Planet49事件ドイツ連邦最高裁判決:チェックボックスによる同意、非個人データのクッキー同意について重要な判断


重要なポイント:

  • あらかじめチェックしたチェックボックスによる同意は無効
  • クッキーで取得するデータが個人データでなくてもePrivacy指令により同意取得が義務づけられる

同意有効要件、非個人データのクッキー同意について重要な判例

5月28日、ドイツ連邦最高裁判所(Bundesgerichtshof)は、Webサイトでの抽選広告をオーガナイズする事業者のPlanet49による広告配信およびクッキー設定に関する同意取得方法が違法であるとしてドイツ連邦消費者団体連盟(Bundesverband der Verbraucherzentralen)が訴えていた裁判について、判決を言い渡した。
この事件は、

  • 同意を拒否するにはあらかじめチェックされたチェックボックスからチェックを外さなければならない設定における同意の有効性
  • クッキーを利用して取得する情報が個人データではなくても、なおクッキー設定に関する同意取得が義務づけられるのか
  • クッキーを設定する場合の情報開示義務の範囲(とくに利用期間、開示先について)

という、Webサイトやアプリでクッキーその他のトラッキング技術を利用するすべての事業者にとって重要な論点についての判決なので、あらためて、事件の事実、欧州司法裁判所(CJEU)およびドイツ連邦最高裁判所が示した判断についてまとめてお伝えする。

事実と請求内容

原告は、ドイツ各州の消費者保護団体を束ねる連邦レベルの団体である。被告のPlanet49は、2013年9月、同社が運営するWebサイトで懸賞キャンペーンを実施した。応募者が郵便番号、氏名、住所を入力するフォームには、チェックボックスを伴う2つの同意宣言文が表示される。
1つ目の同意宣言文は、キャンペーンのスポンサーおよびパートナー企業が応募者に対して郵便、電話、電子メールまたはSMSで広告を配信することに対する同意を求めるもので、そのチェックボックスは初期状態で空白である。同意宣言文からリンクされたリストには57社のスポンサーおよびパートナー企業が列挙され、応募者は、各企業名の横に置かれた拒否リンクをクリックすることにより、広告を受信したくない企業を選択することができる。応募者が拒否しなかった企業が30社以上ある場合には、Planet49が最大30社まで、広告を配信する企業を選択する旨、記載されている。(つまり、応募者が40社について拒否した場合、リスト中の57社のうち残り17社が広告を配信することになり、また、応募者が10社を拒否した場合、拒否されなかった47社からPlanet49が30社を選択して広告を配信することになる。)
2つ目の同意宣言文に付されたチェックボックスは最初からチェックされており、これに同意することにより、ウェブ分析サービスRemintrex社が設定するクッキーによって応募者のウェブ閲覧行動が記録・分析評価され、応募者の興味関心に対応した広告が配信されること、クッキーはいつでも削除できること、詳しくはリンク先の情報を参照すべきことが記載されている。リンク先では、クッキーはランダムに生成された識別子が応募者の登録データと関連づけられること、応募者が広告パートナー企業のウェブサイトを閲覧すると閲覧履歴が記録され、応募者の興味関心、応募者が当該企業の製品・サービスを購入したかどうかが記録されることが記載されている。
応募者は、上記2つの同意宣言文に付されたチェックボックスのうち、少なくとも1つがチェックされた状態でなければキャンペーンに応募することができない。
原告は、このような同意宣言文を使用禁止を命じるとともに、被告がこれに従わない場合、間接強制金の支払を命じる判決を求めた。

欧州司法裁判所(CJEU)の予備判決

EU加盟各国による一貫したEU法解釈運用を確保するため、EU加盟国の裁判所は、EU法の解釈について疑義がある場合CJEUの判断を照会する予備判決(preliminary decision)という制度がある。この事件は、ePrivacy指令(2002/58/EC)、旧EUデータ保護指令(95/46/EC)およびGDPR(2016/679)の解釈が問われていたので、ドイツ連邦最高裁判所はCJEUの判断を求めていた。この照会に対して、CJEUは、昨年10月、以下の判断を示した。

  • 旧EUデータ保護指令(95/46/EC)およびGDPRが規定する同意は、能動的な意思表示でなければならず、あらかじめチェックが入れられたチェックボックスを示し、利用者が同意を拒否するためにはこのチェックを外さなければならない状況では、有効な同意は取得し得ない。
  • 端末装置で読み書きされるデータが個人データであるかどうかにかかわらず、ePrivacy指令第5条(3)により利用者の同意を取得しなければならない。
  • ePrivacy指令第5条(3)が義務づける明確で包括的な情報提供の範囲には、クッキーの設定元、利用目的だけでなく、クッキーを利用する期間、クッキーにより取得した情報の開示先も含まれる。

1つ目の同意宣言文による電話等での広告に関する判断

旧EUデータ保護指令第2条(h)によれば、同意の範囲は特定されていなければならない。このケースでは、どの企業の広告配信に対して同意が与えられたのかが明確に特定されなければ、同意の範囲が特定されているとは言えない。しかし、応募者の選択次第では、(応募者の意思に関係なく)Planet49が広告を配信する企業を選択することになるので、範囲が特定された同意があったとはいえない。このことは、旧EUデータ保護指令を廃止して現在適用されているGDPR第4条(11)においても同じである。

2つ目の同意宣言文によるクッキー設定に関する判断

CJEUが予備判決で示したとおり、あらかじめチェックされたチェックボックスをもってクッキー設定に同意したものとすることはできない。クッキーにより取得される情報が個人データであるかどうかによって、同意取得義務は影響を受けない。(Auf die Frage, ob es sich bei den Informationen um personenbezogene Daten handelt, kommt es nach der Entscheidung des Gerichtshofs in diesem Zusammenhang nicht an.)

IIJコメント

Planet49事件は、あらかじめチェックされたチェックボックスによる同意取得が有効かどうかという文脈で解説されることが多いが、もう一つの論点、すなわち、クッキー設定の同意取得義務は、クッキーによって取得するデータがGDPRが定義する個人データに該当するかどうかにかかわらず適用されるという点も重要である。いわゆる必須クッキー以外のクッキー設定について、企業実務者から、取得するのは個人データではないから同意取得は不要ではないかというお問い合わせを受けることが多い。しかし同意取得義務を規定したePrivacy指令第5条第3項は、端末装置の読み書きを行う場合には同意を取得しなければならないと規定するだけで、読み書きするデータが個人データであると限定しているわけではない。Planet49ドイツ連邦最高裁判決および先行するCJEU予備判決は、この点についての解釈を明らかにしたという意味でも重要な判例となる。

 

本判決はまだ全文が公表されていない。筆者は下記リンクの連邦最高裁報道資料に示された判決概要を参考にこの記事を書いた。判決全文は、以下のリンクから申し込むと、判決全文の電子版が用意され次第、電子メールの通知が受けられる。
http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2020&nr=106320&linked=urt&Blank=1&file=dokument.pdf

【ドイツ連邦最高裁判所の報道発表】
https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868

【CJEUの予備判決】
http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=1220138

 

関連記事