ドイツ連邦情報監督機関はFacebook(フェイスブック)に対して遂に堪忍袋の尾が切れたようだ。
Facebookが継続的にデータ保護コンプライアンスに違反しており、同問題に対する修正も行っていないため、Ulrich Kelber(ウルリッヒ・ケルバー)氏は2021年6月、政府機関に対して、公式Facebookページを閉鎖するよう強く推奨すると書いている。
この書簡で、ケルバー氏は、各政府機関に対して、2022年1月より、強制執行を開始する意向だと警告しており、事実上2021年中にFacebookからページを削除するよう求めている。
したがって、今後数カ月で独政府機関の公式Facebookページは見られなくなると思ったほうがよい。
ケルバー氏自身の機関BfDiは、Facebookページを作成していないようだが(ただし、Facebookのアルゴリズムでは、存在しないページを検索するとこのような人工的なスタブが生成されるようだ)、ドイツの他の多くの連邦機関はFacebookページを作成している(例えば厚生省の公開ページのフォロワーは76万人以上にもなる)。
これらのページがクリスマスまでにFacebookのプラットフォームから消滅する(あるいは2022年初めにケルバー氏によってページ削除の命令を受ける)のを防ぐためには、Facebookが同社のプラットフォームの運営方法に関してこれまでにない大幅な変更を実施して、EUの法律を遵守する形でドイツでFacebookページを運用できるようにするしかないようだ。
しかし、Facebookには、長年に渡ってプライバシーやデータ保護関連の法律を無視してきたという悪い評判がある。
同社はごく最近も、ユーザーが利用可能な情報の質を低下させることがビジネス上の利益になるなら喜んでそうするという本性を表した(例えばオーストラリアのユーザーが証言しているように、メディアコード法に反対するロビー活動を行っている)。
関連記事
・フェイスブックが豪州ユーザーのニュースリンク共有・閲覧を禁止へ
・EU諸機関によるAWSとマイクロソフトの各クラウドサービス利用について同プライバシー責任者が調査を開始
このため、独の各政府機関は何も言わずにFacebookページを閉鎖することになりそうだ。
ケルバー氏によると、Facebookページは市民と連絡をとるための重要な方法であると各公的機関が主張しているため、各機関のFacebookページ削除の強制執行を行うのを避けてきたという。
とはいえ、同氏の書簡には、政府機関は法令順守の模範となる必要があるため、データ保護法を順守する「特別な義務」があると指摘されている(欧州データ保護監督庁[EDPS]も、EUの機関による米国クラウドサービス大手のサービス利用の見直しに際して、同じような方針を採っている)。
ケルバー氏の評価によると、Facebookが2019年に提示した「補遺」では法令違反の問題が是正されておらず、同社はページ運営者がEUの一般データ保護規則に規定されている要件を順守できるようにデータ処理業務を改善していないと結論づけている。
この点に関連して、2018年6月の欧州の最高裁判所の判決では、Facebookのファンページ(企業や有名人が作る、ファンとの交流ページ)の管理者も、ページ訪問者のデータの処理に関して、Facebookと共同責任を負うべきだと考えている。
つまり、こうしたページの運営者もデータ保護法順守の義務に直面しており、Facebookの利用規約によって、同社が行うデータ処理に関してページ運営者が法的に擁護されると単純に考えることはできないということだ。
問題は、簡潔にいうと、Facebookはページ運営者に、ユーザーデータの処理方法に関して十分な情報と保証を提供していないという点にある。このため、ページ運営者は、Facebookページのフォロワーに、彼らの個人データがどのように処理されているのかを十分に伝えることができず、そのためGDPRの説明責任と透明性の原則に準拠することができない。
しかも、Facebookページの運営者には、ページフォロワーの個人データのFacebookによる利用を無効にする(またはブロックする)方法も用意されていない。ページ運営者が、Facebookによって提供されている分析機能をまったく使用していないくても、である。
いずれにしてもFacebookによるユーザーデータの利用は行われるのだ。
これは、Facebookが、広告ターゲット絞り込みエンジンにデータを与えるために、交渉の余地のない「データ最大化」モデルに基づいて運営されているからだ。
関連記事:GDPR施行、「同意の強制」でさっそくFacebookとGoogleに対し初の提訴
しかし、このアプローチは裏目に出る可能性がある。主要サービスをFacebookのプラットフォームから他社プラットフォームへ移行するという大きな動きがあるため、Facebookのネットワークで利用可能な情報の質が永久に低下してしまう可能性があるからだ。実際、EUのすべての政府機関はFacebookページを削除している。
この件に関するBfDiウェブサイトのブログ投稿では、Facebookがもたらした法令遵守の空白状態から「データ保護順守型ソーシャルネットワーク」が生まれる可能性に期待を寄せている。
当然、ユーザーの権利に基づくサービスを販売しようとする代替プラットフォームには競争の機会がもたらされるだろう。
ドイル連邦厚生省の公式Facebookページ(画像クレジット:TechCrunch / Natasha Lomas)
BfDi(ドイツ連邦共和国データ保護機関)の介入に関して、オスロにあるResearch Center for Computers and Law(コンピューターと法律に関するノルウェー研究センター)の主任研究員Luca Tosoni(ルカ・トソニ)氏はTechCrunchに次のように語った。「こうした法令遵守型SNSの誕生は、共同管理権に関する最近のCJEU(欧州連合司法裁判所)の判例法と密接な関係があります。同判例法では、ページの訪問者の個人データの処理に関して、Facebookページの管理者はFacebookの共同管理者とみなされるべきであるとする、欧州で事業展開するビジネスアカデミー「Wirtschaftsakademie」の判例を考慮しています」。
「これは、ページ管理者とFacebookが、Facebookページへのユーザーのアクセスに紐付いたデータ処理行為のすべての段階について平等に責任を負うという意味ではありません。ただし、両者は、役割と責任の明確な分担について同意している必要があります。ドイツのデータ保護と情報の自由に関する連邦監督機関によると、Facebookの現在のデータ保護『補遺』は、後者の要件を満たすには不十分であるように思われます」。
「CJEUが、Fashion ID判例で、共同管理者のGDPR遵守義務は、彼らが管理を行使するデータ処理ステージに見合ったものであるべきという見方をしていることは注目に値します」とトソニ氏は付け加えた。「つまり、Facebookページ管理者のデータ保護義務は通常、極めて限定的なものになる傾向があるということです」。
その他のソーシャルメディアサービスに対する警鐘
この法令遵守の問題はドイツのFacebookに影響を及ぼしており、その他のEU市場にも影響を及ぼす可能性がある。Facebook以外のソーシャルメディアサービスも同様の問題に直面する可能性がある。
例えばケルバー氏の書簡では、Instagram(インスタグラム)、TikTok(ティクトック)、Clubhouse(クラブハウス)についても継続的に監査を行うことを強調しており、これらの企業が提供しているデータ保護レベルの欠点について警鐘を鳴らしている。
また、同氏は、政府機関がビジネスデバイス上で使用を避けるべき3つのアプリも挙げている。
政府機関によるソーシャルメディアサービスの利用に関する2019年の評価では、BfDiは、Twitterの使用は対照的にデータ保護規則を遵守している可能性があることを示唆した。ただし、少なくとも、プライバシー設定をすべて有効にして分析を無効にした場合という条件付きではあるが。
当時、BfDiはFacebook所有のインスタグラムもFacebookと同様の法令違反の問題に直面しており、グループ全体で同意に対する強権的なアプローチをとっていると警告している。
ケルバー氏が提示した最新の推奨事項に対してFacebookにコメントを求めたところ、同社は特定の質問に答えることはせず、代わりに次のような包括的な回答を返してきた。
「2019年末に、当社はPage Insights補遺を更新し、データ処理の透明性に関する質問を考慮して、Facebookとページ管理者の責任を明確にしました。当社にとって、連邦機関がFacebookページを通じて当社プラットフォームを利用している市民とプライバシーを遵守した形で連絡をとることができるようにすることは重要です」。
CJEUによる2020年夏のSchrems II判決の後、法的に不確定な状態が続いたため、Facebookにとって事態は複雑化の度を増すことになった。
企業が自社のデータ保護レベルが十分であると自己証明できるとする、EU米国間のプライバシーシールド協定を欧州の最高司法府が無効としたため、EUユーザーの個人データを米国に転送する最も簡単な経路が削除された。裁判所は、EUユーザーの個人データの国外転送を完全に違法としたわけではないが、情報が危険にさらされる場所に、または危険にさらされるような方法で転送されている疑いがある場合、データ保護局は、データフローに介入して停止する必要があることを明確化した。
Schrems II判決の後、米国への転送は明らかに問題があるとされるようになった。米国では、FISA 702の対象となる米国企業(Facebookなど)によってデータが処理されているからだ。
実際、FacebookのEU米国間データ転送はSchrems II裁判の原告の当初の攻撃目標だった(Max Schrems[マックス・シュレムス]氏の自身の名前を冠した文書による)。EUのFacebook担当主任データ保護監督官が2020年の同社に対する仮命令を継続して、対EUデータフローを停止すべきかどうかの判断は今後数カ月の間に下される予定だ。
関連記事:フェイスブックのEU米国間データ転送問題の決着が近い
アイルランドで長きに渡って期待されている決着に先立って、他のEU DPAは一歩踏み出して具体的な措置を開始しており、ケルバー氏の書簡では、もう1つの懸念事項としてSchrems II判決に触れている。
トソニ氏は、 GDPRの執行部隊が遂に本腰を入れていることに同意する。と同時に同氏は、Schrems II判決に準拠するといっても、各データフローをケースごとに評価する必要があることを踏まえ、さまざまな微妙な違いがあることを示唆し、管理者が適用可能な補助的手段も幅広いことを指摘した。
「こうした展開は、欧州のデータ保護当局が、Schrems II判決でのCJEUの解釈に基づいてGDPRデータ転送要件を強制執行することについて真剣に検討していることも示しています。独のデータ保護と情報の自由に関する連邦監督機関はこの点をもう1つの課題として挙げています」と同氏はいう。
「ただし、独連邦監督官がFacebookページの使用についての書簡を送付した数日後に、EDPB(欧州データ保護会議)は、CJEUのSchrems II判決に従って、異国間データ転送の補助的手段に関する推奨事項の最終版を採択しています。このため、独のデータ保護当局がこれらの新しい推奨事項を、独公的機関のFacebookページがGDPRに準拠しているかどうかの今後の判断で検討するかどうかはまだわかりません」。
関連記事:EUが第三国へのデータ移転に関する最終ガイダンスを発表
「このような推奨事項によって米国に対するデータ転送の全面禁止が確立されることはありませんが、厳しい制限措置が課されることになり、Facebookページに対するドイツ人訪問者の個人データの米国への転送を継続するには、この制限に従うことが求められることになります」。
CJEUによる最近のもう1つの判断では、EUのデータ保護機関は、GDPRのワンストップショップメカニズムの下では特定の企業のデータ監督機関ではない場合でも、状況に応じて、措置を講じることができるとしている。これにより、あるメンバー国の機関が緊急に対策を講じる必要があると確信した場合は、そのメンバー国の監督機関によって訴訟が起こされる可能性が大きくなる。
とはいえ、独政府機関によるFacebookページの使用に関して、共同監督権に関するCJEUの以前の判決では、これらの機関のFacebookページは、BfDiの明確な管轄対象であるという判断がすでに下されている。
画像クレジット:Jakub Porzycki/NurPhoto / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)