欧州のプライバシー活動家Max Schremsは新たにテック大企業を告訴した。ここにはAmazon、Apple、Netflix、Spotify、YouTubeなどが含まれる。
Schremsの非営利のプライバシーとデジタルにかかる権利団体noybを通じて行われた告訴は、そうしたテック企業によるサービスが地域のデータ保護規則に照らしてどのようにデータアクセスリクエストに応えているかについてのものだ。
欧州一般データ保護規則(GDPR)の第15条ではデータ主体によるアクセス権が認められている。
告訴では、テック企業が構造的にこの権利を踏みにじっていると主張している。データアクセスのリクエストに応える自動システムを構築したが、noybが試してみたところ、法的に認められた関連する全ての情報を提供しなかった。
実際、noybは全部で8企業を欧州8カ国で試し、どのサービスの反応も満足するものではなかった、としている。noybは8企業を相手にオーストリアデータ保護当局に告訴した。この8企業には音楽とポッドキャストのプラットフォームSoundCloud、スポーツストリーミングサービスDAZN、ビデオオンデマンドプラットフォームFlimmitも含まれている。
GDPR第80条では、データ主体をnoybのような非営利団体が代表することができるとしていて、告訴はユーザー10人を代表して提出された。
下記に、noybが行なったテストの結果の詳細を示している。ここには各企業が直面するかもしれない罰金の最大額も示されている。
noybによると、8社のうちDAZNとSoundCloudの2社は全く対応せず、残る6社も部分的なデータのみの対応だった。
また、生のデータ取得に加え、ユーザーはソースや受取人、彼らの情報の情報が処理された目的を知る権利を有する、とnoybは指摘する。しかしFlimmitとNetflixだけがテストリクエストに対する反応でバックグラウンド情報(しかしフルデータではない)を提供した。
「多くのサービスがアクセスリクエストに対応する自動システムを設定しているが、ユーザー全員が権利を有するデータをリモートですら提供しなかった」とSchremsは声明文で述べている。「ほとんどのケースでは、ユーザーは生データを得ただけだった。しかしたとえば、そのデータが誰とシェアされたのかについては情報がない。こうしたシステムは関連情報を差し控えるように設計されていて、これは構造的にユーザーの権利の侵害につながる」。
TechCrunchは訴状にある企業にコメントを求めている。アップデート:Spotifyは「我が社はデータのプライバシーと、ユーザーに対する義務を極めて真剣にとらえている。国内、そして我々が完全に受け入れていると確信しているGDPRを含む海外の関連する法律に従っている」とコメントした。
昨年5月、欧州の新たなプライバシー法律が施行された直後にnoybは計画していた第一陣の告訴を行なった。この告訴は“強制された同意”と名付けたものをターゲットとしていて、Facebook、Instagram、WhatsApp 、GoogleのAndroid OSではサービス利用にあたっては同意を必須としていて、ユーザーに彼らのデータを広告向けに処理することに対する同意について選択の自由を与えていない、としている。
この告訴については多くのデータ保護当局による調査が今も続いている。
(原文へ 翻訳:Mizoguchi)
