Apple(アップル)、Facebook(フェイスブック)、Google(グーグル)、LinkedIn(リンクトイン)、TikTok(ティックトック)、Twitter(ツイッター)など、EU経済圏に存在する多数のテック大手を担当する主任データ監督者が、EUの重要規制である一般データ保護規則(GDPR)に基づいて申し立てられた苦情や調査の管理に今でもLotus Notes(ロータスノーツ)を使っていることが、Irish Council for Civil Liberties(ICCL)によって行われた情報公開請求によって判明した。
アイルランドのデータ保護委員会(Data Protection Commission:DPC)の2016年の年次報告書には、GDPR(およびePrivacy)の準備段階における主な目標の1つとして「新しいウェブサイトとケース管理システムの実装」をGDPRが施行される2018年5月までに完了することと記載されている。ところが、ICCLの情報公開申請に対する回答によると、5年近く経過した今でも、この情報通信技術のアップグレードプロジェクトは完了していないという。
アイルランドのデータ保護委員会スタッフは、世界最大手のテック企業に対する調査でLotus Notesを使用している。ICCL @ICCLtweetの調査により、@DPCIrelandがGDPRを執行できるようにするための情報通信技術の全面的な見直しが数年遅れていることが判明した。
内部文書(現在は公開されている)によるとプロジェクトの締め切り遅れは何度も繰り返され、2020年の10月までには、DPCの情報通信技術のアップグレード費用は当初の予定の2倍以上、少なくとも61万5121ユーロ(約7890万円)にまで膨らんでしまった(この数字には2016年以降のプロジェクトの人件費は含まれていない。また、アイルランド政府の司法省で生まれた時代遅れのLotus Notesシステムの保守費用も含まれていない)。
欧州の大半のテック大手を担当する主任データ監督者が、このような「前世代」のソフトウェアを使用して申し立てを処理しているという事実が判明したことで、DPCはかなり恥ずかしい思いをしているが、それだけではない。DPCの上層部の能力も疑問視されている。
DPCはテック大手に対する規制執行のペースが遅いという批判を浴び続けているが、それとGDPRのワンストップショップメカニズム(1国のデータ保護機関から承認を得れば他国の当局からの承認は不要となる制度)が相まって、膨大な数の未処理ケースが溜まっており、それがGDPRの弱点になっている(この点は欧州委員会も認めている)。そのため、自身の情報通信技術システムのテコ入れに時間がかかり過ぎているという事実が判明したことにより、規制当局が目的を果たしていないという批判はいっそう強くなるだろう。
問題はそれだけに留まらない。大半のテック大手は人々のデータから莫大な利益を獲得し、その利益で大勢の社内弁護士を雇い、規制介入されるリスクから自身を保護している。そうしたテック大手と、適切な最新ツールもなしにユーザーの権利を保護するという責務を課された、ちっぽけな資金不足の公的機関の間には、資金的にも技術専門知識という点でも大きな開きがある。
アイルランドのDPCの場合、内部の情報通信技術の全面改革にどれくらいの時間を要するかによって、リソースの管理状況に注目が集まる。2015年あたりから、GDPRの施行に合わせてDPCに割り当てられるリソースが増え、予算と人員が補強されている状況ではなおさらだ。
ICCLはアイルランド政府に対し、検査官の2人増員を検討するよう要請している。現在の検査官は、2014年に就任したHelen Dixon(ヘレン・ディクソン)氏1人だけだ。
ちなみに、アイルランドの法律では検査官を3人まで任命できる。
「FacebookとGoogleが我々ユーザーについて知っている情報を乱用しないよう監視する役割を担っている人たちが、あまりに時代遅れのシステムを使用しているので、前スタッフの1人が『そろばんを使って給与支払い処理をやろうとしているようなものだ』と言っていた」と、ICCLのシニアフェローJohnny Ryan(ジョニー・ライアン)博士はTechCrunchの取材に答えて語った。
「DPCは、テック大手の監視という使命を遂行する体制が整っていない」と同氏は指摘する。「今回の調査結果から、DPCは、自組織内の極めて重要なテクノロジープロジェクトさえ実施できていないという事実が明らかになった。そのような組織が、世界最大手のテック企業によるユーザーデータの使用を監視することなどできるだろうか。これはDPCだけでなくアイルランド政府についても深刻な問題を提起している。我々はアイルランド政府に対してGDPRを実施できない場合の戦略的経済リスクについて警告した」。
DPCにコメントを求めたところ「ケース管理システムは機能しており、目的に適ったものだ。このシステムは過去数年にわたって新しい機能(統計や管理レポートの生成機能など)が追加され最適化されてきた」という回答があった。
だが、このシステムは「時代遅れ」で「機能的にも制限されている」ため、新しいDPCウェブサイト、ウェブフォーム、およびEUデータ保護機関とのIMI(情報システム管理)共有プラットフォームに組み込んで使えるようにするため、どの程度まで改良できるかという点については、DPCも簡単ではないと認めている。何しろ、このシステムはLotus Notesのテクノロジーをベースにしているのだ。
「システムの仕様とコアモジュールの構築についてはかなりの作業が終わっている」と副長官のGraham Doyle(グラハム・ドイル)氏はいう。「一部遅れが生じているのは、セキュリティとインフラストラクチャ要素の仕様が更新されたためだ。他にも、DPCからの要請を受けて、EU各国のDPA(データ保護機関)の間における最終判定プロセスの相違の解消に必要な時間を考慮し、作業を意図的に遅らせている要素もある。そうしたプロセスには、GDPRの第60条に述べられている、異なる監督機関の間における協力と一貫性に関するメカニズムに関連したものなども該当する」。
「EDPB(欧州データ保護会議)はGDPRの第60条の運用化、さらには第65条に基づく紛争解決の仕組みの運用化に関する内部ガイダンスの作成に取りかかったばかりだ。これらは、EU各国のDPA間をまたいだ作業の重要な部分であり、システム間のハンドオフ(受け渡し)が必要になる。また、EUは当初の採択予定からほぼ3年経過しても、新しいePrivacy法をまだ採択していない。さらに、DPCは、EU各国のDPAと協力して、GDPRの手続き面と運用面の詳細な実施方法について検討を進めている段階であり、未解決事項もまだ残っている」。
ドイル氏は次のように付け加えた。「新しいケース管理システムに対する投資も継続中だ。新しいシステムの『初期コアモジュール』を2021年の第2四半期にはリリースしたいというのがDPCの意向だ」。
今までのところ、アイルランドのDPCが国境を越えたGDPR申し立てに対して下した判定は、Twitterが2019年1月に公表したセキュリティ侵害について、2020年の12月、同社に55万ドル(約5790万円)の罰金を課した1件だけだ。
このTwitterのケースは、最初の規制執行を巡ってアイルランドと他のEU諸国のDPAとで意見の相違があったため、決定プロセスが数カ月延びることになり、DPCが提示した罰金は最終的に、多数決により最大で数千ユーロ増額されることになった。
このケースへの対応は決して順風満帆ではなかったが、Facebookによる国境越えデータ転送に関する別の(2013年の)申し立て(Schrems II)の審理に、GDPRの施行前から始まって7年以上を要していることを考えると、比較的短期間で解決に至ったといえる。
Facebookの件では、DPCは、Facebookが標準契約条項(Standard contractual clauses:SCC)を根拠に、自らのデータ転送が合法だと主張する申し立てに対して判断を下すのではなく、データ転送のメカニズム自体の合法性を疑問視して法廷で争う選択をした。この件はその後、欧州司法裁判所に送られ、EU最高裁は最終的に、EUと米国間で締結された重要なデータ転送協定を無効とする判断を下した。
法廷での争いに持ち込んだ結果、EUと米国間で締結されたPrivacy Shield(米国への個人データの越境移転を認める法的枠組み)は無効とされたものの、DPCはFacebookによるEUからのデータ転送に関する問題から手を引いたわけではない。2020年9月、DPCは予備一時停止命令を発行した。これに対しFacebookは司法審査を介して即刻控訴した(この審理は一時停止されている)。
2020年、DPCは自身のプロセスに対する司法審査(Facebookに対する告訴人、Max Schrems[マックス・シュレムズ]氏が申し立てたもの)に対して示談に応じ、Facebookに対する申し立てを迅速に決着させることに同意した。判定はまだ数カ月先だが、いよいよ2021年中には最終判定が下されるはずだ。
関連記事:フェイスブックのEU米国間データ転送問題の決着が近い
DPCは規制執行が遅いという非難に対して、法的な異議申し立てに対抗できるように適正な手続きを踏む必要があるとして自己弁護を図っている。
しかし、DPCに対する批判が続く中、自組織の重要な内部情報通信技術のアップグレードが、最優先事項であると明言してから5年近くもダラダラと長引いているという事実が判明するようでは、批判者を黙らせることなど到底できない。
先週、欧州議会の人権委員会はアイルランドに対して「GDPRを適切に執行していない」とする侵害訴訟を開始するようDPCに要請するドラフト動議を発行した。
同ドラフトには、GDPRは2018年5月に施行されているにもかかわらず、GDPR違反だとする多数の申し立てに対してアイルランドDPCは未だに決定を下していないとする「深い懸念」が記されている。
LIBE委員会は、Facebookによるデータ転送に関するケースSchrems IIを取り上げ「アイルランドデータ保護委員会はGDPR第58条に従って自らの権限の範囲内で申し立てに対する決定を下すことが本分である。しかし、このケースは同委員会自らによって開始された」ことを懸念していると書いている。
また、EU全般のプラットフォーム規制(デジタルサービス法とデジタルマーケット法)を更新する同委員会の最新の計画で、強制執行のボトルネックを回避する提案がされていることも注目に値する。具体的には、1つの加盟国の規制当局が要因で、欧州市民全体のデータ権利が国境を越えて執行できなくなるというリスクを避けるために(これはGDPRで実際に起こり続けていることだが)、テック最大手のプラットフォームに対する重大な規制執行はDPCの組織内で処理すべきだとほのめかしている。
もう1つ、アイルランドDPCには情報公開法が全面適用されず「DPCの一般管理」に関する記録についてのみ適用されるという奇妙な規定もある。つまり「監督、規制、専門家による助言、申し立て処理、調査といった各職務については(ケースファイルも含め)同法に基づく公開要請の対象から除外される」(DPCのウェブサイトより抜粋)ということだ。
2020年TechCrunchが実施した情報公開要請(DPCがGDPRの権限を行使してデータ処理の一時的または完全な禁止を課した回数を尋ねたもの)は、この奇妙な規定に基づいて規制当局により拒否された。
DPCによると、侵害を行っている企業に対して個人データの処理を中止するよう指示したことがあるかという問い合わせに対する回答を拒否したのは、情報公開法が部分的にしか適用されないという理由からだという。DPCは次のように述べている。「一般管理とは情報公開対象組織の管理に関係する記録、具体的には人事、給与、採用、アカウント、情報技術、設備、内部組織、事務手続きなどに関する記録を指す」。
しかし、たとえアイルランドの情報公開法によってDPCの活動の詳細な調査が禁止されていても、同規制当局の規制執行の記録がすべてを物語っている。
関連記事:GDPRの執行力強化を切望するEU消費者保護団体の報告書、プライバシー侵害の懸念
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)