを命じています。今回は、グーグルに1億5000万ユーロ(約200億円、1ユーロ約133円として)、フェイスブックに6000万ユーロ(約80億円、同レート)の支払いおよび、3カ月以内の是正措置を命じています」(太田)
CNILの命令をグーグルとフェイスブックがすんなり受け入れるかどうかはわかりませんが物議を醸しそうです。
罰則の根拠となった法律およびガイドラインとは?
今回のCNILの対応に関して太田が着目するのが、フランスが定めるいわゆるデータ保護法の第82条を踏まえたガイドライン(以下、データ保護法第82条に関するガイドライン)の内容です。
データ保護法第82条に関するガイドラインの正式名称を和訳すると「ユーザーの端末に対する読み取り及び書き込み操作(特に『Cookie及びその他のトレーサー』)に対する1978年1月6日改正法第82条の適用に関するガイドライン」となります。
こちらのガイドラインはもともとCookieおよびその他のトレーサー(追跡技術)による読み取り/書き込み操作に関する実装方法などをまとめたものでした。それが、2018年5月に適用開始されたGDPRにおいて同意の有効性に関する要件が強化されたことを受け、一部見直してGDPR対応版のガイドラインとして採択されました。
「さらに2020年6月19日に行われたフランスの国務院(行政事件裁判の終審裁判所)の決定を受けて一部変更した改訂案が、同年9月17日に採択されました。そのデータ保護法第82条に関するガイドラインが、グーグルなどに対する一連の罰則適用の背景にあります」(太田)
簡単に同意できるならば拒否するのも簡単に
データ保護法はフランス国内法であり、GDPRのようにEU全域に適用されるものではありません。データ保護法に基づくガイドラインもフランス国内においてのみ適用されます。
データ保護法第82条に関するガイドラインでは、一般に使用される多くの機器、公衆に開放される電気通信ネットワークに接続されているその他の端末機器(タブレット、スマートフォン、固定またはモバイルコンピューター、ビデオゲーム機、コネクテッドTV、コネクテッドカー、音声アシスタントなど)を対象にしています。
一方、GDPRでは同意は自由に与えられる必要があるためCookieウォールによる同意の強制は無効であるとされますが、データ保護法第82条に関するガイドラインではCookieウォールの合法性についてはケースバイケースとなっています。一概に禁じるわけではないですが、ユーザーの同意がない場合のコンテンツまたはサービスへのアクセスにおいてどういうことが生じるのか(何が利用不可能かなど)について明確に説明しなければならない旨が記されています。
データ保護法第82条に関するガイドラインではユーザーの同意の必要ないものとして、(ショッピングカートのように)ユーザーが表明した選択肢を保持するトレーサーや、サービスに対する認証を目的とするトレーサーなどが挙げられています。
それ以外のトレーサーに対する同意の拒否と撤回については、次のような記述があります。
欧州委員会は、同意はユーザー側の積極的な行動によって表明されなければならないが、拒否は沈黙から推論され得ると述べている、したがって、ユーザーの拒否の表明は、ユーザー側のアクションを必要としないか、同意を表明するためのアクションと同程度の簡便さで表明できるものでなければならない。
「これは、ユーザーが何もしないのであればそれは拒否と見なせるし、1回のクリックで同意できるのであれば拒否も1回のクリックでできるようにしなければならない、と読み取れます」(太田)
今回の罰則や是正の命令に対してグーグルやフェイスブックがどのように応じるのか。注目したいと思います。