Facebook(フェイスブック)は2019年の大規模なユーザーデータ流出をめぐって訴えられることになりそうだ。このデータ流出は最近明らかになったばかりで、5億3300万超のアカウントの情報がハッカーフォーラムで無料でダウンロードできる状態だった。
Digital Rights Ireland(デジタル権利アイルランド、DRI)は現地時間4月16日、欧州連合(EU)の一般データ保護規則(GDPR)にある個人情報流出に対する金銭賠償を求める権利を引用しながら、Facebookを相手取って「集団訴訟」を開始することを発表した。
GDPRの82条では、法律違反によって影響を受けた人に「賠償と責任の権利」を認めている。GDPRが2018年5月に施行されて以来、関連する民事訴訟は欧州で増えている。
アイルランド拠点のデジタル権利のグループは、EUあるいは欧州経済圏に住むFacebookユーザーに、haveibeenpwnedウェブサイト(電子メールアドレスまたは携帯電話番号で確認できる)を通じて自身のデータが流出しなかったかどうかチェックし、もし該当するなら訴訟に加わるよう促している。
流出した情報には、FacebookのID、位置情報、携帯電話番号、電子メールアドレス、交際ステータス、雇用主などが含まれる。
訴訟についてFacebookにコメントを求めたところ、広報担当は以下のように述べた。
当社は人々の懸念を理解しており、引き続き許可なしのFacebookからのスクレイピングを困難なものにすべくシステムを強化し、そうした行為の裏にいる人物を追跡しています。LinkedInとClubhouseが示したように、完全にスクレイピングをなくしたり、スクレイピングによるデータセットの露出を防ぐことができる企業はありません。だからこそ当社はスクレイピングとの戦いにかなりのリソースをあてていて、引き続きこの問題の一歩先を進むよう対応能力を強化します。
Facebookは欧州本部をアイルランドに置いている。今週初め、同国のデータ保護委員会はEUとアイルランドのデータ保護法に基づき調査を開始した。
国境をまたぐケースの調査を簡素化するためのGDPRのメカニズムにより、アイルランドのデータ保護委員会(DPC)がFacebookのEUにおける主なデータ規制当局だ。しかしながら、GDPR申し立てと調査の扱いやアプローチをめぐっては、クロスボーダーの主要ケースについて結論を出すまでの所要時間などが批判されてきた。これは特にFacebookの場合にあてはまる。
GDPRによるすばやいアプローチが導入されて3年になるが、DPCはFacebookの事業のさまざまな面に関する複数の調査を行っているものの、いずれもまだ結論が出ていない。
(最も結論に近いものは、FacebookのEUから米国へのデータ移転に関して2020年出した仮停止命令だ。しかし申し立てはGDPR施行のずいぶん前のことで、Facebookはただちにこの停止命令を阻止すべく裁判を起こした。解決は訴訟人がDPCプロセスの司法審査を提出後の2021年後半が見込まれている)。
関連記事:フェイスブックのEU米国間データ転送問題の決着が近い
2018年5月以来、EUのデータ保護規制では、最も深刻な違反をした企業に対し、グローバル売上高の最大4%の罰金を科すことができる。少なくとも書面上はそうだ。
ただし繰り返しになるが、DPCがこれまでにテック企業(Twitter)に対して科したGDPRの罰金は理論上の最大金額には程遠いものだ。2020年12月に規制当局はTwitterに対し、45万ユーロ(約5860万円)の罰金を発表した。この額はTwitterの年間売上高のわずか0.1%ほどにすぎない。
この罰金もまたデータ流出に対するものだった。しかしFacebookの情報流出と異なり、Twitterのものは同社が2019年に問題に気づいたときに公表された。そのため、5億3300万のアカウントの情報流出につながった脆弱性にFacebookが気づいたものの公表せず、2019年9月までに問題を修正したという主張は、Twitterが科されたものよりも高額な罰金に直面すべきと思わせる。
ただ、たとえFacebookが情報流出でかなりのGDPRの罰金を受けることになっても、監視当局の取り扱い案件の未処理分と手続きのペースが緩やかなことからして、始まってまだ数日の調査のすばやい解決は望めない。
過去の案件からするに、DPCがFacebookの2019年の情報流出について結論を出すのに数年はかかりそうだ。これは、DRIが当局の調査と並行して集団での訴訟を重視している理由だろう。
「今回の集団訴訟への参加を意義あるものにしているのは賠償だけではありません。大量のデータを扱う企業に、法律を順守する必要があり、もしそうしなければその代償を払わなければならないというメッセージを送ることが重要なのです」とDRIのウェブサイトにはある。
DRIは2021年4月初め、Facebookの情報流出についてDPCにも苦情を申し立てた。そこには「アイルランドの裁判所での損害賠償のための集団訴訟を含め、他の選択肢についても法律顧問と協議している」と書いている。
GDPR施行までのギャップによって、訴訟資金提供者が欧州に足を踏み入れ、データ関連の損害賠償を求めて一か八かで訴訟を起こすチャンスが増えているのは明らかだ。2020年、多くの集団訴訟が起こされた。
関連記事:オラクルとセールスフォースのCookie追跡がGDPR違反の集団訴訟に発展
DRIの場合、どうやらデジタル権利が支持されるようにしようとしている。しかしDRIは、プライバシーの権利が踏みにじられたユーザーに金を支払うようテック大企業に強制する損害賠償を求める主張が法に則った最善の方法だとRTEに語った。
一方、Facebookは2019年に明らかにしなかった情報流出について「古いデータ」だと主張して軽視してきた。これは、人々の出生日は変わらない(そして、多くの人が携帯電話番号や電子メールアドレスを定期的に変えたりもしない)という事実を無視する歪んだ主張だ。
Facebookの直近の大規模な情報リークで流出した多くの「古い」データは、スパマーや詐欺師がFacebookユーザーを標的にするのにかなり使い勝手のいいものになる。そして訴訟の関係者がデータ関連の損害でFacebookをターゲットとするのにも格好の材料となっている。
カテゴリー:ネットサービス
タグ:Facebook、データ漏洩、EU、ヨーロッパ、GDPR、裁判、個人情報
画像クレジット:Jakub Porzycki/NurPhoto / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Nariko Mizoguchi)