シュレムス氏、Android広告IDの処理がGDPRに違反するとGoogleを提訴


オーストリアのプライバシー活動家、マックス・シュレムス氏が主催するプライバシー保護活動団体NOYBは、GoogleによるAndroid端末における広告目的のAAIDの利用がGDPRに違反するとして、5月12日、GDPR第77条および第79条にもとづき、名を伏せたある個人(以下「申立人」)を代理して、オーストリア当局に苦情申立を行った。申立の内容は、Android端末における広告ID利用について、GDPR遵守の観点から本質的な問題点を指摘しており、今後、各国の当局を巻き込んで大きな問題になると筆者は考える。申立書の概要は以下の通り。

AAIDは端末を一意に識別する個人データ

Android端末には、アプリケーション画面で利用者ごとにカスタマイズされた広告を表示することを目的に、端末を一意に識別する符号(Android Advertising ID: AAID)が与えられる。AAIDは端末の設定により消去することができるが、消去した場合、新たな一意のAAIDが与えられる。AAIDは、端末を一意に識別するので、GDPR第4条に定義される個人データに該当する。

Googleはアクセス権行使に対応せず

申立人は、GDPR第15条のアクセス権行使により、AAIDの処理内容、その適法根拠、取得元、開示先、保持期間について回答を求めたが、Googleから具体的な回答はなく、既存の説明文書を示された。これはGDPR第15条に違反する。

Googleは権利行使者を識別できないと弁明

そこで、申立人は、AAIDの処理について、もし申立人が同意していたならその同意を撤回すること、Googleが適法根拠として正当な利益を援用するのであれば、GDPR第21条の異議権を行使する旨、Googleに意思表示した。そして、権利行使請求者である申立人を識別するための情報として申立人の端末のシリアル番号、IMEI、申立人の氏名を提供した。これに対してGoogleは、Googleアカウントを持っていない利用者については、AAIDから個人を識別できないから、権利行使には対応できないと回答し、AAIDをリセットすることにより、当該AAIDに関連するデータ処理を中止させることができると説明した。

Googleの処理には有効な適法根拠なし

Googleは、AAIDの処理について、同意を適法根拠としているように思われるが、申立人が端末を利用するには、Googleが提示したプライバシーポリシーに同意せざるを得なかったことをもって有効な同意があったとすることはできない。なぜならば、そのような意思表示は、十分な情報提供を行った上で、特定に処理目的について、自由に与えられた同意とは言えず、GDPRが規定する同意の有効要件を満足しないからである。また、もし、GoogleがAAID処理の適法根拠として、正当な利益に依拠するのであれば、申立人は、Googleおよび他の主体が広告カスタマイズを目的としてAAIDを利用する利益は、申立人のプライバシー権に優先するとは言えない。以上の理由で、Googleは、GDPR第6条1項(個人データ処理には適法根拠がなければならないこと)に違反する。

Googleの対応は、同意撤回、異議権に対応していない

申立人は、もし同意があったのであればGDPR第7条3項に基づいてこれを撤回し、また、Googleが正当利益を適法根拠とするのであれば、GDPR第21条に基づいて、これに対して異議権を行使した。Googleは、このような権利行使に対して、申立人はGoogleアカウントを保持していないので、Googleは権利行使者を識別することができず、権利行使に対応することができないと回答した。申立人は、氏名、端末のIMEIおよびシリアル番号を提供したのだから、Googleが権利行使者を識別できないという抗弁は成立しない。以上の理由で、Googleは、GDPR第7条3項(同意撤回)および第21条(データ主体の異議権)に違反する。

AAIDの再設定は事実上の永続的識別を可能にする

Googleは、端末の操作によってAAIDをリセットすることにより、利用者は当該AAIDに関連する個人データ処理を中止することができるとするが、AAIDをリセットすれば、新たなAAIDが端末に付与され、以前と同様に個人データ処理が行われる。しかし、申立人が証拠として示す添付書類が示すように、新たなAAIDは、IPアドレス、位置情報、電話番号、IMEIなどの他の情報と照合することにより、消去されたAAIDと結合することが可能であり、事実上、ある端末を永続的に識別する符号として機能している。Googleは、開発者との契約において、新旧のAAIDを結合しないことを義務づけるが、このことは、裏返せば、技術的にはこのような結合による永続的な識別が可能であることを示している。

申立人は、当局が本件を調査し、Googleが申立人のAAIDを恒久的に削除し、これに関連する個人データ処理を恒久的に中止すること、申立人の個人データへのアクセスを提供すること、Googleに対してこのような行為を抑止するに足りる比例的な制裁を課すことを求める。

 

NOYBが公開した苦情申立書:
https://noyb.eu/sites/default/files/2020-05/complaint_aaid_redacted.pdf

 

(文責:鎌田博貴)

関連記事