CNILによるGoogle制裁について(決定文の概要と重要な論点)


CNILによるGoogle制裁について(決定文の概要と重要な論点)主たる事務所の要件、リスクにより厳しくなる遵守条件、情報提供のわかりやすさ、同意有効要件など

当サイトで既報の通り、フランスのデータ保護監督機関、CNIL (Commission Nationale de l’Informatique et des Libertés) は、1月21日、Googleに対して、GDPR違反を理由として、5千万ユーロの行政制裁金を賦課する決定をした。Androidを利用する際のGoogleアカウント作成において、GDPR13条に基づく情報提供が不十分で透明性を欠き、広告カスタマイズに関する同意がGDPRが規定する有効要件を欠き無効であると判断された。決定文の概要、企業が留意すべき重要な論点は以下の通りである。とくに、ワン・ストップ・ショップの運用に関する判断については注意が必要である。

1.CNILの管轄権について
GDPR55条は、EU各加盟国の監督機関は当該加盟国の領域内で管轄権を有する、と規定する。本件について、Googleは、GDPR60条の規定により、同社のEU域内における主たる拠点(main establishment)、Google Ireland Limited (GIL)が存在するアイルランドの監督機関であるDPCが管轄権を持ち、本件はアイルランドDPCに送付すべきと主張した。その証拠として、2003年以来、GILはGoogleの欧州、中東、アフリカにおける税務、会計、監査機能を持ち、欧州でのすべての広告販売契約の締結主体であることを示した。

CNILは、主たる拠点の定義を規定するGDPR4条(16)について、主たる拠点であるためには、個人データ処理の目的・手段について決定権を持つことが条件であるとし、GILは広告販売によりGoogleの欧州でのサービスを財源面で支えてはいるが、GILは、Android利用開始時のGoogleアカウント作成について、プライバシーポリシーの決定等、個人データ処理の目的・手段を決定する主体ではなく、これらの権限を持つのはGoogle本体(Google LLC)であると判断した。したがって、GILはGoogleのEU域内における主たる拠点とすることはできず、Googleは主たる拠点をEU域内に持たないので、苦情申立を受けたCNILが本件の管轄権を有すると判断した。

(IIJ注)形式的に欧州統括会社であることだけでは60条の「主たる事務所」とはいえず、個々の個人データ処理に関してその目的・手段を決定する権限が必要。そうでなければ、EU加盟各国の監督機関に提起された苦情申立については、それぞれの監督機関が管轄権を持つ。日本企業がEUのある加盟国において統括法人を有していても、日本にあるグループ本社が個々の個人データ処理について、その目的・手段を決定する権限を持つ場合、欧州統括法人を主たる拠点としてワン・ストップ・ショップ制度の恩恵を受けることができないことが明らかになった。

2.透明性と情報提供の義務違反について
Googleによる情報提供は、GDPR12条が規定する要件、すなわち、簡単にアクセスできること、明快さ、理解しやすさの条件を満たさず、GDPR13条により義務づけられる情報提供(いわゆるプライバシーノーティス)の条件が満たされないとCNILは判断した。13条により情報提供が義務づけられる項目は、複数の文書に分散し、断片化していて、すべてを閲覧するには、大量の情報を注意深く読んだ上で、複数のクリック操作を必要とし、見つけることが難しい情報があった。例えば、広告カスタマイズの詳細を知るには、プライバシーポリシーおよび利用規約を読み、「その他のオプション」をクリックして、さらに「続きを読む」をクリックして、「広告のカスタマイズ」ページを表示する必要がある。また、位置情報データの処理に関しては、プライバシーポリシーおよび利用規約を読み、「その他のオプション」「詳細」「場所の履歴」のリンクをたどる必要があるが、全貌を知るには、複数の文書に散在する情報を自らまとめる必要がある。以上のように、広告カスタマイズ、位置情報データの処理に関して提供される情報をすべて知るためには、5-6回のクリック操作が必要、個人データの保持期間に関する情報を知るためには、4回のクリック操作が必要である。このように情報提供全体について、アクセス性が欠如していると判断された。

(IIJ注)一覧性のない、ナビゲートしにくい情報提供は、12条のアクセスしやすさ、明快さ、理解しやすさの条件を満たさないと判断されることに留意する必要がある。

Google社が処理する個人データは、ユーザが与えたデータ(氏名、メールアドレス、パスワード、支払い方法など)、ユーザの行動により生成されるデータ(IPアドレス、ユーザ資格情報、タイムスタンプ、デバイス情報、位置情報、閲覧情報、購入情報、利用サービスに関する情報など)、ユーザ行動から推論されるデータから成る。これらにより、ユーザのライフスタイル、趣味、意見、など私的生活の側面を高い精度で明らかにするものであり、プライバシーに対して大規模な侵襲的性格をもつ。このようなプライバシーに対する影響度をふまえて、情報提供の明確さ、理解しやすさを判断する必要があるが、CNILはこれらの条件が満たされていないと判断する。

(IIJ注)GDPR24条の解釈・運用の方針として、プライバシーに対するリスクに応じて遵守条件の判断の厳しさが異なることが明らかにされた。本件では、サービス利用データから得られるライフスタイル、趣味嗜好等に関する推論はプライバシーを侵襲する程度が高く、遵守条件が厳しく判断された。クッキー(Cookie)や閲覧データを利用して広告カスタマイズを行う企業は留意すべきである。

3.同意の有効要件について
EDPBの同意ガイドラインによれば、同意が有効であるためには、少なくとも、管理者が誰であるか、処理の目的、処理するデータの種類、同意撤回権の存在、自動的意思決定の内容、リスクが明らかにされなければならない。しかし、Googleによる情報提供は、上述の通り透明性に問題があり、これらの条件を満たしていない。

また、GDPR前文43項は、異なる目的の個人データ処理について別々の同意を与えることができない場合、同意は任意性を欠くことが推定されると規定している。ユーザは、アカウント作成の際、個別の設定にアクセスすることができるが、これらの個別の設定はデフォルトで同意する設定(チェックボックスがあらかじめティックされている)になっている。このようにユーザーがアカウントのパラメータの構成を変更する場合、自分の側で積極的な行動を起こす必要がある。このような同意の取得方法は、明確で、積極的な行為を通じて与えられるべきであるとするGDPRの規定を満たさず、同意は有効ではない。

(IIJ注)e-Privacy Directiveとこれを執行するための加盟国国内法およびGDPRによる規制において、広告目的のクッキー利用を対象とする同意については、各国で微妙な解釈・運用の違いがあるが、少なくともフランスにおいては、クッキー利用による広告カスタマイズ(ターゲティング)には、明確なオプトイン同意が必要であり、違反について監督機関の執行を受けることが明らかになった。

Googleは、この決定を不服とし、フランスにおける行政処分に対する不服申立について最終判断を下す国務院(Conseil d’?tat)に上訴することを明らかにしている。

CNILによる決定全文
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト