ベルギー当局、ソーシャルメディアの招待メールには受信者の同意が必要


ベルギーの個人データ保護当局、APD/GBAは5月14日、ソーシャルメディアの会員がスマートフォンやPCからインポートしたアドレス帳に含まれる連絡先に対して招待メールを送信する場合、送信者だけでなく、受信者の同意が必要であるとして、このような同意を取得していなかったソーシャルメディアTwooに対して5万ユーロの制裁金を賦課することを決定した。

ポイント

  • ソーシャルメディアが非会員に送信する招待メッセージは、GDPRの適用を受ける
  • 招待メッセージがePrivacy指令の同意取得義務を適用されない場合でもGDPRは適用される
  • あらかじめチェックされたチェックボックスは、GDPRの同意有効要件を満たさない
  • 招待メッセージの受信者である非会員から同意を取得する必要がある
  • 招待メッセージ送信は「正当な利益」を適法根拠とすることはできない

GDPR施行後はじめてのワンストップ・ショップ制度による制裁処分

この決定は、GDPRが新設したワンストップ・ショップ制度を活用したはじめての処分であり、ベルギーのAPD/GBAが主たる監督機関(lead supervisory authority)となり、オランダ、ドイツ(ニーダーザクセン州、バーデン=ヴュルテンベルク州、ブランデンブルク州、ラインラント=プファルツ州、メクレンブルク=フォアポンメルン州、バイエルン州、ノルトライン=ヴェストファーレン州、ベルリン州)、ポルトガル、スウェーデン、アイルランド、ラトヴィア、イタリア、ノルウェー、ハンガリー、オーストリア、スペイン、フランス、キプロス、スロヴァキア、デンマークおよびスロヴェニア、合計16カ国の当局が関係監督機関(concerned supervisory authorities)として参加して決定された。

Twooの招待メール機能

Twooは、ベルギーを本拠として、会員数450万人、EU域内会員数150万人を擁するソーシャルメディア。Twooの「友だちを招待」機能の概要は次の通り。会員の同意により、会員のスマートフォン、PCにあるOutlook, Gmail, Yahoo, Facebookなどのアドレス帳をインポートする。Twooはこれを定期的にスキャンして、アドレス帳に含まれる知人がTwooの会員になったことを知らせ、まだ会員ではない知人にTwooに招待する電子メールをTwooが送信してよいかどうかを尋ねる。会員は設定画面で設定することにより、このようなアドレス帳のスキャン、現会員との照合、招待の示唆を中止できる。

決定の概要

以下に決定の概要を示す。同様の非会員招待機能を提供するオンラインサービス事業者にとっては厳しい内容であるが、EU16カ国の当局が協議した上での判断なので、今後はこの解釈が広く適用されることになると考えられる。

招待メッセージは、GDPRの適用を受ける

Twooは、会員から非会員への招待メッセージ送信は、会員の個人的な活動であり、GDPR前文第18項に基づきGDPRの適用対象外であると弁明した。この点について、APD/GBAは、この適用除外はソーシャルメディアの会員である個人には適用されるが、同項において明文で示されている通り、ソーシャルメディアの運営者には適用されず、TwooはGDPRの適用において管理者の地位にあると判断した。

招待メッセージがePrivacy指令による同意取得義務を適用されない場合でもGDPRは適用される

Twooは、非会員への招待メールはTwooが送信する勧誘メールではなく、会員がTwooのプラットフォームを利用して送信する私的な通信であり、ePrivacy指令が規制する商業的電子通信ではないので、招待メールの送信について会員から同意を取得する必要はないと主張した。また、このような解釈は、旧EU29条データ保護作業部会(WP29)のソーシャルネットワークにおけるデータ保護に関するガイドライン(01189/09/EN, WP163)に沿ったものであると主張した。

ePrivacy指令(2002/58/EC)第13条は、求められていない商業的電子通信(unsolicited commercial electric communication、つまりマーケティング目的のメール)を送信する場合、原則として受信者の同意を義務づけている。WP29の同ガイドラインは、Twooのようなソーシャルメディアが非会員に対して送信するメッセージが以下の条件を満足する場合、商業的電子通信ではなくソーシャルメディアの会員から非会員への私的通信であるとする。

  • 当該メッセージを送信することに関して送信者および受信者いずれに対してもインセンティブが付与されないこと
  • ソーシャルメディア運営者が送信先を選択しないこと
  • メッセージの送信者が誰であるかが明示されていること
  • 送信者に代わって送信されるメッセージの完全な内容を送信者が承知していること

APD/GBAは、このようなメールの送信がePrivacy指令に基づく同意取得義務の適用外だとしても、これに伴う個人データの処理は、同時にGDPRの適用を受け、個人データ処理の適法根拠が成立するかどうかについては、APD/GBAが判断する権限を持つと判断した。

招待メッセージの送信者である会員からの同意取得がGDPRの同意有効要件を満たさない

APD/GBAは、Twooはあらかじめチェックされたチェックボックスにより招待メールの送信先を示唆しているが、このような方法は、GDPRが同意有効要件として求める明確で肯定的な行為であることという条件を満足しないと判断した。

招待メッセージの受信者である非会員から同意を取得する必要がある

Twooは、アドレス帳の取り込みおよび非会員への招待メッセージの送信は、会員に関する個人データの処理であり、これについて非会員からの同意を取得する義務はないと主張した。APD/GBAは、オランダのデータ保護当局がWhatsAppに関する同様のケースにおいて下した判断を参照し、この場合、非会員の個人データも処理されるので、招待メッセージの受信者である非会員からの同意が必要であると判断した。

招待メッセージ送信は「正当な利益」を適法根拠とすることはできない

会員のアドレス帳に含まれる連絡先が会員か非会員かを判断し、非会員の連絡先データは廃棄するという処理については、Twooの正当な利益を適法根拠とすることができるが、非会員に対する招待メッセージの送信については、受信者がこのような行為にコントロールを及ぼすことができないという事情を考慮すれば、バランス・テストをパスせず、Twooは正当な利益を適法根拠とすることはできない。

 

APD/GBAの制裁決定文書:https://www.dataprotectionauthority.be/sites/privacycommission/files/documents/Beslissing_GK_25-2020_EN.pdf

旧29条データ保護作業部会(WP29)のソーシャルネットワークにおけるデータ保護に関するガイドライン(01189/09/EN, WP163):
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2009/wp163_en.pdf

関連情報

Facebook「いいね!」ボタンを企業ウェブで利用するには同意が必要

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応の最新情報はここから。

プライバシー保護規制対応に関するオンラインセミナー(全6回シリーズ)

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

  お問い合わせはこちら

 

関連記事