ハンブルグのデータ保護機関(DPA)はFacebookに対し、WhatsAppの利用規約の強制的な更新に基づいて同社が自らにアクセスを許可しようとしている、WhatsAppの追加的なユーザーデータに関する処理を禁止した。
物議を醸しているWhatsAppのプライバシーポリシーのアップデートは、公表されて以来、世界中で広範な混乱を引き起こしてきた。Facebookはユーザーから大きな反発を受け、競合のメッセージングアプリが憤慨するユーザーの流入で恩恵を享受することに直面した。同社はすでにその施行を数カ月延期している。
インド政府もまた、WhatAppの利用規約の変更を法廷で阻止しようとしており、同国の反トラスト当局が調査を進めている。
関連記事
・ユーザーの反発を受けWhatsAppがプライバシー規約の施行を3カ月延期
・インド政府がWhatsAppの新プライバシーポリシーを法律違反として裁判所に差し止めを申請
・インドの独占禁止監視機関がWhatsAppのプライバシーポリシー変更に対する調査を命じる
全世界のWhatsAppユーザーは、5月15日までに新しい規約に同意しなければならない(WhatsAppのFAQによると、その後も利用規約の更新への同意を求めるリマインダーは継続されるという)。
Facebookは、同規約を求められたユーザーの大多数はすでにこれに同意したとしているが、そのユーザーの割合は公表されていない。
しかし、ハンブルグのDPAの介入により、少なくともドイツ国内ではFacebookによる利用規約の施行がさらに遅れる可能性がある。当局は欧州連合(EU)の一般データ保護規則(GDPR)で認められている緊急措置を採用し、同社に対し3カ月間データを共有しないよう命じた。
WhatsAppの広報担当者は、ハンブルグ当局の命令の法的有効性に異議を唱え、これを「WhatsAppのアップデートの目的と影響に対する根本的な誤解」だとし「したがって合法的な根拠はない」と主張した。
「今回のアップデートは、ユーザーがWhatsApp上の企業にメッセージを送る際のオプションを明白にして、私たちがデータをどのように収集し、利用しているかについての透明性をさらに高めるものです。ハンブルグのDPAの主張は誤りであり、その命令は今回のアップデートの継続的展開に影響を与えるものとはならないでしょう。私たちは引き続き、すべての人に安全でプライベートなコミュニケーションを提供することに注力していきます」と広報担当者は付け加え、Facebook傘下のWhatsAppがこの命令を黙殺することを意図している可能性を示唆した。
TechCrunchでは、Facebookがハンブルクの手続きを訴える選択肢を検討していると認識している。
ハンブルグが採用している緊急措置権限は3カ月を超えて延長することはできないが、当局は欧州データ保護評議会(EDPB)に対し介入を求め、27の加盟国ブロックに及ぶ「拘束力のある決定」を下すよう圧力をかけている。
TechCrunchはEDPBに連絡を取り、ハンブルグのDPAの要請に応えるためにどのような措置を取り得るかについて尋ねた。
EUのDPAは通常、特定の苦情に関連する拘束力を有するGDPRの決定には関与しない。ただし、国境を越えた案件を処理するためのワンストップショップ制度の下で、主任監督機関による審査のために提出されたGDPRの決定草案についてEUのDPAが合意できない場合は、この限りではない。
こうしたシナリオでは、EDPBが自ら拘束力のある判断を採択できるが、それが緊急性の高い手続きに適しているかどうかは不透明だ。
【更新】DPAが暫定措置を延長または最終的なものとすることを希望する場合のように、第66条に基づく暫定措置を採択する決定を通知した監督機関が、EDPBに対して緊急の意見あるいは緊急の拘束力のある決定を要請することをGDPRが認めていることについて、EDPBが確認した。
「第66条は、GDPRのワンストップショップ制度(第60条)および一貫性制度(第63条)の例外規定です」とEDPBの広報担当者はTechCrunchに語った。「これは、監督機関がその管轄内のデータ主体の権利および自由を保護するために行動する緊急の必要性があると考える場合に利用できる、補完的な手続きです」。
「ハンブルグ当局はEDPBに対し、暫定措置を採用する決定を通知済みです」と同担当者は言い添えた。
ドイツのDPAは、FacebookがEUのデータ保護規則を軽視しているとして同社を厳しく批判するだけでなく、同地域の統括データ監督機関であるアイルランドのデータ保護委員会(DPC)に対しても、WhatsAppの新しい利用規約に付随する非常に広範な懸念を調査していないとして遺憾の意を表明した。
(「データ共有の事実上の慣行を調査する主任監督機関への我々の要請は、今のところ尊重されていない」というのが、ハンブルグのプレスリリースにおけるこの批判に関する丁寧な表現である)。
TechCrunchはDPCの所見を照会しており、入手次第、本記事を更新する。
【更新】DPCの広報担当者は次のように語った。「ハンブルグはワンストップショップの例外としてこのプロセスを開始しており、ハンブルグのDPAにとって、緊急手続きを開始するためのしきい値をどのように満たすかについて対応することが重要です。WhatsAppに関するアイルランドのDPA草案の決定は、DPA間の合意に達することができなかったため、GDPRの第65条紛争解決手続を通して処理されます。したがって、そのコンテキストにおいてハンブルグのDPAは、すでに進行中であるワンストップショップ手続きの例外としての第66条の下で、自らの行動を適格化する必要があります」。
アイルランドのデータ監視機関は、GDPRの施行に関して創造的な規制措置を怠っていると批判されている(批判者たちは、委員長のHelen Dixon[ヘレン・ディクソン]氏と同氏が率いるチームに対し、多くの苦情の調査を実施せず、調査を開始した場合にはその調査に数年を要したことについて非難している)。
DPCが大手テック企業に対してこれまでに下した唯一のGDPRの決定(Twitterに対するもので、データ漏えいに関連している)は、他のEUのDPAとの論争に発展した。DPA側は、最終的にアイルランドが科した55万ドル(約6000万円)の罰金よりもはるかに厳しい罰則を求めている。
FacebookとWhatsAppに対するGDPR関連の調査について、DPCは依然として積み残したままである。WhatsAppのデータ共有の透明性に関する決定書の草案が2021年1月に他のEUのDPAに送られて審査に入っているが、この規制が適用されてから3年近く経った今もなお決議案は日の目を見ていない。
つまり、最大の大手テック企業に対するGDPRの施行が欠如していることに対する不満が、他のEUのDPAの間でも高まっている。DPAの中には、アイルランドを通じて多くの苦情を集めるワンストップショップ(OSS)制度のボトルネックを回避するために、創造的な規制措置を取っているところもある。
イタリアのDPAも2021年1月にWhatsAppの利用規約の変更について警告を発しており、変更内容についての明確な情報が不足していることを懸念してEDPBに連絡したと述べている。
EDPBはその時点で、監督当局間の協力を促進することがEDPBの役割であることを強調した。さらに「その権限に従ってEU全体でデータ保護法の一貫した適用を確保するため」、DPA間の情報交換を引き続き促進すると付言した。しかし、EUのDPA間の合意は常に脆弱であり、執行上のボトルネックや、OSSのフォーラムショッピングにより規制が維持されていないという認識をめぐる懸念が広がっている。
このことは、行き詰まりを打開して広範な規制の崩壊を回避する何らかの解決策、すなわちより多くの加盟国機関が一方的な「緊急」措置に訴える場合の対処に向けた対策を講じるようEDPBに求める圧力を高めることになるだろう。
ハンブルグのDPAは、WhatsAppの規約が更新されたことで、WhatsAppのユーザーの位置情報をFacebookに渡したり、企業がFacebookのホスティングサービスを利用した場合にWhatsAppユーザーの通信データを第三者に譲渡できるようにするなど、WhatsApp自体の目的(広告やマーケティングを含む)のために「Facebookとデータを共有する広範囲な権限」がWhatsAppに与えられるとしている。
FacebookはEU法の下でデータ共有を拡大する法的基盤としての合法的な利益に依存することはできない、と同局は判断している。
また、大手テック企業がユーザーの同意に依存しようとしている場合、変更が明確に説明されていないことや、ユーザーが同意に関する自由な選択(これはGDPRで要求されている基準である)を提供されていないことから、基準を満たしていないことになる。
「新しい規約に関する調査により、FacebookがWhatsAppユーザーのデータをいつでも自分たちの目的のために利用できるようにするために、両社の密接な関係をさらに拡大しようとしていることが明らかになりました」とハンブルグ当局は続けた。「プロダクトの改善と広告の領域に関して、WhatsAppはデータ主体のさらなる同意を要求することなく、データをFacebook企業に渡す権利を留保しています。その他の領域については、現時点ですでにプライバシーポリシーに則った自社利用が想定されています」。
「WhatsAppとそのFAQによって提示されたプライバシーポリシーには、例えば、電話番号やデバイスIDなどのWhatsAppユーザーのデータが、ネットワークセキュリティやスパムの送信防止などの共同目的のために、すでに企業間で交換されていることが記述されています」。
ハンブルグをはじめとする各DPAは、当時TechCrunchが報じたように、EUの最高裁判所のアドバイザーによる最近の意見を参考にして、GDPRの施行に関する問題を自らの手で解決しようとしているのかもしれない。Bobek(ボベック)法務官は、EU法は「緊急措置」を採用するため、または「事案を処理しないことを決定した主要データ保護当局に従って」介入するためなど、特定の状況において各機関が独自の手続きを取ることを認めているとの見解を示した。
この件に関するCJEU(欧州司法裁判所)の裁定はまだ係争中だが、法廷はアドバイザーの見解に同調する傾向が強くなっている。
関連記事:フェイスブックのEU米国間データ転送問題の決着が近い
画像クレジット:Justin Sullivan / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)
