世界的テック企業とやり合うEUの主任データ監督者は未だにLotus Notesを使っているという驚きの事実

Apple(アップル)、Facebook(フェイスブック)、Google(グーグル)、LinkedIn(リンクトイン)、TikTok(ティックトック)、Twitter(ツイッター)など、EU経済圏に存在する多数のテック大手を担当する主任データ監督者が、EUの重要規制である一般データ保護規則(GDPR)に基づいて申し立てられた苦情や調査の管理に今でもLotus Notes(ロータスノーツ)を使っていることが、Irish Council for Civil Liberties(ICCL)によって行われた情報公開請求によって判明した。

アイルランドのデータ保護委員会(Data Protection Commission:DPC)の2016年の年次報告書には、GDPR(およびePrivacy)の準備段階における主な目標の1つとして「新しいウェブサイトとケース管理システムの実装」をGDPRが施行される2018年5月までに完了することと記載されている。ところが、ICCLの情報公開申請に対する回答によると、5年近く経過した今でも、この情報通信技術のアップグレードプロジェクトは完了していないという。

アイルランドのデータ保護委員会スタッフは、世界最大手のテック企業に対する調査でLotus Notesを使用している。ICCL @ICCLtweetの調査により、@DPCIrelandがGDPRを執行できるようにするための情報通信技術の全面的な見直しが数年遅れていることが判明した。

内部文書(現在は公開されている)によるとプロジェクトの締め切り遅れは何度も繰り返され、2020年の10月までには、DPCの情報通信技術のアップグレード費用は当初の予定の2倍以上、少なくとも61万5121ユーロ(約7890万円)にまで膨らんでしまった(この数字には2016年以降のプロジェクトの人件費は含まれていない。また、アイルランド政府の司法省で生まれた時代遅れのLotus Notesシステムの保守費用も含まれていない)。

欧州の大半のテック大手を担当する主任データ監督者が、このような「前世代」のソフトウェアを使用して申し立てを処理しているという事実が判明したことで、DPCはかなり恥ずかしい思いをしているが、それだけではない。DPCの上層部の能力も疑問視されている。

DPCはテック大手に対する規制執行のペースが遅いという批判を浴び続けているが、それとGDPRのワンストップショップメカニズム(1国のデータ保護機関から承認を得れば他国の当局からの承認は不要となる制度)が相まって、膨大な数の未処理ケースが溜まっており、それがGDPRの弱点になっている(この点は欧州委員会も認めている)。そのため、自身の情報通信技術システムのテコ入れに時間がかかり過ぎているという事実が判明したことにより、規制当局が目的を果たしていないという批判はいっそう強くなるだろう。

問題はそれだけに留まらない。大半のテック大手は人々のデータから莫大な利益を獲得し、その利益で大勢の社内弁護士を雇い、規制介入されるリスクから自身を保護している。そうしたテック大手と、適切な最新ツールもなしにユーザーの権利を保護するという責務を課された、ちっぽけな資金不足の公的機関の間には、資金的にも技術専門知識という点でも大きな開きがある。

アイルランドのDPCの場合、内部の情報通信技術の全面改革にどれくらいの時間を要するかによって、リソースの管理状況に注目が集まる。2015年あたりから、GDPRの施行に合わせてDPCに割り当てられるリソースが増え、予算と人員が補強されている状況ではなおさらだ。

ICCLはアイルランド政府に対し、検査官の2人増員を検討するよう要請している。現在の検査官は、2014年に就任したHelen Dixon(ヘレン・ディクソン)氏1人だけだ。

ちなみに、アイルランドの法律では検査官を3人まで任命できる。

「FacebookとGoogleが我々ユーザーについて知っている情報を乱用しないよう監視する役割を担っている人たちが、あまりに時代遅れのシステムを使用しているので、前スタッフの1人が『そろばんを使って給与支払い処理をやろうとしているようなものだ』と言っていた」と、ICCLのシニアフェローJohnny Ryan(ジョニー・ライアン)博士はTechCrunchの取材に答えて語った。

「DPCは、テック大手の監視という使命を遂行する体制が整っていない」と同氏は指摘する。「今回の調査結果から、DPCは、自組織内の極めて重要なテクノロジープロジェクトさえ実施できていないという事実が明らかになった。そのような組織が、世界最大手のテック企業によるユーザーデータの使用を監視することなどできるだろうか。これはDPCだけでなくアイルランド政府についても深刻な問題を提起している。我々はアイルランド政府に対してGDPRを実施できない場合の戦略的経済リスクについて警告した」。

DPCにコメントを求めたところ「ケース管理システムは機能しており、目的に適ったものだ。このシステムは過去数年にわたって新しい機能(統計や管理レポートの生成機能など)が追加され最適化されてきた」という回答があった。

だが、このシステムは「時代遅れ」で「機能的にも制限されている」ため、新しいDPCウェブサイト、ウェブフォーム、およびEUデータ保護機関とのIMI(情報システム管理)共有プラットフォームに組み込んで使えるようにするため、どの程度まで改良できるかという点については、DPCも簡単ではないと認めている。何しろ、このシステムはLotus Notesのテクノロジーをベースにしているのだ。

「システムの仕様とコアモジュールの構築についてはかなりの作業が終わっている」と副長官のGraham Doyle(グラハム・ドイル)氏はいう。「一部遅れが生じているのは、セキュリティとインフラストラクチャ要素の仕様が更新されたためだ。他にも、DPCからの要請を受けて、EU各国のDPA(データ保護機関)の間における最終判定プロセスの相違の解消に必要な時間を考慮し、作業を意図的に遅らせている要素もある。そうしたプロセスには、GDPRの第60条に述べられている、異なる監督機関の間における協力と一貫性に関するメカニズムに関連したものなども該当する」。

「EDPB(欧州データ保護会議)はGDPRの第60条の運用化、さらには第65条に基づく紛争解決の仕組みの運用化に関する内部ガイダンスの作成に取りかかったばかりだ。これらは、EU各国のDPA間をまたいだ作業の重要な部分であり、システム間のハンドオフ(受け渡し)が必要になる。また、EUは当初の採択予定からほぼ3年経過しても、新しいePrivacy法をまだ採択していない。さらに、DPCは、EU各国のDPAと協力して、GDPRの手続き面と運用面の詳細な実施方法について検討を進めている段階であり、未解決事項もまだ残っている」。

ドイル氏は次のように付け加えた。「新しいケース管理システムに対する投資も継続中だ。新しいシステムの『初期コアモジュール』を2021年の第2四半期にはリリースしたいというのがDPCの意向だ」。

今までのところ、アイルランドのDPCが国境を越えたGDPR申し立てに対して下した判定は、Twitterが2019年1月に公表したセキュリティ侵害について、2020年の12月、同社に55万ドル(約5790万円)の罰金を課した1件だけだ。

このTwitterのケースは、最初の規制執行を巡ってアイルランドと他のEU諸国のDPAとで意見の相違があったため、決定プロセスが数カ月延びることになり、DPCが提示した罰金は最終的に、多数決により最大で数千ユーロ増額されることになった。

このケースへの対応は決して順風満帆ではなかったが、Facebookによる国境越えデータ転送に関する別の(2013年の)申し立て(Schrems II)の審理に、GDPRの施行前から始まって7年以上を要していることを考えると、比較的短期間で解決に至ったといえる。

Facebookの件では、DPCは、Facebookが標準契約条項(Standard contractual clauses:SCC)を根拠に、自らのデータ転送が合法だと主張する申し立てに対して判断を下すのではなく、データ転送のメカニズム自体の合法性を疑問視して法廷で争う選択をした。この件はその後、欧州司法裁判所に送られ、EU最高裁は最終的に、EUと米国間で締結された重要なデータ転送協定を無効とする判断を下した。

法廷での争いに持ち込んだ結果、EUと米国間で締結されたPrivacy Shield(米国への個人データの越境移転を認める法的枠組み)は無効とされたものの、DPCはFacebookによるEUからのデータ転送に関する問題から手を引いたわけではない。2020年9月、DPCは予備一時停止命令を発行した。これに対しFacebookは司法審査を介して即刻控訴した(この審理は一時停止されている)。

2020年、DPCは自身のプロセスに対する司法審査(Facebookに対する告訴人、Max Schrems[マックス・シュレムズ]氏が申し立てたもの)に対して示談に応じ、Facebookに対する申し立てを迅速に決着させることに同意した。判定はまだ数カ月先だが、いよいよ2021年中には最終判定が下されるはずだ。

関連記事:フェイスブックのEU米国間データ転送問題の決着が近い

DPCは規制執行が遅いという非難に対して、法的な異議申し立てに対抗できるように適正な手続きを踏む必要があるとして自己弁護を図っている。

しかし、DPCに対する批判が続く中、自組織の重要な内部情報通信技術のアップグレードが、最優先事項であると明言してから5年近くもダラダラと長引いているという事実が判明するようでは、批判者を黙らせることなど到底できない。

先週、欧州議会の人権委員会はアイルランドに対して「GDPRを適切に執行していない」とする侵害訴訟を開始するようDPCに要請するドラフト動議を発行した。

同ドラフトには、GDPRは2018年5月に施行されているにもかかわらず、GDPR違反だとする多数の申し立てに対してアイルランドDPCは未だに決定を下していないとする「深い懸念」が記されている。

LIBE委員会は、Facebookによるデータ転送に関するケースSchrems IIを取り上げ「アイルランドデータ保護委員会はGDPR第58条に従って自らの権限の範囲内で申し立てに対する決定を下すことが本分である。しかし、このケースは同委員会自らによって開始された」ことを懸念していると書いている。

また、EU全般のプラットフォーム規制(デジタルサービス法とデジタルマーケット法)を更新する同委員会の最新の計画で、強制執行のボトルネックを回避する提案がされていることも注目に値する。具体的には、1つの加盟国の規制当局が要因で、欧州市民全体のデータ権利が国境を越えて執行できなくなるというリスクを避けるために(これはGDPRで実際に起こり続けていることだが)、テック最大手のプラットフォームに対する重大な規制執行はDPCの組織内で処理すべきだとほのめかしている。

もう1つ、アイルランドDPCには情報公開法が全面適用されず「DPCの一般管理」に関する記録についてのみ適用されるという奇妙な規定もある。つまり「監督、規制、専門家による助言、申し立て処理、調査といった各職務については(ケースファイルも含め)同法に基づく公開要請の対象から除外される」(DPCのウェブサイトより抜粋)ということだ。

2020年TechCrunchが実施した情報公開要請(DPCがGDPRの権限を行使してデータ処理の一時的または完全な禁止を課した回数を尋ねたもの)は、この奇妙な規定に基づいて規制当局により拒否された。

DPCによると、侵害を行っている企業に対して個人データの処理を中止するよう指示したことがあるかという問い合わせに対する回答を拒否したのは、情報公開法が部分的にしか適用されないという理由からだという。DPCは次のように述べている。「一般管理とは情報公開対象組織の管理に関係する記録、具体的には人事、給与、採用、アカウント、情報技術、設備、内部組織、事務手続きなどに関する記録を指す」。

しかし、たとえアイルランドの情報公開法によってDPCの活動の詳細な調査が禁止されていても、同規制当局の規制執行の記録がすべてを物語っている。

関連記事:GDPRの執行力強化を切望するEU消費者保護団体の報告書、プライバシー侵害の懸念

カテゴリー:その他
タグ:EUGDPRSNSソーシャルメディア

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

Appleのティム・クック氏がアドテックは社会の破滅をもたらすと警告、同社アプリトラッカーのオプトイン機能を擁護

Apple(アップル)のTim Cook(ティム・クック)CEOは2021年1月に「Computers, Privacy and Data Protection(CPDP)」カンファレンスで基調講演を行い、欧州はプライバシー保護を強化するべきだという考えを明らかにした。同氏は2年前にもブリュッセルで生講演を行い、アドテック業界によるインターネットユーザーの大量監視を支えている「data-industrial complex(データ産業複合体)」を激しく非難したが、今回の講演でもほぼ同じ主張を繰り返した。

この講演でクック氏は、現世代のアドテックの改革は今や人道的に必要不可欠なものだと述べ、遠回しにFacebook(フェイスブック)に対する批判を繰り返した。

「2年前にもブリュッセルで話したとおり、包括的なプライバシー保護法を米国で策定するだけでなく、データの最小化、(自分の情報利用に対する)ユーザーの知識、ユーザーによるデータへのアクセス、データのセキュリティという原則をグローバルに実践するための、世界規模の法律と新しい国際合意を策定すべきときだ」と話した。

「我々は何を許容すべでないか、何を許容しないか、という点でユーザーの個人情報に対する権利を主張する人々に、普遍的かつ人道的に応答しなければならない」とクック氏は付け加えた。

Appleは現在、トラッキングについて事前にユーザーの許可を求めることを開発者に義務づけるという世界初の試みへと舵を切る準備を進めている最中だ。前述のクック氏のメッセージは、同社にとって極めて重要な時期に発表された。

Appleは2021年1月下旬に、iOS 14の次期ベータリリースでApp Tracking Transparency(アプリ追跡透明性、ATT)機能を有効にすることを改めて発表している。正式な導入は2021年の春先になる見込みだという。

関連記事:アップルのApp Tracking Transparency機能はデフォルトで有効に、早春にiOSで実装

Appleはこの機能を2020年から運用開始する予定だったが、開発者側に対応準備期間を与えるために予定を延期している

関連記事:アップルが開発者によるユーザー追跡の明示的許可強制を来年まで延期

この動きに対してアドテック大手のFacebookは以前から強く反論しており、サードパーティによるトラッキングを拒否する権限をAppleがユーザーに与えると、広告ネットワークを使用しているパブリッシャーは重大な影響を被ることになると警告している

関連記事:アップルがiOS 14に導入予定の広告トラッキング規制にFacebookは不満を表明

先に、Facebookは第4四半期の決算を発表し「広告部門での逆風が強まっており」2021年の収益が低下すると警告を発し、AppleのATT(および「変化する規制当局側の姿勢」)をリスクとして挙げた。

関連記事:Facebookは2021年のターゲティング広告と収入に大きな障害を予測する

クック氏はまた、データ保護とプライバシーに関する別のカンファレンス(通常はブリュッセルで開催されるが2021年はパンデミックの影響でオンライン開催となった)で行った講演で、ATTとプライバシーに対するAppleの姿勢をかなり強い言葉を使って擁護し、導入が間近に迫ったトラッキングのオプトイン機能は「ユーザーにコントロール(制御権)を返却する」ものであること、アドテックによるインターネットユーザーの監視によって、陰謀説、過激主義、物理的な暴力などの拡大をはじめとするさまざまな悪影響が生じていることを指摘した。

同氏はATTについて「ユーザーはこの機能を長い間待ち望んでいた」と述べ、次のように語った。「我々は開発者と密接に連携して、この機能を実装するための時間とリソースを彼らに与えてきた。また、我々自身も、この機能によって事態がすべての人にとって良い方向へと変化する可能性が高いと考えており、熱意を持って取り組んでいる」。

フランスでは、Appleのこの動きに対して不当競争の疑いがかけられており、2020年10月、4つのオンライン広告ロビー団体が「開発者がアプリユーザーに対してトラッキングの許可を求めることをAppleが強制するのは同社による市場支配力の乱用である」として、独禁法違反でAppleを告訴している(英国でも、GoogleがChromeブラウザでトラッキング用サードパーティCookieのサポートを打ち切ることについて同様の提訴があり、規制当局による調査が始まっている)。

また、The Informationによると、Facebook側もAppleを独禁法違反で告訴する準備を進めているといい、司法の場での争いがヒートアップしている(実はFacebook自身も、長年にわたる反競争的行為によってソーシャルネットワーク市場を独占してきたとしてFTCから提訴されている)。

クック氏は同講演で、プライバシー保護に関する別の新たな取り組みとして、App Storeに出品されるアプリについて、データ収集に関する情報を食品成分表のようにわかりやすく示す「privacy nutrition(プライバシーラベル)」の表示をiOSアプリの開発者に義務化していくと述べた。すでに別の記事で伝えたとおり、このラベルと、近く導入されるATTはサードパーティだけでなくApple製のアプリにも適用される。

クック氏によると、この2つの動きは「ユーザーの役に立ち、ユーザーの幸福を目指す」テクノロジーを創造するというAppleの核をなす製品哲学に沿ったものであり、人々がオンラインで実行するあらゆることについて情報を収集しそれらを大衆操作ツールとしてユーザーに不利になるように利用する、強欲な「データ産業複合体」のアプローチとは対照的であると語った。

「そもそも、プライベートな情報や個人情報はすべて、監視や収益化、あるいは集積してユーザーの生活を丸見えにすることにつながっているように見える」とクック氏は警告する。「こうしたアプローチの行き着く先は顧客の製品化である」。

「ATTが本格的に導入されると、こうしたトラッキングに対してユーザーはノーと言えるようになる。トラッキングに必要な程度の情報であれば、ターゲット広告の精度を上げるために提供してもよいと考える人もいるかもしれない。しかし、多くの人はそう考えていないようだ。というのは、同様の機能をSafariのウェブトラッカー制限に組み込んだところ、大半のユーザーから良い評価が得られたからだ」と同氏は述べ、「こうしたプライバシー中心型機能とイノベーションは、Appleが果たすべき責任の中核をなしている。今までずっとそうであったし、これからも変わらない」とつけ加えた。

過去には、プライバシーに反した大量監視などなくても広告業界が繁栄していた時代があった、とクック氏は指摘する。「テクノロジーは多数のウェブサイトやアプリから寄せ集められた膨大な個人データなどなくても成功できる。そんなものがなくても、広告は何十年も存続し、繁栄してきた。最も抵抗の少ない道を行くことが賢明な選択であることはめったにない。我々が今日のような立場を取っているのはそのためだ」。

クック氏はまた、いくつかの点でFacebookを遠回しに厳しく批判した。Facebookの名前こそ出さなかったが「ユーザーの監視」「データの搾取」「選択の余地のない選択」を基盤とするそのビジネス手法を酷評した。

「このような組織は我々の称賛に値しない。改革に値する」と同氏は続けた。また、同じ講演の前の部分で欧州の一般データ保護規則(GDPR)がプライバシー保護の強化に果たす役割を称賛し、そのような法の執行を「継続する必要がある」とカンファレンス出席者に訴えた(まさにこの継続性がGDPRの弱点となってきたが、現在2年半が経過して、やっと執行体制が軌道に乗ってきたようだ)。

クック氏は、Facebookに対する厳しい批判を続け、膨大なデータを吸い上げる、エンゲージメント偏重のアドテックのせいでデマや陰謀説が拡散されているとし、こうしたアプローチによってもたらされる影響はあまりにも深刻で、民主社会が許容できるものではないと主張した。

「大局的な見地を見失ってはならない。アルゴリズムによってデマや陰謀説が蔓延している今、可能な限り多くのデータを収集するために、エンゲージメント率を上げさえすればよい、ユーザーの滞在期間が長いほどよいというテクノロジーの考え方に対して見て見ぬふりをすることはできなくなっている」。

「多くの人たちが今でも『どの程度の罰金で済むだろうか』という話をしている。考えるべきなのは、どのような影響がもたらされるかという点だ。単にエンゲージメント率が高いという理由で陰謀説や暴力行為の扇動が優先されたら、どのような結果になるだろうか。命を救うワクチンに対する大衆の信頼を弱体化させるコンテンツを許容するだけでなく、そのようなコンテンツに報酬を与えるならどうなるだろうか。数千人のユーザーが過激グループに参加しているのに、そのグループへの参加を推奨するアルゴリズムを存続させたらどうなるだろうか」と、同氏は続け、Facebookのビジネスが直接の原因として批判されているさまざまなシナリオを挙げて説明した。

「こうしたアプローチに犠牲がともなわないふりをすることは、すぐにでも止めるべきだ。犠牲とは格差であり、信頼の喪失であり、そしてもちろん暴力だ。社会的ジレンマが社会的大惨事につながるのを許してはならない」とつけ加え、Facebookによるソーシャルネットワークのイメージを一撃で一変させた。

Appleが、ATTに反対するアドテック大手との戦いを推し進めるために欧州のデータ保護専門家に働きかけていることには理由がある。EUの規制当局には、ATTによるアプローチを後押しする法律を施行する権限があるからだ。ただし、現時点では規制当局はまだそこまでは踏み切れていない

Facebookに関するデータ保護監視を主導するアイルランドのデータ保護委員会(DPC)は、いわゆる「同意の強制」(サービスを使いたいなら広告ターゲティングによってトラッキングされることを承諾する以外に選択肢がないこと)を含め、Facebookのさまざまなビジネス手法に関する調査をまだ行っていない。

ユーザーに選択肢を与えないこのような手法はAppleがApp Storeで進めている変革とは対照的だ。App Storeでは今後、すべての企業はトラッキングに関してユーザーの同意を得る必要がある。Appleのこの動きは欧州のデータ保護法の原則に沿ったものだ(一例として、同法には、法的に有効であるためには一切の条件を提示することなく人々のデータに対する処理の承諾を得る必要がある、という原則がある)。

同様に、ユーザーに選択肢を与えることを引き続き拒否するFacebookの姿勢は、EUの法律と真っ向から対立しており、GDPR(一般データ保護規則)の規制対象となる可能性がある(クック氏が講演の中で訴えていたのはこの点だ)。

2021年はこの論争が決着に向かう重要な年になりそうだ。2020年末、アイルランドが他のEU加盟国のデータ保護当局に決定案を送付したことで、WhatsAppとFacebook間のデータ共有の透明性に対するDPCの長期にわたる調査が2021年、法執行に向かって動き始めている。

Politicoの報道によると、WhatsAppはこの1件のみで3000万~5000万ユーロ(約38億~64億円)の罰金を科せられる可能性があるという。それだけではない。WhatsAppは2019年にプライバシー保護違反に関する件でFTCに50億ドル(約5277億円)の罰金を支払ったが、そのときは広告ビジネスの運営方法について具体的な変更を行う必要はなかった。今回は、ユーザーデータの扱い方を変更するよう命令される可能性がある。

特定の種類のユーザーデータの処理中止を求める(またはデータを使用する前にユーザーの同意を得ることを強制する)命令が当局によって出されれば、これまでよりはるかに大きな影響がFacebookのビジネス帝国におよぶことは間違いない。

Facebookは2021年中に、欧州のユーザーデータのEU圏外への転送を合法的に継続できるかどうかについても最終判決を言い渡される。

Facebookがこのようなデータフローの停止を命令されれば、同社のビジネスのかなりの部分が大きく混乱することになるだろう。2019年の第1四半期時点で欧州のDAU(1日あたりの利用者数)は2億8600万人だった。

要するに、Facebookのビジネス運営をめぐる規制当局側の姿勢は明らかに「変化している」ということだ。

Facebook側もAppleによるプラットフォームレベルでのプライバシー保護執行が迫っている事態に対抗し、法律の専門家を投入して、Appleの動きは反競争的だと主張する構えを見せている。しかし、EUの立法担当者も、プライバシー保護執行に対抗するツールとして独禁法を持ち出す利己的な動きには目を光らせているようだ。

(クック氏が同講演でプライバシーの「イノベーション」に触れたことは注目に値する。同氏は「我々の生活をより良く、満たされた、人間的なものにするイノベーションの先にこそ未来があるのではないか」と聴衆に問いかけた。これは、プライバシー対独禁法規制の論争においてまさに鍵となる問いかけだ。)

2020年12月、コミッションのEVPで競争担当責任者のMargrethe Vestager(マルグレーテ・ベステアー)氏はOECD Global Competition Forumで、独禁法の執行担当者は、プライバシーが競争を抑え込む盾として使われないように用心する必要があると指摘した。とはいえ、同氏はドイツにおけるスーパープロファイリング訴訟でFacebookに有罪判決が下されたことに支持を表明しており、同氏の言葉にはデータ産業複合体に対する皮肉も込められていた。

この訴訟(ドイツFCOによって引き続き係争中)では、プライバシーと競争を新しい興味深い方法で組み合わされている。規制当局が勝訴すれば、Facebookのソーシャル部門がデータレベルで構造的に分離される結果になる可能性がある。いわば、「すばやく行動してマンネリを断ち切る」(Facebookの有名なモットー)の規制当局版だ。

ベステアー氏が規制のイノベーションを「刺激的で興味深い」と形容したことは注目に値する。欧州のデジタル政策と競争を監督する人物も、規制のイノベーションに対して、非難するどころか、むしろ信任票を投じているようだ。

カテゴリー:ネットサービス
タグ:AppleFacebookEUアドテックGDPR

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

英国のEU離脱を受けFacebookが同国の個人データをEU個人情報保護法の管轄外へ移転

英国の欧州連合(EU)離脱による取引条件の変更が迫る中、Facebook(フェイスブック)は、先行したGoogle(グーグル)に倣って(未訳記事)、英国の数千万人にのぼるユーザーの個人データを、EUの個人情報保護法の管轄外となる米国(そのような包括的な個人情報保護の枠組みを持たない)に2021年に移動させることになっていると、米国時間12月15日にReuters(ロイター)が報じた

この切り替えを認めたフェイスブックは、ロイターに次のように述べている。「他の企業と同様に、フェイスブックはBrexit(英国のEU離脱)に対応するための変更を行う必要があったので、フェイスブックアイルランドから(米国の)Facebook Inc.(フェイスブック・インク)に、英国のユーザーのための法的責任と義務を移転することになります」。

「プライバシー管理やフェイスブックが英国の人々に提供するサービスに変更はありません」とフェイスブックは付け加え、EUから米国への移行は、データとプライバシーの法的保護において大幅な格下げを必然的に伴うという事実を無視した表現を用いている。

ロイターによると、フェイスブックは今後6カ月以内にこの切り替えについてユーザーに通知するという。この法的な変更に不満がある場合、ユーザーはInstagram(インスタグラム)やWhatsApp(ワッツアップ)も含むフェイスブックが提供するサービスの使用を停止する「選択肢」が与えられる。

グーグルが2月に(未訳記事)英国のユーザーに関して同様の法的移行を発表したときにお伝えしたように、EU子会社から米国に移動させるという動きは、EUの基準から離れることを決めた英国の国民投票の結果を受けてのものだ。そのEUの基準の中には、長年維持されてきたデータ保護の枠組みも含まれる。

Brexit移行期間の終了まであと数日となった現在、英国がEUとの貿易協定を得るのか、それとも協定なしで離脱するのかはまだ不明だ。後者の場合、英国はEUからデータの適切性に関する協定も得られない可能性が高まり、データ保護基準に関する将来の乖離が生じやすくなる(EU・英国間における摩擦のないデータフローの維持に向け、継続的な協力を行うための「ニンジン」がないため)。

英国はまた、データを活用した経済復興を望んでいることを明らかにし、9月に(未訳記事)「国家データ戦略」を発表した。これは新型コロナウイルス感染拡大時におけるデータ共有を、復興後の新たな基準とするものだ。

この文書で、英国政府は「国内のベストプラクティスを推進し、国際的なパートナーと協力して、データが国境や分断された規制体制によって不適切な制約を受けないようにして、その潜在能力を最大限に活用できるようにする」ことを計画していると述べている。これはデータ保護の概念全体に影を落とすものだ。

それ以来、プライバシーの専門家たちは、(EU離脱後の)日英貿易協定が英国の既存のデータ保護体制(これはいまのところ、転換されたEUの規定に基づいている)を弱体化させており、Open Rights Group(オープン・ライツ・グループ)が2020年11月に警告した(Open Rights Groupブログ)ように、「データ保護の取り決めが弱い、または自主的に行っている」国への個人データの流出を可能にするおそれがあると、懸念を表明している(Open Rights Groupブログ)。

米国は、データ保護のための包括的な枠組みを欠いている国の1つだ。カリフォルニア州は独自の消費者プライバシー法を可決し、11月には住民投票でこの制度を強化することを決めている。しかし、連邦レベルではGDPR(EU一般データ保護規則)に相当するものはまだない。

英国のEU離脱後の基準がどこに向かっているのかという不確実性が非常に強いため、グーグルやフェイスブックのような大手テック企業が、EUのプライバシー規則の下における責任を軽減する機会を得ようとしていることは不思議ではない。フェイスブックの場合、ダブリンにある子会社の管轄から4500万以上の英国ユーザーを削除することになる。

ヨーロッパの最高裁判所が下した最近の「シュレムスII」判決(未訳記事)もまた、個人データをEUから米国へ転送することに関する法的リスクと不確実性を増大(未訳記事)させており、フェイスブックにその英国における契約条件を再構築するためのもう1つの潜在的な理由を与えている。

もちろん、英国のユーザーが失うプライバシー保護を考えれば、これはあまり良いことではない。

しかし、今回問題なのは、巨大テック企業ではなくBrexitの方だ。Brexitはこの場合、英国のユーザーは2021年から、自分たちの政府が米国のような国と貿易取引を結ぶために、国家のプライバシー基準を廃棄すると決めないように祈らなければならないことを意味する。フェイスブックが自分たちのプライバシーの利益に気を配ってくれると信じつつ(未訳紀伊J)。

そう、英国のデータ保護法は適用され続ける。幸運(未訳記事)にも英国個人情報保護監督機関(未訳記事)があなたの権利のために立ち上がってくれたらだが。

しかし、EUの法律によって定められている包括的な保証は2021年に消え失せる。

2018年に成立した米国のクラウド法(未訳記事)では、すでにインターネットサービスの利用者に関するデータを、捜査目的などで英米の機関が容易にやり取りできるようになっている。

その一方で英国政府には、監視社会(未訳記事)や暗号化への攻撃(未訳記事)に対する憂慮を巻き起こした実績もある。

英国が新たに打ち出した、インターネットサービスを規制する「子供の安全に焦点を当てた(未訳記事)」計画では、コンテンツ監視やIDチェックを義務づけるため、強力な暗号化を使用しないようにデジタルサービスに圧力をかけているようにも見える。

つまり、Brexitとは、簡単にいえば、英国人のプライバシーとオンラインの自由を速やかに減らし、データの分野におけるコントロールを取り戻すことの反対を意味するようになっているということだ。

関連記事
カリフォルニア州消費者プライバシー法が1月1日に発効
英国のデータ保護監視当局がアドテック業界に「冷静に法を守る」よう要請

カテゴリー:ネットサービス
タグ:イギリスEUFacebookGoogleプライバシー個人情報GDRPBrexit

画像クレジット:Justin Sullivan / Getty Images

原文へ

(翻訳:TechCrunch Japan)

GDPRの執行力強化を切望するEU消費者保護団体の報告書、プライバシー侵害の懸念

欧州の消費者保護団体を統括する組織BEUC(ビューク)は新しい報告書を発表し、EUにおける個人データ保護の枠組みの要であるGDPR(一般データ保護規則)の効果的な執行が国境によって阻害されていると伝えた。EU域内の今後数十年間にわたるデジタル環境の監視体制を形作ろうと模索する各国の議員や規制当局には読むのが辛い内容となった。

BEUCの参加団体は、2018年11月(未訳記事)にGoogle(グーグル)の位置情報の利用に関して数多くの訴えを起こしている。このプライバシー侵害の懸念が提起されて2年が経つが、いまだに解決策は見られていない。

The Consumer Voice 2年で火星着陸ミッションは成功できても、グーグルの位置追跡がGDPR違反ではないのか、その不正に罰金を課すか否かは、2年経っても決められずにいる。
The Consumer Voice 2018年からEU、米国、オーストラリアで、位置情報の収集と利用に関してグーグルが告訴されている。それからグーグルが2510億ドル(約26兆1200億円)もの広告収入を得る間、何もできていない。

この巨大テック企業は、インターネットユーザーの位置情報を処理して商品化しつつ、数十億ドル(数千億円)単位の広告収入を稼ぎ続けている。GDPRの下で国境を越えた告訴に対応するワンストップショップであり、データ保護監督の中核であるアイルランドのデータ保護委員会(DPC)は、2020年2月(未訳記事)になってようやく捜査を開始した。

だが欧州で、位置情報の追跡に関してグーグルに何らかの法的措置が下されるのは、これから何年も先になるだろう。

なぜなら、GDPRが施行されて2年半になるにも関わらず、アイルランドDPCは国境を越えたGDPRとしての判断を何ひとつ示していないからだ。だが、先日お伝えしたとおり、Twitterのデータ漏洩に関するケース(未訳記事)は、ゆっくりながらも間もなく示されるはずの結論に近づいている。

それとは対照的に、フランスのデータ監視組織CNILは、グーグルのデータ処理の透明性に関するGDPRの捜査を、ずっと手早く(未訳記事)2019年のうちに済ませている。

しかも今年の夏(未訳記事)、フランスの裁判所はグーグルの訴えを退け、CNILが求めた5700万ドル(約60億円)の罰金の支払いを言い渡した。

だが、この一件はグーグルがDPCの司法権の下に入る前のものだ。さらに、アイルランドに拠点を置く多国籍テック企業の多さを考えると、このデータ規制当局は膨大な数の企業を相手にしなければならない。

Apple(アップル)、Facebook(フェイスブック)とWhatsApp(ワッツアップ)、LinkedIn(リンクトイン)といった数々のテック企業に対する20件以上のGDPR捜査を含むDPCの国境を越える案件には、強力な支援者がある。グーグルも、2019年から(未訳記事)アドテック関連の捜査をアイルランドで受けている。

今週、EUの域内市場委員のThierry Breton(ティエリー・ブルトン)氏は、各国の議員はGDPRの執行力の「ボトルネック」(未訳記事)をよくわかっていると話した。

欧州委員会は、その摩擦から教訓を得たと彼は示唆している。つまり彼は、自身が公言しているデータの再利用に関連する将来の規制案作り(未訳記事)に、同様の懸念が影響を与えることはないと主張しているのだ。

欧州委員会は、EUの個人データ監視体制に組み込まれているものと同様の監視メカニズムを提唱する新しいデータガバナンス法(DGA)を通じて、EU域内における人権を尊重した産業データの再利用(未訳記事)に標準条件を構築したいと考えている。これには、コンプライアンスを監視する国家機関や、中央集権的なEUの運営機関(これを彼らは欧州データ保護委員会の姉妹組織として欧州データイノベーション委員会と命名する計画だ)。

EUのデジタル規則の枠組みを改善して拡張するという欧州委員会の計画は野心的だが、つまりこれは、GDPRへの提案書のインクが乾く前にDGAの輝きが失われてしまうとのGDPRへの批判だ。またこれは、GDPRの執行力の「ボトルネック」を解消する創造的な方法を探すよう、議員たちにプレッシャーを与えるものでもある(国家機関は日々の監視に責任があり、EU加盟国はDPAを支援する責任があるため創造性が求められる)。

20202年夏に行われた最初の審査では、欧州委員会はこの規制が、カリフォルニアのCCPA(消費者プライバシー法)や、世界中で成立され始めたデジタルプライバシー保護のための枠組みに影響を与えたと断言し、「現代的で水平的な法律」であり「グローバルな基準点」だと称賛した。

だが同時に、GDPRの執行力に関する内容が欠けていることを、彼らは懸念している。

この懸念に対する最良の答えは「重要な案件はアイルランドのデータ保護機関が判断すること」だとEUの司法担当委員Didier Reynders(ディディア・レインダーズ)氏は6月に述べている(未訳記事)。

あれから5カ月が経過するが、ヨーロッパの人々はまだ待ち続けている。

BEUCの「ザ・ロング・アンド・ワインディング・ロード:GDPRから2年:消費者の視点による国境を越えたデータ保護問題」と題された報告書は、どの国のDPCに提訴すべきかという段階で、EU加盟国の各団体が直面した手続き上の障壁を詳しく説明している。

これには、アイルランドDPCが不必要な「情報と有効性のチェック」を行っており、第三者による是正が禁じられているアイルランドの法律では権限がないとして、現地の関係団体から持ち込まれた訴訟を拒否しているとの懸念も含まれている(オランダの消費者団体はオランダの法律に従って訴訟を起こし、受理されている)。

報告書はまた、アイルランドDPCがグーグルの位置情報に関連する活動に対して独自の判断で(苦情にもとづくものではなく)取り調べを開始した理由についても疑問を呈している。これが苦情そのものに対する判断を遅らせてしまいかねないと、BEUCは恐れている。

さらにこれは、アイルランドDPCによるグーグルの捜査の対象は、苦情が申し立てられた2018年からではなく、2020年2月からの活動のみであることも指摘している。つまり、まだ捜査されていないグーグルの位置情報処理については不明のまま残されることになる。

グーグルへの訴訟に参加しているEU加盟国の3つの団体は、アイルラドDPCの判断について司法審査の申請を考えていた。他の団体はその方法に頼っている(未訳記事)。しかし、それにかかる訴訟費用が膨大であることから、彼らは申請を取りやめた。

またこの報告書は、訴訟の処理を、捜査を受けている企業の所在地に移してしまうGDPRのワンストップショップ式のメカニズムには、本来的にバランスの偏りがあるとも指摘している。そのため、「司法へのアクセスが簡単なほう」が有利になってしまう(これに対して一般消費者は、言葉も違うであろう別の国での司法手続きを強いられることになる)。

「主導的な委員会が、アイルランドのような判例法に従う伝統を持つ国にあった場合は、物事はより複雑になり、コストも嵩む」とBEUCの報告書では述べられている。

報告書が提起するもう1つの問題に苦情を申し出た側が、「動く標的」と呼ばれるものと戦う権利に関する大変に重要なものがある。大きな力を持つテック企業は、規制当局の遅延をいいことに、業務内容を(表面的)に微調整し、誤解を招くPRキャンペーンによる不正な活動を円滑化できてしまう(グーグルがそうしていると、BEUCは批判している)。

各国のDPCは、「その執行方法を、より迅速に直接的に介入する方向に調整すべき」と報告書は結論付けている。

「GDPRが適用されてから2年以上が経過し、私たちは転換点に差し掛かっています。GDPRは、今こそその力を発揮し、喫緊の課題であるビジネス慣行の変革の触媒になるべきです」とBEUCは提言の結論部分で述べている。「私たちのメンバーと、他の市民社会団体の経験から、GDPRの効果的な適用と、その執行システムの適正な機能を大きく阻害する数々の障壁が浮き彫りにされています」。

BEUCはEUおよび各国の政府機関に、規則の敏速な執行、データ主体とその代表となる団体の、とりわけ国境を越えた執行案件の枠組みの中での地位の向上を確実にするための、総合的、協働的な取り組みを推奨します」。

TechCrunchでは、同委員会とアイルランドDPCに対して同報告書に関する質問を送った。現在、これを書いている時点では、まだどちらからも返事がない。またグーグルにもコメントを求めている。

【更新情報】アイルランドのDPC副委員長Graham Doyle(グラハム・ドイル)氏は、2020年初めにグーグルの位置情報活動について「前向きな」取り調べを開始した理由として、前に戻って物事がどうだったかを再現するのではなく、「リアルタイム」での捜査を可能にしたかったからだと話した。

またドイル氏は、位置情報に関連するグーグルへの訴訟は、別の時期に別のDPCに提出されていると言う。つまり、一部の苦情がアイルランドに届くまでに非常に長い時間がかかり、2018年11月に届いていないものもあるということだ。そこで、現在の欧州のDPCが主監督DPCに苦情を届ける際の手続きの非効率性という問題が見えてくる。

「問題の苦情は、別の監督機関に2018年11月以降の別の日に届けられています」と彼は話す。「当DPCがそれらの苦情を受け取ったのは2019年7月でした。それを受けて、私たちはBEUCに報告しました。そして、リアルタイムで私たちが入手した情報の裏付けが取れるよう、2020年2月、独自の取り調べを開始したのです」。

BEUCは2月、同委員会に8つの「効率的」なGDPR執行方法(BEUCリリース)の提言を送っている。

関連記事:カリフォルニア州消費者プライバシー法が1月1日に発効

カテゴリー:ネットサービス
タグ:GoogleGDPREUプライバシー

画像クレジット:TechCrunch

原文へ

(翻訳:金井哲夫)

IAB Europeの広告トラッキング同意フレームワークがGDPR規格に適合しないことが判明

広告業界団体のIAB Europeが作成した、行動ターゲティング広告でインターネットユーザーの同意を取り付ける主力のフレームワークが、データ保護で要求される法的基準を満たさないことが、EUデータ監督局の調査で明らかとなった。

プログラマブルな広告のリアルタイム入札(RTB)コンポーネントにおける個人データの利用に関する告発を受けて、ベルギーのDPAは調査を開始した。高速の個人データ取引は、EU法に組み込まれたデータ保護要求へ本質的に適合できないとするものだ。

IAB Europeの透明性と同意の枠組(TCF)はヨーロッパのあらゆるウェブに出現し、ユーザーへ広告トラッカーの同意(または拒否)を要求する。広告業者がEUのデータ保護規則に従いやすくするのが、表向きの目的だ。

これは、2018年5月にEUの一般データ保護規則(GDPR)が開始し、欧州地域のデータ保護規則が大幅に変更されたことに応えて、広告業界の規格団体が作成した内容である。GDPRは個人データ処理の同意に関する基準を厳しくし、準拠しない場合は大幅な罰則を適用するため、広告トラッキング業界の法的リスクが増している。

IAB Europeは2018年4月にTCFを導入し、その時点では「デジタル広告のエコシステムがGDPRとeプライバシー指令の要件に適合しやすくなった」と述べていた。

今年8月にフレームワークを導入したアドテックの巨人であるGoogleを含めて、同フレームワークは広範に普及している。

欧州以外でも、IABは最近、同じツールの別バージョンをカリフォルニア州の消費者保護法への「準拠」に使用するよう働きかけている。

しかし、ベルギーのデータ保護当局の調査部門が発見した内容は、フレームワークが名目上の目的を満たしていないことを示唆しており、フレームワークの採用に疑問を投げかけている。

TechCrunchがレビューしたベルギーDPAの捜査サービスのレポートでは、多数の懸念事項が発見されている。これには、TCFがGDPRの公開性、公平性、説明責任の原則に適合していないことや、データ処理の非合法性が含まれる。

また、TCFが特殊カテゴリー(健康情報、支持政党、性的嗜好など)で十分な規定を設けていないにも関わらず、データを処理していることも指摘されている。

また、IAB Europeの評判を著しく損なう事例も報告されている。DPAの検査官はデータ保護担当者の不在や、社内のデータ処理活動を記録していない事実を発見した。

IAB Europeのプライバシー方針も、十分とは言えないことが指摘されている。

私たちはIAB Europeに対し、検査官の発見内容に対するコメントを要求した。更新情報:本記事の末尾に、最初の回答が記載されている。更新情報2:広告規格団体は声明を発表し、TCFが「最小限のベストプラクティス」を含む「任意参加の規格」であることを説明している。また、「広告業者によるTCFの解釈に基づき、IAB Europeがデータを取得しているとする、(ベルギーDPAによる)法の拡大解釈に対し、敬意を表しつつも反対いたします。」とし、こう付け加えている。「(ベルギーDPAによる)解釈が認められた場合、業界に属する企業を支援し消費者を保護することを目的とした、オープンソースの準拠規格作成が大きく勢いをそがれます」。

過去2年間にわたり、イギリスとアイルランドを筆頭に、欧州全体でRTBに対して多数の告発が寄せられている

最初のRTB告発を提出し、アイルランドの人権評議会でシニアフェローに就任したJohnny Ryan博士は、TechCrunchにこう答えた。「TCFは、行動ターゲティング広告とトラッキング業界に深く浸透している、違法の可能性がある大量のデータ侵害に対してトラッキング業界が応急処置を施した成果です。今回、ベルギーDPAがそれをひき剥がし、違法性を暴露しました」。

Ryanは以前、RTB問題を「史上最大のデータ侵害」と呼んだことがある。

先月、彼はRTBがどれほど広範囲に、かつ問題ある方法で個人データを漏洩しているか、戦慄すべき証拠一式を発表した。データブローカーが2019年のポーランド議会選挙の結果を左右するため、RTBを使用してLGBTQ+コミュニティの人々をプロファイリングしていたことなどが記されている。また、別のデータブローカーがアイルランドのインターネットユーザーを「薬物乱用」、「糖尿病」、「慢性痛」、「睡眠障害」などのカテゴリーに分類してプロファイリングし標的としていたことも判明している。

RTBに対する最初の告発を手掛けた弁護士、Ravi Naikは声明を通じ、ベルギーの検査官が発見した内容についてこう述べている。「この発見結果は衝撃的で、しかも遅すぎます。模範を示すべき存在であったIABは、今やGDPRの違反の元凶です。監督局は、IABがデータ所有者に対するリスクを「無視」していることを、当然のごとく発見しました。IABの責任は今や、こうした侵害を止めることにあります」。

RTBに対する告発を受け、イギリスのデータ監視団体であるICOは2019年6月に行動ターゲティング広告に対して警告を発し、業界に対してデータ保護基準に適合する必要性を促している。

しかし、規制当局は強制力のある行動を起こせていない。口調の柔らかなブログ記事がいくつか発表されただけだ。最近では、コロナウイルス感染症が理由で、本件に関する(進行中の)捜査活動を一時的に停止している

昨年度起こったもう一つの事例では、アイルランドのDPCがGoogleのオンラインAd Exchangeに対する捜査を開始し、個人データの処理の違法性を調べ始めた。しかし、この捜査はほとんど手が付けられていない案件の山に埋もれたままである。また、アイルランドの規制当局は、ITの巨人が関わる大規模な国際GDPR事例では、決断までに時間がかかりすぎると批判を浴びている

アムステルダム大学でデータ保護を研究する博士研究員であり、かつベルギーの事例では原告の一人でもあるJef AusloosはTechCrunchに対して、DPAの行動は他のEU規制当局へも対応を迫っており、そうした組織の「身がすくんで全く何もできないでいる実態」を浮かび上がらせていると述べた。

彼はこう付け加えている。「今後数か月から1年の間に、アイルランド当局の行動を待たずに他のDPA組織がしびれを切らし、自身で対処を開始することになるでしょう。

データ保護当局がオンライン広告業界を根底から突き崩すため、ようやく動き出したことは歓迎すべき兆候です。監視資本主義を打破するための、重要な最初のステップと言えるでしょう」。

規制プロセスには多数の作業が存在するため、ベルギーDPAが検査官のレポート内容に従い、具体的な行動をとるまでにはまだ数段階のハードルがある。私たちはベルギーDPAへ意見を求めて打診した。更新情報:以下を参照していただきたい。

しかし、原告によれば、検査官が発見した内容は訴訟局へ移管されており、2021年初頭には何らかの行動がとられると予想されている。つまり、EUでプライバシー保護を求めて活動する人々は、近い将来に広告トラッキング業界/データ処理産業体に対して、ようやく自らの権利を主張できるようになる可能性がある。

広告業者にとっては、コンテンツを収益化する方法を変革しなければならないことを意味する。疑わしい広告に代わり、人権を尊重した代替の手法(個人データを利用しない、コンテキスト別の広告ターゲティングなど)がとられる可能性がある。一部の広告業者はすでにコンテキスト広告に切り替え、収益を上げる方法を見出している。会員制のビジネスモデルも可能となる(ベンチャーキャピタルの一部には反対する声もあるだろうが)。

更新情報 I:次の行動と決定を下すまでにかかる予想時間について、ベルギーDPAの広報担当者は私たちの質問にこう答えた:「手続きの点でいえば、調査サービスのレポートはベルギーDPAの訴訟局へ移管されたため、訴訟局が妥当性を評価して案件を審査します。

現時点では、訴訟局がこの案件に関して決断を下すまでにかかる期間を予想することは差し控えたいと考えています」。

更新情報 II:レポートに対する意見を求められたIAB EuropeのCEO、Townsend Feehanは、私たちに対して広告規格団体は間もなく声明を発表する用意があると答えた。また、レポートのタイトルについて、Feehanはこう述べている。「タイトルは誤解を招きかねません。事実とは異なっています」。

どの部分が事実とは異なっているのかについては、Feehanは「GDPR標準に適合しない」とした部分を指摘し、「規制当局の裁定であるとの印象を強く与える」と反論した。

私たちの報道は、ベルギーDPAからの説明と引用を含め、手続きが現在進行中であると明確に述べていると指摘した際、Feehanはこう述べている。「私の考えでは、タイトルが誤解を招きやすい表現になっています。捜査の初期段階において『TCFがGDPR基準を満たしていない』ことが判明したと述べていれば、より正確に事実を描写しているはずです」。

特殊カテゴリーのデータについては、Feehanはこう主張する。「TCFを通じて特殊カテゴリーを処理することはできません。

レポートの細部に踏み入ることは避けますが、タイトルだけをとれば、TCFがGDPRに違反しているとDPAが発見したかのような印象を受けますが、それは事実とは異なります」。また、こうも付け加えている。「数時間のうちに、さらに詳細な声明を発表します」。

更新情報 III:IAB Europeのウェブサイトで、ベルギーDPAの捜査で判明した内容に関する声明の全文が読めるようになり、そこではこう述べられている。「APDのレポートはAPDの捜査部門による初期見解に基づいており、IAB Europeがいかなる意味でも法律違反を犯したと断定する拘束力は持ちえません」。

関連記事:EUのウェブサイトにおけるGoogleアナリティクスとFacebook Connectの使用禁止を求め集団訴訟が発生

カテゴリー:セキュリティ
タグ:広告業界 プライバシー GDPR

[原文へ]

(翻訳:Dragonfly)

EUのウェブサイトにおけるGoogleアナリティクスとFacebook Connectの使用禁止を求め集団訴訟が発生

欧州のプライバシーキャンペーングループであるnoybは、欧州連合司法裁判所(CJEU、EU最高裁)が「EUと米国の間の主要データの転送協定を安全ではない」として却下してから1カ月後、GoogleアナリティクスおよびFacebook Connectを介して米国にデータを送信していることを特定した101サイトのウェブサイト運営者を対象に訴えを起こした。

訴状に記載されているのは、Eコマース企業、出版社、放送局、通信事業者、ISP、銀行、大学などだ。具体的には、Airbnb Ireland、Allied Irish Banks、Danske Bank、Fastweb、MTV Internet、Sky Deutschland、Takeaway.com、Tele2などが含まれている。

noybはウェブサイト上で「EUの主要ウェブページのHTMLソースコードを分析すると、多くの企業がEU最高裁による重要な判決から1カ月が経過した今でも、GoogleアナリティクスやFacebook Connectを使用していることがわかります。これらのツールは米国の外国情報監視法であるFISA 702などに明確に該当するものです」(noybプレスリリース)と記載している。

「両社は、データ転送についての法的根拠を持っていないようだ。グーグルは『Privacy Shield』(EU-US Privacy Shield、EUと米国間で商用目的での個人データの交換を規制するためのフレームワーク)が無効になってから1カ月経ったいまでもPrivacy Shieldに頼っていると主張している。Facebook(フェイスブック)は米国の監視法がEUの基本的権利の本質に違反していると裁判所が認めたにもかかわらず『SCCs』(Standard Contractual Clauses、標準契約条項)を使い続けている」とある。

TechCrunchでは、EUと米国間でのデータ転送における両社の法的根拠について質問した。フェイスブックの広報担当者は「フェイスブックは個別のケースについてコメントしていない」と述べたが、米国時間8月17日に投稿されたの同社ブログ記事で「広告や計測製品のデータ転送メカニズムとしてPrivacy Shieldに依存している」ことを明らかにした。同社は「EU最高裁の判決を受けて、当社はこれらの製品のSCCへの移行を進めています。これを反映させるためにそれぞれの条件を更新し、より多くの情報を提供していきます」とコメントした。

プライバシー問題に詳しい人なら、noybの創設者であるMax Schrems(マックス・シュレムス)氏が、2015年にEUと米国のデータ協定であるSafe Harbor(米欧間の越境データ移転に関する二者間協定)の破棄(未訳記事)を実現した最初の訴訟の責任者だった(未訳記事)ことを知っているだろう。そして同氏の最新の訴状により、EUと米国間のPrivacy Shieldも却下された。同氏は実際にはフェイスブックによる別のデータ転送メカニズム(SCC)の利用をターゲットにしており、データ管理者であるアイルランドのDPC(Data Protection Commission、データ保護機関)に介入して同ツールの利用を停止するよう促している。

規制当局は裁判所に出廷することを選択したため、EU-US間のデータ転送協定の合法性に対する懸念が広がった。その結果、EU最高裁は欧州委員会が米国にいわゆる 「妥当性合意」 を与えるべきではなかったと判定し、Privacy Shield下での活動を禁止したわけだ。

この判決は、米国がEUユーザーの情報を処理するための特別な取り決めを持たないまま、データ保護の観点から「第三国」とみなされるようになったことを意味している。

さらにEU裁判所の判決では、EUのデータ監視機関はEUの人々のデータがSCCを介して第三国に転送されることにリスクがあると疑われる場合、介入する責任があることも明確になっている。

欧州のデータ監視当局は、違法となったPrivacy Shieldにいまだに依存している企業には猶予期間がないことを速やかに警告(未訳記事)した。

この件に関連するnoybの最新の訴えは「前述の101サイトのいずれも、各サイトに埋め込まれたGoogleアナリティクスやFacebook Connectを通じてウェブサイト訪問者のデータを米国に転送し続ける有効な法的根拠を持っていない」というものだ。

シュレムス氏は声明で「我々は、各EU加盟国の主要なウェブサイトのフェイスブックとグーグルのコードを検索しました。これらのコードスニペットは、各訪問者のデータをグーグルやフェイスブックに転送しています。両社とも、処理のためにヨーロッパに住む人々のデータを米国に転送していることを認めています。そして、これらの企業には、NSA(米国家安全保障局)のような米国政府機関がデータを利用できるようにする法的義務も負っています。GoogleアナリティクスもFacebook Connectもウェブサイト運営に必要不可欠なツールではありまえん。しかし、両ツールは置き換えられるか、少なくとも無効化できるサービスでもなかった」と述べている。

EU最高裁のいわゆる「Schrems II」裁定以来、実際にはセーフハーバー協定が頓挫して以来、米商務省と欧州委員会は難局に直面している。無効になったPrivacy Shieldを置き換えるために、新たなデータ協定をまとめなければならない(未訳記事)のだ。

しかし、米国の監視法の抜本的な改革がなければ、米国の国家安全保障上の優先事項とEUのプライバシー権との法的な対立を議論するそれぞれの議員による3回目の発議も、同様に失敗する運命にある。

この件に関する高等テクニックとして「データの流れを維持して『通常通りのビジネス』を継続するために、実際には時間を稼ぐことを目的としているだけだ」と皮肉な見方をする人もいるかもしれない。

しかし、現在では、米国の監視法が存在しないかのように振る舞う戦略には、大きな法的リスクが伴う。

これもまたシュレムス氏の発言だが「フェイスブックとグーグルがEUの顧客にデータ責任について積極的に警告しない場合、法的責任の枠内に入る可能性があります」と先月のEU最高裁の判決について指摘している。「裁判所は、米国側のデータ受信者がこれらの集団監視法に該当する場合、SCCを使えないことを明確にしました。米国企業はまだEUの顧客にその逆の論理で説得しようとしているようですが、これは誤っています。SCCの下では、米国でのデータ受信者はEUからのデータ送信者にこれらの法律を通知・警告しなければなりません。これを怠ると、該当する米国企業は実際に金銭的な損害を被った場合に責任を負うことになります」と説明する。

noybのプレスリリースにもあるように、GDPRの罰則制度はEU側のデータ送信者と米国側の受信者の世界的な売上高の4%にもおよぶ可能性がある。

クラウドファンディングで資金を募ったnoybは、EUの規制当局に行動を起こすよう圧力をかけ続けることを約束し、EUのデータ処理業者に米国のデータ転送の取り決めを見直すよう求め、「EU最高裁による明確な判決に適応する」ことを要求している。

ほかのタイプの法的措置も、GDPRの枠組みを利用し始めている。今月初めにオラクルとセールスフォースのトラッキングCookie使用に対する2つの集団訴訟が起こった。この集団訴訟に資金が集まったことに注目だ。TechCrunchがGDPRが2018年に発効されたときに記事にした(未訳記事)ように、訴訟が現実のものになりつつある。

米国の監視法とGDPRでEU最高裁による明確な判決が存在することで、データ処理の面ではすべて問題ないかのように見せかけたいと考えている米国の大手IT企業の利益は減少しそうだ。

なおnoybは、EUの諸機関が迅速な法的秩序の下でデータ処理を行えるようにするためのガイドラインやなども無料で提供(noybプレスリリース)している。

シュレムス氏は最新の訴えについて「我々は、いくつかのことを再調整するために時間が必要であるのは理解していますが、一部の企業が単にEUの最高裁判所の判決を無視しているように見えることは容認できません」とコメントを付け加えた。「この無視しているという事実は、ルールを遵守している企業に対しても不公平です。我々は、GDPRに違反した管理者および処理者、そして休眠状態ともいえるアイルランドのDPCように裁判所の判決を執行しない規制当局に対して、徐々に措置を講じていくつもりです」と続けた。

TechCrunchでは、アイルランドに拠点を置く法人が運営している思われるウェブサイトを対象とした最新のnoybの訴えに対してどのような措置を取るかを尋ねるため、アイルランドのDPCに連絡を取った。

フェイスブックのSCCの使用に対するシュレム氏の2013年の最初の訴えもまた、アイルランドで起こされた。米国のテック企業大手は同国にEU本部を設置することが多い。同氏がDPCにフェイスブックのSCC使用停止を命じるよう求めた要求は、約7年が経過しているほか5件の苦情が出ているにもかかわらず、いまだに実現していない。フェイスブックやグーグルのようなテック大手に対する国境を越えたGDPRの訴えが増加していることを考えると、当局は依然として何もしていないという非難に直面している。

アイルランドのDPCは、これらの主要なGDPRの訴えに対して、いまだに最終的な決定を下していない。しかし、規制当局が怠ってきたことを問い正す集団訴訟が準備されていることからも、DPCとすべてのEU規制当局がGDPRに準拠することを求める法的圧力は高まるばかりだ。

今夏の初め、欧州委員会はGDPRの運用開始から2年間のレビューの中で、GDPRの施行が一様に「積極的」に行われていないことを認めた(未訳記事)。

「欧州データ保護委員会(EDPB)とデータ保護当局は、より首尾一貫した、より実践的なガイダンスを提供することで、真の意味で共通の欧州文化を創造するための作業を強化しなければならない」と欧州委員会の価値観・透明性担当副会長であるVěra Jourová(ヴィエラ・ジョウロヴァ)氏は述べ、GDPRが機能しているかどうかについて、欧州委員会として初めて公開評価を実施した。

TechCrunchは、フランスの個人情報規制当局であるCNILにも連絡を取り、noybの訴えを受けてどのような行動を取るのかを尋ねた。

7月の判決を受けて、フランス当局はEDPBとともに「正確な分析を行っている」(CNILプレスリリース)と述べ、「判決がEUから米国へのデータ転送におよぼす影響について、できるだけ早く結論を出す」ことを目指していると述べた。

その後、EDPBのガイダンスが発表された。明らかなのはPrivacy Shieldに基づくデータ転送は「違法である」こと。そして、EU最高裁の判決はSCCの使用を無効にするものではないが、その裁定は、使用を継続するための非常に適切な許可を与えたにすぎない。

Techcrunchが先月報告したように、SCCを使用してデータを米国に転送できるかどうかは、データ管理者が「米国の法律が転送されたデータの適切な保護レベルに影響を与えない」という法的保証を提供できるかどうかにかかっている(未訳記事)。

「SCCに基づいて個人データを移転できるかどうかは、移転の状況を考慮した評価の結果、および実施することができる補足的な措置に依存する」とEDPBは付け加えた。

画像クレジット:Artur Debat / Getty Images

原文へ

(翻訳:TechCrunch Japan)

オラクルとセールスフォースのCookie追跡がGDPR違反の集団訴訟に発展

米国時間8月14日、データブローカー大手のOracle(オラクル)とSalesforce(セールスフォース)による広告のトラッキングとターゲティングのためのサードパーティ製Cookieの使用は、英国とオランダで発表された集団訴訟(クラスアクション)形式の訴訟の焦点となった。

この訴訟では、リアルタイム入札型広告オークションを実施するためにネットユーザーを大量に監視することは、個人データの処理に同意することをめぐるEUの厳格な法律に適合するとは考えられないと主張している。

訴訟当事者によると最終的に主張が認められて勝訴すれば、集団請求は100億ユーロ(約1兆2600億円)を超える可能性があると考えている。

英国では、データの権利に関連するケースで集団的損害賠償を追求するための確立されたモデルがないことを考えると、この訴訟は法的なハードルに直面する可能性も出てくるが、変化の兆しはある。

非営利財団のThe Privacy Collectiveは米国時間8月14日、オランダ・アムステルダムの地方裁判所で1件の訴訟を起こし、オラクルとセールスフォースが第三者のトラッキングCookieにやその他のアドテクノロジーを介した人々の情報の処理と共有において、EUの一般データ保護規則(GDPR)に違反していることを告発した。

このオランダでの訴訟は、法律事務所のBrandeisが主導するもので、GDPR違反に関連した集団訴訟としてはオランダ史上最大となる。この財団は、両社によって個人データが同意と認識なしに使用されたオランダ国民全員の利益を代表することになる。

同様の訴訟が今月下旬、英国・ロンドンの高等裁判所にも提出される予定で、GDPRと英国のPECR(Privacy of Electronic Communications Regulation)に言及することになっている。この裁判は、法律事務所のCadwaladerが主導する。

GDPRの下では、個人データを処理するためにEU市民に同意を得るには、必要な情報を提供したうえで、同意するかどうかを自由に選択できるようにしなければならない。この規則はまた、個人情報のコピーを受け取ることができるなど、個人情報に関する権利を個人に与えられている。

今回の訴訟では、このような要件に焦点が当てられている。テック大手のサードパーティ製のトラッキングCookieであるBlueKaiやKrux、Amazon、Booking.com、Dropbox、Reddit、Spotifyなどの人気ウェブサイトでホストされているトラッカー、その他多数のトラッキング技術が、ヨーロッパ人のデータを大規模に悪用するために使用されていることを主張している。

オラクルのマーケティング資料によると、同社のData CloudとBlueKai Marketplaceプロバイダーのパートナーは、約20億人のグローバルな消費者プロファイルにアクセスできる。なお、TechCrunchが6月に報告したように、BlueKaiはデータ侵害に遭い、数十億件の記録がウェブ上に晒された(未訳記事)。

一方セールスフォースは、そのマーケティング・クラウドが毎月30億件以上のブラウザやデバイスと「相互作用」していると主張(セールスフォースサイト)している。なお、オラクルは2014年にBlueKai(ad exchange記事)を、セールスフォースは2016年にKruxを買収(未訳記事)した。

イングランド&ウェールズの集団代表であり請求者でもあるRebecca Rumbul(レベッカ・ルンブル)博士はTechCrunchとの電話会談で、この訴訟について「オラクルとセールスフォースがウェブサイトに配置したCookieによって自分のデータが処理される方法に、普通の人が本当に十分な情報を得たうえでの合意を与えることができる方法はないと思います」と述べている。

同博士はさらに「Cookieの同期や個人データの集約など、Cookieが動作する可能性のある、おそらくは非常に悪質な方法が多数存在します。かなり深刻なプライバシーの懸念があります」と続ける。

リアルタイムビディング(RTB、Real-Time-Bidding)プロセスは、トラッキングCookieと技術の組み合わせによって、ダイナミックな広告オークションが裏で動いているウェブサイトをユーザーが閲覧しすると、個々のユーザーのプロファイルをリアルタイムにやり取りして、各ユーザーに適した広告をリアルタイムに表示するわけだ。これは近年、英国を含む多くのGDPR関連の訴えの対象となっている(未訳記事)。

これらの訴えは、RTBによる人々の情報の取り扱いが規制に違反していると主張している。なぜなら、個人のデータをほかの多くの組織に配信することは本質的に安全ではないからだ。逆にGDPRでは、そのサイトの設計および初期設定によってプライバシー保護の要件を満す必要があることが定められている。

一方、英国の政府外公共機関であるICO(Information Commissioner’s Office、情報コミッショナーオフィス)は、アドテクノロジーには合法性に問題がある(未訳記事)と1年以上前から認めてきた(未訳記事)。しかし規制当局はこれまでのところ法律に則って対処せず、訴えを放置(未訳記事)してきた。なお昨年、アイルランドのDPC(Data Protection Commissioner、データ保護委員会)は、同様の苦情を受けてグーグルのアドテクについて正式な調査を開始(未訳記事)したが、国境を越えた申し立てについては統一されたGDPRの裁決は出ていない(未訳記事)。

ルンブル博士によればRTBを標的とした今回の2つの訴訟は「セキュリティの申し立てに焦点を当てたものではなく、ユーザーの同意とデータアクセスの権利に関するものがほとんど」とのこと。同博士は、技術の巨人に対してクレームを持ち込むことの「ダビデ対ゴリアテ」(弱小な者が強大な者を打ち負かす)という事情を考慮して、自分たちの権利を行使する方法として規制当局へ苦情を申し立てるよりも、訴訟を起こすことを選択したことを認めている。

「私のような一人の人間がオラクルに苦情を申し立てるために英国ICOを利用しようとしても、オラクルのような大企業に対して一度にすべての問題を申し立てられるほどのリソースを持っているわけではありません」とルンブル博士はTechCrunchに語った。

「この問題を証明するという意味では非常に多くの労力が必要であり、その対価として得られるものは非常に少ないでしょう。集団代表訴訟を採ることで、私は英国でトラッキングCookieなどの影響を受けたすべての人を代表して訴訟を進められます」と続ける。

「今回の賠償金額は、オラクルの資金力や膨大な訴訟のコストを考えると効果があると考えています。単に賠償金を得ることが目的ではなく、このような大規模で公開された場で争うことで、願わくば個人情報の取り扱いに対する業界標準が変化させたいと思います」とルンブル博士。

「セールスフォースとオラクルが今回の戦いに破れた場合、うまくいけばアドテク業界全体に波紋が広がり、非常に悪質なCookieを使用している企業に行動を変えるように促すことができるでしょう」と同博士は付け加える。

この訴訟は、ロンドンの裁判所でのMastercardに対する4600万人の消費者を対象としたWalter Merricks(ウォルター・メリックス)弁護士の集団訴訟にも関わった訴訟ファンドのInnsworth Advisorsが資金を提供している。そしてGDPRは、個人が個人情報について法的措置を取ることを可能にすることで、英国の集団訴訟の状況を変えることに貢献しているように見える。GDPRの枠組みでは、第三者が個人に代わって救済を求める訴えを起こすことを支援することもできるのだ。国内の消費者権利法の改正も、集団訴訟を後押ししているようだ。

Innsworth Advisorsのマネージングディレクターを務めるIan Garrard(イアン・ガラード)氏は声明で「英国での集団訴訟制度の発展とEU、EEA(European Economic Area、欧州経済領域)での集団救済が可能になったことで、Innsworth Advisorsは個人データが悪用された何百万人もの個人のために裁判に訴える資金を投入することができるようになりました」と語る。

英国で進行中の別の訴訟では、グーグルに損害賠償を求めている。この訴訟は、プライバシー設定を歴史的に無視していたSafariユーザーに代わって起こされたものだが、これもまたデータの取り扱いに関連した集団訴訟型の法的措置の可能性を高めている。

裁判所は昨年に訴訟を棄却(未訳記事)したが、控訴裁判所はその判決を覆し、英国とEUの法律はデータ管理の喪失に関連する請求をするために「因果関係と結果的損害の証明」を要求しているというグーグルの主張を退けた。

裁判官は、原告は損害賠償を請求するために「金銭的損失または苦痛」を証明する必要はないと述べ、全員が同じ利益を得ることなく集団訴訟を進めることを認めた。

そのケースについてルンブル博士は「自身が関与している訴訟が英国で進められるかどうかについて、保留中の最終判決(おそらく来年)が影響を及ぼす可能性がある」ことを指摘した。

「私は、英国の司法当局がこの種の訴訟に前向きであることを大いに期待しています。なぜなら、個人情報に関する大規模な集団訴訟を起こさなければ、この種の訴訟全体の扉を閉ざしてしまうからです。この種の訴訟は進められないという法的判断が出た場合、 司法が個人情報の取り扱いについて民間企業にどのように依頼できるのか、どのように考えているかを理解したいと思います」と語る。

ルンブル博士には、アドテクに関与する非常に多くの企業があるにもかかわらず、訴訟がオラクルとセールスフォースに焦点を当てている理由も尋ねた。「私は、これらの企業が必ずしも最悪であるとは言っていませんし、このようなことをしている唯一の企業であるとも言っていません。しかし、彼らは巨大で国際的な数百億ドル規模の企業です。彼らは特に、この分野でのプレゼンスを高めるために、つまり自分たちの利益を高めるために、BlueKaiのようなさまざまなアドテクソフトウェアを買収しています」と説明する。

「一連の買収は、デジタル広告分野に進出して巨大なプレーヤーになるための戦略的なビジネス上の決断だったのです。つまり、アドテク市場においては、彼らは非常に大きなプレーヤーなのです。もし両社をこの件で責任を問うことができれば、業界全体を変えることができるでしょう。これがうまくいけば、より悪質なCookieを減らすこともできるでしょう。両社は巨額の収益を上げているので、被害を被っている多くの人を補償をする余裕があるという意味では、ターゲットにするのに適した企業です」と続ける。

ルンブル博士はまた、非営利財団のThe Privacy Collectiveがオンライントラッキングに関連した被害を経験したと感じているウェブユーザーからの話を集めようとしていることも話してくれた。

これらのCookieがどのように機能するかを示す証拠はたくさんあります(未訳記事)が、それは個人レベルで人々に酷い結果をもたらす可能性があることを意味します。それが個人金融に関連するものであれ、中毒性のある行動の操作に関連するものであれ、要するに何であってもすべて追跡可能で、私たちの生活のあらゆる側面をカバーしています」と説明する。

イングランド、ウェールズ、そしてオランダの消費者に、The Privacy Collectiveのウェブサイトを介して、この行動への支持を登録することを勧めている。

声明の中で、オランダの法律事務所のBrandeisの主任弁護士であるChristiaan Alberdingk Thijm(クリスティアン・アルバーディンク・ティイム)氏は「あなたのデータはEUのデータ保護規則に違反して、最高入札者にリアルタイムで売却されています。この広告ターゲティング技術は、ほとんどの人がその影響や、それに伴うプライバシーやデータの権利の侵害に気付いていないという点でやっかいなものです。このアドテク環境の中で、オラクルとセールスフォースは日常的に欧州のプライバシー規則に違反する活動を行っていますが、責任を問われるのは今回が初めてです。これらの事例は、人々の個人情報から莫大な利益を得ていること、そしてこの説明責任の欠如が個人や社会にもたらすリスクに注意を喚起することになるでしょう」とコメントしている。

「何千もの組織が毎週何十億もの入札依頼を処理していますが、データの安全性を確保するための適切な技術的・組織的な対策に一貫性はなく、個人データの国際的な転送に関するデータ保護法の要件をほとんど、あるいはまったく考慮されていません。GDPRは、個人の権利を主張するためのツールを提供してくれます。集団訴訟は、私たちが受けた被害を集計できることを意味します」と英国の法律事務所CadwaladerのパートナーであるMelis Acuner(メリス・アクナー)氏は、別の支援声明の中で付け加えている。

この訴訟についてTechCrunchは、オラクルとセールスフォースにコメントを求めた。

オラクルの副社長兼法務顧問のDorian Daley(ドリアン・デイリー)氏は以下のコメントを残した。

The Privacy Collectiveは、故意に事実の意図的な虚偽表示に基づいて無益な訴訟を起こしました。 オラクルが以前にThe Privacy Collectiveに伝えたように、オラクルはリアルタイム入札プロセス(RTB)で直接の役割を果たしておらず、EUにおけるデータフットプリントも最小限に抑えられており、包括的なGDPRコンプライアンスプログラムを実施しています。このようなオラクルの取り組みを説明をしたにもかかわらず、The Privacy Collectiveは悪意を持って提訴された訴訟を通じて賠償金を請求することを決定しました。 オラクルは、これらの根拠のない主張に対して強い姿勢で臨みます。

セールスフォースの広報担当者は次のようなコメントを残した。

セールスフォースでは、信頼が第一の価値であり、企業の顧客のデータのプライバシーとセキュリティほど重要なものはありません。当社は、プライバシーを最優先に考えてサービスを設計・構築しています。法人顧客には、EUのGDPRを含む適用されるプライバシー法の下で、顧客自身のプライバシー権を保護するための義務を遵守するためのツールを提供しています。

セールスフォースと別のデータ管理プラットフォームプロバイダは、The Privacy Collectiveと呼ばれるオランダのグループからプライバシー関連の訴えを受けました。この訴えは、Salesforce Audience Studioサービスに適用されるもので、ほかのセールスフォースのサービスとは無関係です。

セールスフォースは、The Privacy Collectiveの今回の申し立てに同意せず、正当性がないことを証明したいと考えています。

当社の包括的なプライバシープログラムでは、顧客のプライバシー権を保護するためのツールを提供しています。当社が法人顧客に提供しているツールと当社のプライバシーへの取り組みの詳細については、salesforce.com/privacy/products/をご覧ください。

 

画像クレジット:Getty Images

原文へ

(翻訳:TechCrunch Japan)

英国、新型コロナ危機で広告業界に対するプライバシー侵害調査を一時見合わせ

新型コロナウイルスは、アドテック業界に思いがけない幸運をもたらしている。

英国のデータ保護規制当局はアドテック業界によるインターネットユーザーの個人情報の処理に対する調査を一時的に停止した。COVID-19の大流行によって事業に混乱がもたらされているため、対象となるプライバシー監視の一時停止は有益であるとしている。

情報コミッショナー事務局 (Information Commissioner’s Office:ICO)によるアドテック業界の慣行に対する調査は、2018年に当局に寄せられた、プログラマティック広告のリアルタイム入札に伴う体系的で大規模な個人データの高速取引に対する苦情に関連するものである。

それ以来この問題についてはEU全域で多くの苦情が申し立てられており、「現在までに記録された中で最大の個人データの漏洩である」と言われている。

これらの苦情が最初に申し立てられたのは英国のICOに対してであったが、この苦情は未だに解決されていない。

そして、今後もさらに待ち続けなければならない…

苦情申立人の1人、 BraveのJohnny Ryan(ジョニー・ライアン)博士は、彼が監視機関に継承を鳴らして以降、2年に渡り監視機関がなんらの規制も行わなかった事を「大変な驚き」と表現した。

「規制当局は、調査も含め、同局の持つ法的強制力を行使できていません」とライアン氏はTechCrunchに語った。「これは執行どころの話ではないのです。彼らの無策には驚くほかありません」

「これは驚愕に値します。私は英国における最大のデータ侵害であると申し立てていますが、これに対し誰かが異議を唱えるのを聞いたことはありません。この巨大な違反は日々継続しているのです。RTBによる膨大なデータ侵害はすでに終息した単独の出来事ではなく、繰り返されることで害は絶えず蓄積されています」

TechCrunchからもICOに対し、アドテックに対する調査見合わせの決定について問い合わせを行った。問い合わせには、高度な業界プラットフォームによる侵害に対し、英国市民は自らのデータに関する権利が守られていることをどう確信したらよいか、という質問を含めた。

規制当局は我々の質問には答えず、かわりに次のような一般的な声明を送ってきた。

ICOは先日、COVID-19の感染拡大を受け、その間の規制手法に関する提示を行い、その中で当局の優先事項とリソースの再評価についてお伝えしました。

これを念頭に、当局ではリアルタイム入札およびアドテック業界への調査を一時的に見合わせる決定を行ったものです。

現状においては、どの業界に対しても過度の圧力をかけることは避けたく思っております。ただしアドテックに対する懸念が解消されたわけではありませんので、当局では、適切なタイミングで数か月以内に調査を再開することを目指しております。

規制当局がこの苦情に関し、アドテック業界に対し「一時的休息」を与えるのは今回が初めてのことではない。

実際、今までに数々の「警告」が発せられ、穏やかな文言が並ぶブログ(これや、これ、それにこれのような)が投稿される期間がそれに続いた。規制の執行は、というと、皆無なのである。

一方、EU一般データ保護規則 (GDPR)は今月末で2歳になる。つまり、更新されたフレームワークが適用されることになってから、丸2年が経過する。

多くのプライバシー専門家や運動家は、市民のデータへの法的保護措置に対して行われた最も重要なアップデートに伴って実施された規制執行(1995年にまで遡る)の量と質に疑問を投げかけている。

ライアン氏は、ICOによる規制放棄はEUデータ保護体制全般の成功を反映していないと述べ、英国の規制当局はEUに加盟する(ブレグジット後の)27カ国の中で最も豊富なリソースを持った機関であると指摘した(ブレグジットの移行期間が終了するまでは英国は加盟国と見なされるので、現時点で英国は実質上は加盟国である)。

「EUのデータ保護において最大かつ最も資金に富んだ規制機関が、自国が今まで経験した中で最も大規模なデータ侵害を取り締まることができないとしたら、GDPRは一種の集団妄想なのでしょうか?それともこれは英国に限定された出来事なのでしょうか?」とライアン氏は述べた。

ライアン氏が指摘するより大きな問題とは、ブレグジット後に英国がEUの企業との間で今までのような自由なデータ交換を望む場合、欧州委員会にデータ保護の「妥当性合意」を要請する必要があることである。

英国が欧州委員会に対し、EUからの個人情報が自由に流れてもよい安全で適切な第三国と見なすように要請した場合、EU側で検討すべき事項の1つは、そうした個人データを保護する規制機関があるかどうか、ということです。現時点での答えは『ノー』でしょう。英国には欧州市民の個人データを保護することのできる規制機関はないのです」とライアン氏。

「ICOの無策はブレグジット後に影響をもたらします。 これにより英国経済の非常に多くの分野に影響が出るでしょう」と彼は警告した。

ライアン氏を雇用するブレイブは、プライバシーの保護を重視するウェブブラウザを製作しているが、最近欧州委員会に対しEU加盟国を相手取り、自国のデータ保護機関に対し十分なリソースを与えていない政府を非難する報告書を提出し、委員会に対し侵害訴訟を開始するよう要請した。

「ICOでデジタル分野を専門に扱う人員がわずか3%に過ぎないのは一体なぜなのでしょう?」とライアン氏は続ける。「侵害の3%以上がデジタルであり、生活の3%以上がデジタルで占められているのは明白です。ICOは、我が国がデジタル移行の初期段階にあるという誤った認識の元に人員を配置しているのです。ICOはこの十年に対応できる規制機関ではなく、その人員配置は前世紀向けのものです。ICOに大きな管理上の問題があることは明確です。彼らはデジタルの問題を規制することを望まない、あるいはできないように見受けられます。ICOは目的に合わせて体制を整える必要があります」。

「彼らは依然として印刷物ベースの世界に生きているのです。私たちは印刷物ベースではない、私たちの生活のあらゆる側面に影響する問題を彼らに切実に突きつけています。もちろん、これには前回の選挙が含まれます。そしておそらく次の選挙でも…ですから、ICOがデータ保護を適切に行えていないという事実は、あらゆるレベルでの大きな問題なのです」。

ブレグジットの結果、他のEU規制当局が、例えば現在EU外の法的管轄下にあることが多い大手テックプラットフォームから英国市民を守ってくれているように権利の保護に関与してくれることはなくなる。英国市民にとって個人情報に対する権利を保護してくれる唯一のデータ保護規制機関はICOのみとなるのだ。

例を挙げるならば、Googleはブレグジットへの対応として、英国のユーザーを米国の管轄下に移すと述べている

関連記事:EUデータ保護当局が指針を発表、Cookieウォールの同意はNG、スクロールで同意もNG

Category:セキュリティ

Tag:ヨーロッパ / EU 広告業界 GDPR

[原文へ]

(翻訳:Dragonfly)