【欧州司法裁】Facebook「いいね!」ボタンを企業ウェブで利用するには同意が必要


【欧州司法裁】Facebook「いいね!」ボタンを企業Webで利用するには同意が必要

7月29日、欧州司法裁判所(CJEU)は、自社ウェブサイトにFacebookの「いいね!」ボタンを設置した企業について、共同管理者としての地位と法的責任が存在すると判断した。

本件は、ドイツのオンライン衣料販売事業者Fashion ID社が自社Webページ上に設置したFacebookの「いいね!」ボタンをクリックした閲覧者の個人データが、Facebook Irelandに自動的に送信されているとして、消費者保護団体であるノルトライン=ヴェストファーレン州消費者センター(Verbraucherzentrale NRW)がEU旧データ保護指令(95/46/EC、以下「旧指令」)違反を訴えていたものである。訴えの中で原告の消費者保護団体は、「いいね!」ボタンをクリックした閲覧者がFacebook Irelandに自分の個人データが送信されていることを認知できなかったとしている。「いいね!」ボタンをエンベッドするWebサイトの管理者が旧指令の適用上「管理者」にあたるかどうかについて、デュッセルドルフ上級ラント裁判所からの照会に対し、CJEUが予備判決を下したもの。

決定でCJEUは、消費者保護団体の原告適格性を認定したうえで、Fashion ID社は、「いいね!」ボタンがクリックされることで、Facebook上での同社の製品の広告が最適化されることから、「いいね!」ボタンの設置による経済的利益を享受していたと認定した。そのため、「いいね!」ボタンを設置する企業は、「いいね!」ボタンをクリックした閲覧者の個人データの収集及び移転において、Facebook Irelandとともに共同管理者にあたるとし、管理者として、「いいね!」ボタンのクリックによる個人データの収集時、管理者の身元や収集の目的などの一定の情報を閲覧者に提供すべきであるとした。一方、Facebook Irelandに転送された後の個人データの処理に対しては、Fashion ID社の管理者の地位を否定した。

また、適法根拠を同意とする場合、事前に閲覧者から個人データの収集と移転の同意を取得しておくこと、正当な利益を適法根拠とする場合は、「いいね」ボタンの提供者かつ共同管理者であるFacebook Irelandとともに、個人データの取得から移転にわたり利益の正当性が追求されなければならないとしている。

本件は旧指令違反を理由とするものであるが、CJEUは、本件における共同管理者の法的責任は、現行のEU一般データ保護規則(GDPR)でも明示的に規定されているとしており、EEA域内の個人がアクセスできるウェブページに同種のSNSボタンやリンクを設置する企業等においては、それらを通じた閲覧者の個人データの取扱いに留意する必要がある。

具体的には、ウェブサイトのプライバシーポリシー(プライバシーノーティス)において、Webサイト管理者およびFacebookがGDPR適用上、共同管理者であること、処理の目的(広告の最適化など)、適法根拠(利用者の同意または正当な利益の追求)などについて、情報提供を行うとともに、利用者の同意を適法根拠とする場合、「いいね!」ボタンを有効化する前に利用者の明確で肯定的な行為による同意を取得する必要がある。

CJEUの関連する公式文書
http://curia.europa.eu/juris/documents.jsf?num=C-40/17#
CJEUのプレスリリース
https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099en.pdf

関連記事