シュレムス氏ら、GDPR施行初日にfacebookなどを提訴


オーストリアの弁護士・プライバシー活動家のマクシミリアン・シュレムス氏が主宰し、ウィーンに本拠を置くNGOであるnoybは、GDPR施行初日の5月25日、facebookなど4つのSNSの個人データ処理がGDPRに違反しているとしてデータ保護監督機関に提訴したと発表した。(https://noyb.eu/wp-content/uploads/2018/05/pa_forcedconsent_en.pdf)(リンク切れ)

noybは、googleをフランスCNILに対し、InstagramをベルギーDPAに対し、WhatsAppをハンブルクHmbBfDlに対し、facebookをオーストリアDSBに対し、それぞれ提訴した。

主な論点は、これらのSNSがサービス提供に必須な個人データ処理のほか、ターゲティング広告を目的とする個人データ処理を抱き合わせてユーザの同意を求めていることが同意の任意性を要求するGDPR第7条に違反するというもの。noybは、EU加盟国のデータ保護監督機関の代表などから構成される29条作業部会が4月に公表した同意に関するガイドライン(http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51030) を根拠とし、このような同意の求め方はGDPRに違反すると主張する。同ガイドラインでは、同意がサービス提供条件として抱き合わせられている場合や同意がサービス提供の条件とされている場合、そのような同意に任意性はないと推定されるとしている。

しかし実際には、ターゲティング広告への同意を条件にネットサービスを無料提供するという慣行は広く普及しており、広告収入によって無料ネットサービスを成立されるというビジネスモデルを根本的に否定できるのかという疑問もある。ガイドラインでもこのような同意の取得は任意性を欠くと推定される(presumed)としているが、presumptionというワードは、反証の余地があることを示唆するものであり、この問題はGDPRにおける同意の任意性についての大きな論点となりそうだ。

サービス利用条件として個人データ利用の同意を求める日本企業は、そのような個人データ利用がサービス提供に必須なものといえるかどうかについて、十分検討することが必要だ。

関連記事