Google(グーグル)は英国最高裁で集団訴訟形式のプライバシー訴訟上訴審で勝訴した。もし敗訴していたら、最大30億ポンド(約4602億円)の罰金が課せられるところだった。
この長期に渡る訴訟は老練の消費者権限活動家Richard Lloyd(リチャード・ロイド)氏が起こしたものだ。同氏は2017年以来、グーグルがApple(アップル)のSafariのプライバシー保護設定を回避して、2011~2012年の間にSafariブラウザーのiPhoneユーザーのプイバシー設定を上書きしていたとして、400万人を超えると推定される英国のiPhoneユーザーのプライバシー侵害に対する補償を求めて集団訴訟裁判を戦ってきた。
ロイド氏の訴訟はプライバシー被害の損害賠償を求めて起こされたものだが、より広い意味では、データ保護違反の損害賠償を求めて英国で代表訴訟を起こせるようにしたいと考えてのことだ。英国の法律では一般に集団訴訟を起こすための体制が確立されていない。
2018年、高等法院はこの訴訟の審理停止を言い渡したが、翌2019年、控訴院はその判決を覆し、審理の継続を許可した。
しかし、今回、最高裁判決では、全会一致で、高等法院の見解は基本的に覆され、集団訴訟は停止された。
最高裁判事は、賠償を請求するには損害 / 損失を被っている必要があり、個人ベースでの損害 / 損失を証明する必要性を省略することはできないという考え方を示した。つまり、代表集団の個々人の個人データの「コントロールの喪失」について、ロイド氏の訴訟で要求されてきたように一律に補償を行うことはできないということだ。
「こうした事項を証明できなければ、損害請求によって賠償金を獲得することはできない」と最高裁は自身の判決について記述している。
この判決はトラッキング業界に対する集団訴訟を起こすことができるようにしたいという英国運動家の望みに大きな打撃を与えた。
グーグルがこの訴訟に負けていたら、プライバシー違反に対するより多くの代表訴訟への門戸が開いていたことだろう。しかし、グーグル勝訴したことで、近年、商業訴訟資金提供者を惹き付けてきた、データマイニングテック大手を相手取った英国の集団訴訟の動きに水を差すことになるだろう。
関連記事:オラクルとセールスフォースのCookie追跡がGDPR違反の集団訴訟に発展
今回の判決を受けてBLMという法律事務所は次のように書いている。「今回の結果は、大量のデータを処理したり、個人データの利用にビジネスモデルの基盤を置いているグーグルやその他の企業(およびそうした企業の株主や保険業者)にとってうれしい知らせとなるでしょう」。
別のLinklaters LLPという法律事務所は、この判決を「データ漏洩領域における損害で新しいオプトアウト体制を作り上げようとしてきた原告の法律事務所や資金提供者には大きな痛手」と評している。
「判決後にたくさんの似たような訴訟が起こると期待していましたが、それも消えてなくなりました」とLinklatersの紛争解決パートナーHarriet Ellis(ハリエット・エリス)氏は付け加えた。「原告の法律事務所は今回の判決を慎重に見直して、それでもまだオプトアウト集団訴訟を戦える可能性が残されていないか調べていますが、かなり難しいようです」。
TechCrunchは前回ロイド氏の代理人を引き受けた法律事務所Mishcon de Reya(ミシュコンデレイヤ)に連絡し、コメントを求めた。同事務所によると、この件に関しては前回ロイド氏の代理人を務めたものの、最高裁訴訟では代理人の務めを果たしていなかったという。
同事務所のデータ実務責任者Adam Rose(アダム・ローズ)氏は次のように付け加えた。「被告が勝訴したものの、今回の判決でデータ保護違反の補償請求が終わりを告げると判断するのは時期尚早だと思います」。
「最高裁はグーグル側の主張を支持したものの、この判決は主に、現在は廃止された1998年データ保護法のもとでこうした訴訟を起こす法的メカニズムに関して判断を下したもので、データ保護法の包括的な権利と原則を否定するものではありません。つまり、まだ説得力ある議論を行う余地は間違いなく残されています。とりわけ、新しい英国GDPRの枠組みのもとでは、特定の集団訴訟の審理が認められていますし、データ保護法違反で補償が適切と認められるケースはあると思います」とローズ氏はいい、次のように付け加えた。「今回の判決でバトンは議会と情報コミッショナーに渡された形になります」。
「議会では、データ保護法のもとでオプトアウト訴訟をより簡単に起こせるようにするには法律が必要だということになるかもしれません。情報コミッショナーの立場からすると、故意かつ大規模なデータ保護法違反に対する断固たる強制行動と、データ主体に対して効果的な司法救済を与えることが早急に必要とされています。これは英国GDPRと現行のデータ保護フレームワークで約束されていることです」。
グーグルは今回の最高裁判決を受けて、裁判の詳細に関する考察は避け、次のようにコメントするだけに留めている。
この訴訟は、10年前に起こり当時当社が対処した出来事に関連するものです。人々はオンライン上でも安全かつセキュアでいたいと思っています。我々が人々のプライバシーを尊重し保護する製品とインフラストラクチャを構築することを長年重視してきたのもそうした理由からです。
グーグルの広報担当はtechUK事業者団体によって出された声明も提示した。同団体は、今回の訴訟でグーグル支持の立場で仲裁に入り、今回の判決について次のようにコメントしている。「今回の上訴が棄却されていたら、膨大なデータを操作するデータコントローラー企業に対して思惑的にいやがらせで訴訟を起こす扉が開かれることになり、民間企業、公的機関の双方に広範な影響が出ていたでしょう」。
techUKはさらに次のように続ける。「我々は代表訴訟に反対するものではありませんが、訴訟を起こすのであれば、まず、データ侵害の結果として個人に損害がもたらされたかどうかを明確にする必要があります。補償請求はその後です」。
ただし、最高裁の判事は「オプトイン」(オプトアウトではない)訴訟の裁判費用について、1人当たりの補償額が数百ポンド(数万円)にしかならない場合、裁判に持ち込むメリットがまったくなくなってしまう(ロイド訴訟では提示額は1人あたり750ポンドだった)と指摘している。というのは、原告1人あたりの裁判費用が補償額を容易に上回ってしまう可能性があるからだ、と指摘している。
はっきりいうと、techUKは、ほぼすべてのデータ侵害に対して代表訴訟を起こすことに反対の立場をとっている。
一方、英国のデータ保護監視機関は、データマイニングアドテック産業に対する法執行についてはまったく消極的だ。2019年以来、ICO(プライバシー監視機関)が違法トラッキングのまん延について警告しているにもかかわらずだ。
英国政府は現在、国内のデータ保護体制の弱体化対策に取り組んでいる。
このように、英国の法律に記載されている平均的な英国市民のプライバシーの権利は、今かなりあいまいになっている。
米国では、グーグルは10年前、SafariのCookieトラッキング問題についてFTCと同意し、Safariのプライバシー設定を迂回して消費者にターゲット広告を配信したことについて、2012年に2250万ドルの罰金を支払うことに合意した(ただし、不正行為については認めなかった)。
人権グループも、今回の最高裁判決を受けて、政府に集団的回復の法制化求めた。
Open Rights Groupの事務局長Jim Killock(ジム・キロック)氏は次のように語った。「市民が大規模なデータ侵害に対して、家を手放すリスクを負うことも、情報保護監督機関のみに依存することもなく、回復を求める手段があってしかるべきです」。
ICOはすべてのケースに対応できるわけではなく、ときには、対応を渋ることもあります。我々は2年間にわたって、ICOが違法行為を認めているアドテック業界に対する対策を待ち続けてきました。しかし、対策が実施される様子はありません」。
「このようなケースで法廷費用を支払うために家を手放すリスクを負うのはまったく不合理です。しかし、集団訴訟ができなければ、残された道はそれしかありません。多くの場合、テック大手相手にデータ保護を実施するのは極めて困難です」。
「政府は約束を守り、GDPRのもとでの集団訴訟の実施を検討すべきです。しかし、政府は2月に、ロイドvs.グーグル訴訟で既存のルールのもとでも回復は可能であることが示されたという理由で、集団訴訟の実施を明確に拒否しました」。
画像クレジット:Chesnot/Getty Images / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)
