【データ法】"consent or pay"モデル#2 ーEDPBのガイダンスー
こんにちは。
お読みいただきありがとうございます。
本日のテーマは、"consent or pay"モデル(以下「c/pモデル」)です。タイトルに「#2」が付いているとおり、続きものです。
前回のエントリーで触れていた、c/pモデルの有効性に関する、欧州データ会議(EDPB)の意見(以下「本件意見」)が2024年4月17日付で出されました。PDF版はこちら。
そこで、本日は、本件意見について、まとめてみたいと思います。
今回のエントリーでは、c/pモデルが問題視されるに至った背景や問題点については、前回説明したため省略したいと思います。何かの理由でいきなりここにたどり着いた方には、前回からお読みいただければと思います。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
本件意見の意義
中身に入る前に、本件意見が実務に及ぼす影響について、改めて確認したいと思います。
本件意見は、EU加盟国にまたがって影響をもたらすGDPR上の事項について、GPDR Art 64(2)に基づき、各加盟国の当局の親玉的存在であるEDPBが、見解を示すものです。本件意見は、法的拘束力を持つものではありません。
しかし、各加盟国の当局は、本件意見を踏まえて行動します。そのため、事業者が本件意見に反するような個人データの処理を行っていれば、各加盟国は、その事業者に対して法的措置を行うことを検討するはずです。
その意味で、本件意見は、EU加盟国全域に及ぼす非常に重要なものです。
事業者は、もし本件意見の内容にそぐわないビジネスをEUのマーケットで実施している場合には、修正を迫られることになります。特に、本件意見は、Meta社のc/pモデルを念頭において出されたものであり、FacebookとInstagramは、近々に本件意見への対応を迫られるものと思われます。
本件意見の射程
本件意見が一体、「誰の」、「何に」ついて述べられたのかを明らかにすることは重要です。
この点については、以下のように述べられています。
これによれば、本件意見に注意を払わなけれいけない主体は、大規模オンラインプラットフォームを運営する事業者であり、注意を払う対象は、行動ターゲティング広告を目的とした個人データの処理に関するc/pモデルを用いて得られた同意の有効性ということになります。
もし、本件意見に沿わない運用をしていると、同意が無効とされてGDPR違反を構成するということですね。
大規模オンラインプラットフォームとは?
ここで気になるのは、「大規模オンラインプラットフォーム」の定義だと思います。ご承知のとおり、GDPRには、この定義はありません。
本件意見では、残念ながら定量的な指標は示されておらず、大規模オンラインプラットフォームとなり得る要素が示されているにとどまります。何とも歯がゆいですが、以下の点が述べられています。
まず、「オンラインプラットフォーム」ですが、EU Digital Services Act(以下「DSA」)に定義があり、本件意見にいうオンラインプラットフォームを含む概念であると説明しています(*2)。
ここでは、詳しく論じませんが、概ね皆さんがイメージするオンラインプラットフォームと変わりません。SNSや、オンラインマーケットプレイスが代表例です。
次に、「大規模」オンラインプラットフォームとは、どのようなものを指すのでしょうか。本件意見は、次の要素を挙げています(*3)。
③の点については、データ量、処理活動の地理的範囲などにより判断されます。また、GDPR Art 37(1)(b)-(c)における「大規模」と関連付けて考えることができるとともに、いわゆる29条作業部会のガイドラインも参考になります。どの資料を見ればよいかは、本件意見の注釈23を確認してみてください。
加えて、本件意見では、DSAにおける超大規模オンラインプラットフォーム(VLOP)や、EU Digital Market Actにおける「ゲートキーパー」が、本件意見における大規模プラットフォームに含まれうることに言及しています。したがって、こちらのVLOPのリストに載っているオンラインプラットフォームは、少なくとも本件意見の対象となっていると考えて良さそうです。
なお、こちらでDSAについて解説していますので、良ければご覧ください。
本件意見は、大規模でないオンラインプラットフォームには関係ないのか?
確かに、本件意見は、大規模オンラインプラットフォーマーに向けたものです。しかし、EDPBは、本件意見の一部は、c/pモデルにおける同意の取得に関して、より一般的に有用である可能性があると述べています。
実際問題として、各国当局がまず執行のターゲットにするのは、大規模オンラインプラットフォーマーだと思われます。FacebookやInstagramなどを差し置いて、よりマイナーなプラットフォーマーがやり玉にあがる可能性は低いです。
しかしながら、c/pモデルの一般的な問題点を把握しておくことは、プラットフォーマーにとって不可欠ですし、ユーザーの信頼を得つつビジネスを拡大していくには、ユーザーのデータプライバシーの尊重は重要な問題です。
したがって、大規模でないオンラインプラットフォームを運営する事業者としても、対岸の火事と捉えるのではなく、もしc/pモデルを採用しているのであれば、当局の執行状況を注視していくべきだと思われます。
「行動ターゲティング広告」に関するc/pモデルを対象にしている
本件意見書は、c/pモデルを「管理者が提供するオンラインサービスへのアクセスを得るために、データ主体が少なくとも2つの選択肢の中から選択できるよう提供するモデル」と広く定義する一方で、本件意見書は、行動ターゲティング広告を目的とした個人データの処理の同意に関するc/pモデルを対象とすると述べています。
なぜ広告一般ではなく、行動ターゲティング広告のための個人データの処理に関するc/pモデルに焦点が当てられたのかというと、きっかけとなったMeta社のc/pモデルがこの類型であったということもありますが、何より、EDPBが、行動ターゲティング広告を、特にプライバシーに侵入的な広告形態であると考えている(*4)からだと解されます。
前回のエントリーでは、この点を強調せずに、広告一般のc/pモデルについて論じていたと思いますので、ご注意いただければと思います。
c/pモデルの下で有効な同意を得るためには?
本件意見が出されるに当たってEDPBが検討した事項や理論構成は、もちろん重要なのですが、実務家が気になるのは、結局、何を守ればOKなのかというところだと思います。
本件意見では、行動ターゲティング広告に関連するc/pモデルの下で得られた同意は、次の事項を証明できる場合に限り、有効とされています(*5)。
お気づきのとおり、GDPR Art 4(11)が定める同意の4要件ですね。本件意見では、各要件に関して詳細に検討が加えられていますが、重要なのは、①の要件だと思います。c/pモデルがデータ主体の意思決定を歪める恐れがあるゆえに問題視されていることを考えれば、当然の流れでしょうか。本件意見の中でも、特に紙幅を割いて論じられています。
そこで、以下では、c/pモデルの下で取得された同意が「自由に与えられたもの」であるか否かの判断要素として論じられた事項を見ていきます。
不同意の結果として被る不利益:ネットワーク効果とロックイン効果
EDPBは、ユーザーが同意を与えなかった場合の不利益について言及しています。ここでいう不利益として主眼におかれているのは、データ主体が同意をすることも料金を支払うこともせず、その結果、サービスの利用ができなくなるということです。
このような不利益は、特にサービスが重要な役割を担っていたり、社会生活への参加や職業上のネットワークへのアクセスにとって決定的であったりする場合、更に増大すると述べられています。
この点に関して、EDPBは、ロックイン効果とネットワーク効果に着目しています。どちらの用語も本件意見では定義されていませんが、ぼくは次のように理解しています。
ロックイン効果とは、日本語でいうと「囲い込み」に近いでしょうか。他者へのサービスの乗り換えを困難にすることでユーザーを維持するビジネス手法であり、本件意見の文脈では、サービスへのアクセスを失うことで、ユーザーがプラットフォーム上で築き上げてきたコンテンツ(投稿、ブックマーク、連絡リスト、他のユーザーとのやり取り)が利用できなくなることや、フォロワーの喪失を招くことは、重大な不利益であるとしています。
また、ネットワーク効果に関して、EDPBは、当該プラットフォームがユーザーの社会生活にとって重要なコミュニティの交流スペースとなっているような場合に、他のユーザーを説得して共に別のプラットフォームに移ることが困難であるため、結果としてユーザーは、そのコミュニティで交流ができなくなるという不利益を被ることになると指摘します。
これらの効果が認められるような場合には、c/pモデルの下で得られた同意は、「自由に得られたもの」とされない可能性が高くなります。
プラットフォーマーとユーザーの間の力の不均衡
EDPBは、プラットフォーマー(管理者)とユーザー(データ主体)の間の力関係にも注目しています。当然ながら、ユーザーの地位がアンバランスに弱いときに、同意が無効とされる方向に働きます。この点は、GDPRのリサイタル43項でも言及されているところですね。
両者の力関係を判断する際の要素としては、まず、市場におけるプラットフォーマーの地位が挙げられます。つまり、市場シェアが高かったり、他の事業者の参入や拡大に対する障壁が認められるか否かです。
次に、EDPBは、ユーザーの依存度も関係していると述べています。なお、上記で説明したユーザーの不利益に関しても依存度の話が出てきているところ、それぞれで論じられている「依存度」は果たして同じものなのか、ちょっと整理できていません。
第三に、プラットフォームの対象ユーザーも考慮要素となります。例えば、子どもが主なユーザーの場合が挙げられています。GDPR Art 8によれば、一定年齢未満の子どもがデータ主体となる場合には、当該子どもではなく親が同意することを定めていることから、ここでいう子供とは、一定年齢以上の子どものことを指しているのかもしれません。
同等の代替案の提供
EDPBは、プラットフォーマーが、行動ターゲティング広告のための個人データの処理を伴わない代替バージョンのサービス(以下「同等の代替案」)についても言及しています。
その例として、コンテクスト広告、一般広告、又はデータ主体が関心のあるトピックのリストから選択したものに基づく広告が挙げられています。
EDPBは、代替案が、行動ターゲティング広告のために個人データを処理できない結果として必要な範囲でのみ異なる場合、原則として同等の代替案とみなすことができると説明します。
同等の代替案は、必ずしも無料でなくとも良いようですが、無料で提供することができないかを検討する必要があると述べられています(*6)。
同等の代替案が提供される場合、プラットフォーマーは、同意が自由に与えられたものであることを証明しやすくなります。
手数料
EDPBは、手数料に対してもコメントしています。
具体的には、(手数料が不釣り合いに高額であり)ユーザーの選択を阻害したり同意の提供を誘導するようなものであることが無いようにする必要があります。
また、EDPBは、金銭的に余裕のあるユーザーのみがデータ保護に関する権利を享受できるようなサービスになることを懸念しています。つまり、どの階層のユーザーも、ターゲティング広告が表示されないという利益を享受できるよう、金銭に余裕のないユーザーにとって負担とならないような価格設定にする必要があるということだと思われます。
もっとも、EDPBは、定量的な基準を示しておらず、「どの程度が適切であるかについて、ケースバイケースで評価しなければならない」と述べています。本件意見への対応が求められるであろうFacebookやInstagramが現在の月額12.99ユーロ(ウェブ版では9.99ユーロ)から、どのような価格設定に移行するのか、見ものですね。
まとめ
いかがだったでしょうか。
本日は、昨今議論を巻き起こしている"consent or pay"モデルについて、事業者にとって重要な指針となり得るEDPBの意見について取り上げました。
次のようにまとめます。
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 Para 14 and 30。リーダビリティのために、二つのパラグラフの記載をミックスして和訳しています。正しい書きぶりは、ぜひ、原文を確認されてください!
*2 Para 23 *3 Paras 25-27
*4 Para 21 *5 Para 182
*6 Paras 72-74
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。
この記事が気に入ったらサポートをしてみませんか?