GDPR違反、制裁金よりも怖い代表訴訟と巨額賠償


GDPR違反による代表訴訟・集団訴訟のリスク

今、イギリスの法曹界が1本の控訴院(The Court of Appeal)判決にざわついています。Googleがデータ主体の同意なく、ターゲティング広告目的でウェブサイト閲覧履歴を利用したことにより非金銭的損害を負ったと主張し、これに対して慰謝料を請求する代表訴訟(representative action)について、このような代表訴訟は適法に行い得るという判決が、昨年10月、控訴院で行われました。Googleは同判決を不服とし、事件は現在、連合王国最高裁判所(Supreme Court of the UK)で争われていますが、もし控訴院判決がこのまま認められた場合、個人データ管理者である企業のあるGDPR違反行為、たとえばプライバシー・ポリシーの不備や同意有効要件の欠如などによる個人データ自己コントロール権への侵害を原因として、同じ精神的被害を受けたと認定しうるデータ主体が何万人もいる場合、一人あたり数百英ポンド(数万円)の慰謝料が認めれれば、企業は総額数億円から数十億円の損害賠償を命じられるリスクがあるということになります。

プライバシー活動家による代表訴訟でGoogleを提訴

イギリスの民事訴訟規則(Civil Procedure Rules)は、複数人が同一の利益(same interest)を有する場合、(a)同一の利益を有する者の代表が訴訟を起こすことができ、または、(b)裁判所が同一の利益を有する者のいずれかを代表者として訴訟を遂行することを命じることができると定めています(同規則19.6条)。プライバシー保護活動家の英国人リチャード・ロイド氏は、GoogleがiPhoneにインストールされたSafariブラウザを利用している個人の同意なく、同社傘下のDoubleClickが設定するクッキーを設定し、利用者のウェブ閲覧履歴を取得し、ターゲティング広告のために利用者のプロファイリングを行ったことに対して、イングランドおよびウェールズのiPhone利用者を代表して、損害賠償を求める代表訴訟を起こしました。第1審では、(1)ロイド氏を代表とする集団(class)は、当時通用していた1998年データ保護法(旧EUデータ保護指令を実装する英国国内法)に照らし、何ら具体的な損害を被っているとは言えないこと、(2)集団(class)を構成する各個人が「同一の利益」を持っているとは言えないこと、の2点を主な理由として、ロイズ氏の訴えが代表訴訟に適さないと判断しました。ロイド氏はこれを不服として、控訴しました。

個人データ自己コントロール権の侵害は代表訴訟で争える

控訴院は上記2つの論点について第1審の判断を覆しました。まず、(1)損害の有無の論点について、 EU及びイギリスのプライバシー保護法は、個人のプライバシー権(個人データ自己コントロール権)に法的保護を付与するものであり、Googleの行動によって利用者は個人データ自己コントロール権を奪われたこと、個人データ自己コントロール権はそれ自体経済的な価値を持つものであり、その侵害に伴う損害は賠償されなければならないと判示しました。また、(2)「同一の利益」の論点については、ロイズ氏が代表する集団は、同じGoogleの法違反行為を原因とする個人データ自己コントロール権の侵害により同じ損害を受けており、民事訴訟規則が代表訴訟適格条件とする「同一の利益」を有していると言えると判示しました。

 

この判決で注目すべきポイントは、プライバシー保護法違反による個人データ自己コントロール権の侵害を賠償に値する損害と認めたことです。これにより、集団を構成する個々人それぞれの状況に関わりなく、企業による同じ違反行為によって同一の損害を受けたものと認定され、民事訴訟規則が規定する代表訴訟適格条件である「同一の利益」の条件を満たすと認められるケースが増えると考えられます。

GDPRは代表訴訟・集団訴訟への追い風

GDPRにも多数当事者訴訟を前提とし、これを支援する仕組みが見られます。GDPR82条1項では、管理者または処理者のGDPR違反行為の結果、非金銭的損害を受けた人は、その賠償を受けることができると規定されています。つまり、同意なく個人データを利用されたことによる個人データの自己コントロール権侵害といった定型的・画一的な非金銭的損害を理由とする慰謝料請求については、代表訴訟の対象となる可能性が高くなると考えられます。さらに、GDPR80条1項は、プライバシー保護を目的とする非営利団体が、多くの個人を代表して監督当局に違反提訴したり、損害賠償訴訟を行うことを認めます。これらの規定により、今後は、プライバシー保護活動家や活動団体がまず監督当局に違反提訴し、形式的な違反の認定を当局から得た上で、これを証拠として、当該違反により「非金銭的損害」を受けた集団のために慰謝料を請求する代表訴訟・集団訴訟に及ぶケースが増えると考えられます。

 

折しも、上述ロイド事件控訴院判決の2日後、2019年10月4日、英国高等法院(High Court)が、ブリティッシュ・エアウェイズによる個人データ漏洩ににより被った非金銭的損害の賠償(要するに「慰謝料」)を求める訴訟を、オプトアウト形式の集団訴訟(collective action on an opt-out basis)として進めることを認めました。ブリティッシュ・エアウェイズについては、この訴訟に先立ち、イギリスのデータ保護当局ICOがデータ漏洩に伴うGDPR違反行為に対して1億8千万英ポンドの制裁金を賦課する決定をしています。同案件では、当局への苦情申立、当局の違反判断と制裁金決定、これを証拠として利用する多数当事者による慰謝料請求訴訟という上述のパターンで事態が進行しています。

 

消費者保護法、プライバシー保護法に関連する多数当事者訴訟が次第に広く認められつつあるというイギリスのトレンドに対応して、米国での多数当事者訴訟に精通したローファームがイギリスに拠点を新設したとか、litigation funderと呼ばれる営利目的で訴訟に資金提供するファンドがイギリスでの多数当事者訴訟を認める動きに注目しているなどの論評もネットでは見られます。

B2Cブランドは細かい違反に細心の注意を

とくにB2C業態で一般消費者に物・サービスを提供する著名なブランドは、顧客・見込み客の個人データを扱う場合、形式的なGDPR違反がまず監督当局に提訴され、当局の違反認定が集団訴訟につながり、膨大な慰謝料請求につながるリスクを認識し、GDPRが管理者の義務として定めるデータ処理の原則遵守(不要なデータを保存していないか、個人データを他目的に利用していないかなど)、情報提供(プライバシーポリシーの記述は十分か)、同意有効要件の具備(同意を不当な取引条件としていないかなど)、権利行使対応(開示請求を放置していないかなど)、域外移転の適法化措置(必要なSCCなどを締結し、いつでも説明できる状態にあるか)、クッキー規制対応(広告目的のクッキーに関する説明とオプトイン同意取得の仕組みは正しく実装されているか)などを一つ一つ丁寧に遵守していく必要があると思われます。

 

ロイズ氏 vs Googleの控訴院判決:
https://www.cov.com/-/media/files/corporate/publications/2019/10/landmark_case_opens_the_door_to_uk_data_protection_consumer_class_actions.pdf

関連記事