【GDPR】EUによる日本の十分制認定と今後について（５）

第２回〜４回までの３回は、GDPRの導入の背景や仕組みについて、よくある誤解を少しでも解いて貰えればと思って書いてみました。

ただ、第４回の最後に書いた「本人同意は万能では無い」という点については、更なる誤解を招きかねないので補足しておきたいと思います。

「本人同意」が有効ではないとされた例として、今年1月にフランスが米グーグルに対して過去最大となる5,000万ユーロもの制裁金を課した件があります（グーグルは不服申し立て中で最終決定ではない）。

The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC | CNIL

日本での個人情報取り扱い上、必須とも言える本人同意の取り付けがGDPR上ではいったい何が問題となるのか、分かりやすい事例かと思いましたので、ここで取り上げてみたいと思います。

事例の概要

2019年1月21日、フランス情報保護当局（CNIL）が、アメリカのGoogle LLC（グーグル）に対し、個人情報の取扱方法を利用者に適切に伝えず、結果、必要な同意を取得していなかったとして、5,000万ユーロの制裁金を課す決定を下した。CNILによると、顧客がAndroidをOSに採用したスマートフォンを使ってGoogleアカウントを作成する際に提示される規約や通知が、GDPR及びフランスの個人情報保護法に、主に3つの点で違反したと認定した。

CNILが認定した3つの重大なGDPR違反とは

1. 透明性の欠如：
グーグルが提供している情報は、利用者が容易に入手できず理解することが出来るとはみなせない。
グーグルは、個人情報の利用方法（例えば個人情報を取り扱う目的、保存期間、広告のカスタマイズに使われる個人情報の分類）についてかなり詳細に利用者に通知していたものの、こうした情報があちこちの規約や通知に分散されており、利用者が詳細を知るにはボタンやリンクをクリックする必要があった。利用者が必要な情報に辿り着くのに5，6段階の操作を要する場合があり、これはGDPRの透明性原則に違反している。

2. 詳細かつ包括的な情報の欠如：
利用者に提供されている規約と通知が必ずしも明確ではなく、グーグルがどのように個人情報を利用するのか利用者が完全には理解できない。例えば、グーグルは個人情報を取り扱う目的や、それぞれの目的にどの範囲の個人情報が用いられるのかを必ずしも明確にしていない。また、広告のカスタマイズを行うための法的根拠は「利用者の同意」としているが、グーグルの権利保護のためではないという点を規約や通知で明確に説明していない。さらに、個人情報の保存期間についても、一部の個人情報についての保存期間のみを知らせて、他の個人情報については知らせていないなど、確実に通知していない。

3. 無効な同意：
グーグルは同意に依拠しようとしているが、同意は無効と認定される。その理由は、同意の対象が利用者に適切に示されておらず、個人情報が広告のカスタマイズにどのように利用されるのかの詳細が、複数の規約や通知に跨って記載されているからである。また、個人情報が広告に使われることが初期設定になっており、これを変更するには利用者がボタンをクリックして、予めチェックが入っている箇所からチェックを外さなければならない設計になっている。これでは利用者が積極的に利用に同意しているとはみなすことは出来ず、また同意が各目的ごとに取得されていたのではなく、１つの同意で複数の異なる個人情報の取扱い（広告のカスタマイズ、音声認識など）をカバーしている点も問題である。

以上を踏まえ、「グーグルによる情報取扱いが大規模かつ侵害的な性質を有し、フランスで多数の個人が影響を受けたことを考慮し、CNILは5,000万ユーロという記録的な制裁金を課す」との決定を下しました。それまでは、CNILが課した制裁金としては、2018年12月にUberに対して課した40万ユーロが最高額でした。

何故フランスでグーグルが訴えられることになったのか

本件の経緯ですが、2018年5月、GDPRの発効を待つようにして、プライバシー保護団体「None Of Your Business」及び「La Quadrature du Net」が約1万人の代理としてフランスの個人情報保護当局であるCNILに苦情を申し立てたことが発端とされています。

グーグルは欧州本社をアイルランドに設置しており、米国本社に対して法的措置を取るにしてもフランスに管轄権があるのかという問題があります。しかし、グーグルのアイルランド拠点は情報の取扱方法についての決定権を持っておらず、プライバシーポリシー上も「管理者（data controller）」と指定されていたわけではない為、GDPRのワンストップ・ショップ・ルールは適用されず、苦情を受理したフランスのCNILが直接対応することが可能と解釈されました。

結論：やはり同意は出来る限り取るべきではない

如何でしょうか？ある意味フランスによるグーグルに対する言い掛かりとでも言いたくなるような指摘の内容と制裁金のようにも思えますが、これがグローバル企業に対する彼等なりのやり方なのです。

少なくともGDPRでは、オンライン上での同意取得について、予めチェックを入れておくことを禁止しており、デフォルトでチェックがついているだけでもGDPR違反になるのだと言えます。

また、今回の事例からもわかるように、本人同意は、個人データ取扱い上の万能な法的根拠とはならず、むしろ同意には厳格な要件が課されていることから、多くの場合において最後の手段とされてみなすべきとされているのです。

（６）につづく