GDPRの執行力強化を切望するEU消費者保護団体の報告書、プライバシー侵害の懸念
AI.
欧州の消費者保護団体を統括する組織BEUC(ビューク)は新しい報告書を発表し、EUにおける個人データ保護の枠組みの要であるGDPR(一般データ保護規則)の効果的な執行が国境によって阻害されていると伝えた。EU域内の今後数十年間にわたるデジタル環境の監視体制を形作ろうと模索する各国の議員や規制当局には読むのが辛い内容となった。
BEUCの参加団体は、2018年11月(未訳記事)にGoogle(グーグル)の位置情報の利用に関して数多くの訴えを起こしている。このプライバシー侵害の懸念が提起されて2年が経つが、いまだに解決策は見られていない。
Within 2 years a whole mission to Mars could be completed . But after 2 years there is no decision yet whether Google’s location tracking practices infringed the #GDPR and whether the company should be fined/change its unfair practices. pic.twitter.com/gj8XbVsR8s
— The Consumer Voice (@beuc) November 26, 2020
The Consumer Voice 2年で火星着陸ミッションは成功できても、グーグルの位置追跡がGDPR違反ではないのか、その不正に罰金を課すか否かは、2年経っても決められずにいる。
The Consumer Voice 2018年からEU、米国、オーストラリアで、位置情報の収集と利用に関してグーグルが告訴されている。それからグーグルが2510億ドル(約26兆1200億円)もの広告収入を得る間、何もできていない。
この巨大テック企業は、インターネットユーザーの位置情報を処理して商品化しつつ、数十億ドル(数千億円)単位の広告収入を稼ぎ続けている。GDPRの下で国境を越えた告訴に対応するワンストップショップであり、データ保護監督の中核であるアイルランドのデータ保護委員会(DPC)は、2020年2月(未訳記事)になってようやく捜査を開始した。
だが欧州で、位置情報の追跡に関してグーグルに何らかの法的措置が下されるのは、これから何年も先になるだろう。
なぜなら、GDPRが施行されて2年半になるにも関わらず、アイルランドDPCは国境を越えたGDPRとしての判断を何ひとつ示していないからだ。だが、先日お伝えしたとおり、Twitterのデータ漏洩に関するケース(未訳記事)は、ゆっくりながらも間もなく示されるはずの結論に近づいている。
それとは対照的に、フランスのデータ監視組織CNILは、グーグルのデータ処理の透明性に関するGDPRの捜査を、ずっと手早く(未訳記事)2019年のうちに済ませている。
しかも今年の夏(未訳記事)、フランスの裁判所はグーグルの訴えを退け、CNILが求めた5700万ドル(約60億円)の罰金の支払いを言い渡した。
だが、この一件はグーグルがDPCの司法権の下に入る前のものだ。さらに、アイルランドに拠点を置く多国籍テック企業の多さを考えると、このデータ規制当局は膨大な数の企業を相手にしなければならない。
Apple(アップル)、Facebook(フェイスブック)とWhatsApp(ワッツアップ)、LinkedIn(リンクトイン)といった数々のテック企業に対する20件以上のGDPR捜査を含むDPCの国境を越える案件には、強力な支援者がある。グーグルも、2019年から(未訳記事)アドテック関連の捜査をアイルランドで受けている。
今週、EUの域内市場委員のThierry Breton(ティエリー・ブルトン)氏は、各国の議員はGDPRの執行力の「ボトルネック」(未訳記事)をよくわかっていると話した。
欧州委員会は、その摩擦から教訓を得たと彼は示唆している。つまり彼は、自身が公言しているデータの再利用に関連する将来の規制案作り(未訳記事)に、同様の懸念が影響を与えることはないと主張しているのだ。
欧州委員会は、EUの個人データ監視体制に組み込まれているものと同様の監視メカニズムを提唱する新しいデータガバナンス法(DGA)を通じて、EU域内における人権を尊重した産業データの再利用(未訳記事)に標準条件を構築したいと考えている。これには、コンプライアンスを監視する国家機関や、中央集権的なEUの運営機関(これを彼らは欧州データ保護委員会の姉妹組織として欧州データイノベーション委員会と命名する計画だ)。
EUのデジタル規則の枠組みを改善して拡張するという欧州委員会の計画は野心的だが、つまりこれは、GDPRへの提案書のインクが乾く前にDGAの輝きが失われてしまうとのGDPRへの批判だ。またこれは、GDPRの執行力の「ボトルネック」を解消する創造的な方法を探すよう、議員たちにプレッシャーを与えるものでもある(国家機関は日々の監視に責任があり、EU加盟国はDPAを支援する責任があるため創造性が求められる)。
20202年夏に行われた最初の審査では、欧州委員会はこの規制が、カリフォルニアのCCPA(消費者プライバシー法)や、世界中で成立され始めたデジタルプライバシー保護のための枠組みに影響を与えたと断言し、「現代的で水平的な法律」であり「グローバルな基準点」だと称賛した。
だが同時に、GDPRの執行力に関する内容が欠けていることを、彼らは懸念している。
この懸念に対する最良の答えは「重要な案件はアイルランドのデータ保護機関が判断すること」だとEUの司法担当委員Didier Reynders(ディディア・レインダーズ)氏は6月に述べている(未訳記事)。
あれから5カ月が経過するが、ヨーロッパの人々はまだ待ち続けている。
BEUCの「ザ・ロング・アンド・ワインディング・ロード:GDPRから2年:消費者の視点による国境を越えたデータ保護問題」と題された報告書は、どの国のDPCに提訴すべきかという段階で、EU加盟国の各団体が直面した手続き上の障壁を詳しく説明している。
これには、アイルランドDPCが不必要な「情報と有効性のチェック」を行っており、第三者による是正が禁じられているアイルランドの法律では権限がないとして、現地の関係団体から持ち込まれた訴訟を拒否しているとの懸念も含まれている(オランダの消費者団体はオランダの法律に従って訴訟を起こし、受理されている)。
報告書はまた、アイルランドDPCがグーグルの位置情報に関連する活動に対して独自の判断で(苦情にもとづくものではなく)取り調べを開始した理由についても疑問を呈している。これが苦情そのものに対する判断を遅らせてしまいかねないと、BEUCは恐れている。
さらにこれは、アイルランドDPCによるグーグルの捜査の対象は、苦情が申し立てられた2018年からではなく、2020年2月からの活動のみであることも指摘している。つまり、まだ捜査されていないグーグルの位置情報処理については不明のまま残されることになる。
グーグルへの訴訟に参加しているEU加盟国の3つの団体は、アイルラドDPCの判断について司法審査の申請を考えていた。他の団体はその方法に頼っている(未訳記事)。しかし、それにかかる訴訟費用が膨大であることから、彼らは申請を取りやめた。
またこの報告書は、訴訟の処理を、捜査を受けている企業の所在地に移してしまうGDPRのワンストップショップ式のメカニズムには、本来的にバランスの偏りがあるとも指摘している。そのため、「司法へのアクセスが簡単なほう」が有利になってしまう(これに対して一般消費者は、言葉も違うであろう別の国での司法手続きを強いられることになる)。
「主導的な委員会が、アイルランドのような判例法に従う伝統を持つ国にあった場合は、物事はより複雑になり、コストも嵩む」とBEUCの報告書では述べられている。
報告書が提起するもう1つの問題に苦情を申し出た側が、「動く標的」と呼ばれるものと戦う権利に関する大変に重要なものがある。大きな力を持つテック企業は、規制当局の遅延をいいことに、業務内容を(表面的)に微調整し、誤解を招くPRキャンペーンによる不正な活動を円滑化できてしまう(グーグルがそうしていると、BEUCは批判している)。
各国のDPCは、「その執行方法を、より迅速に直接的に介入する方向に調整すべき」と報告書は結論付けている。
「GDPRが適用されてから2年以上が経過し、私たちは転換点に差し掛かっています。GDPRは、今こそその力を発揮し、喫緊の課題であるビジネス慣行の変革の触媒になるべきです」とBEUCは提言の結論部分で述べている。「私たちのメンバーと、他の市民社会団体の経験から、GDPRの効果的な適用と、その執行システムの適正な機能を大きく阻害する数々の障壁が浮き彫りにされています」。
「BEUCはEUおよび各国の政府機関に、規則の敏速な執行、データ主体とその代表となる団体の、とりわけ国境を越えた執行案件の枠組みの中での地位の向上を確実にするための、総合的、協働的な取り組みを推奨します」。
TechCrunchでは、同委員会とアイルランドDPCに対して同報告書に関する質問を送った。現在、これを書いている時点では、まだどちらからも返事がない。またグーグルにもコメントを求めている。
【更新情報】アイルランドのDPC副委員長Graham Doyle(グラハム・ドイル)氏は、2020年初めにグーグルの位置情報活動について「前向きな」取り調べを開始した理由として、前に戻って物事がどうだったかを再現するのではなく、「リアルタイム」での捜査を可能にしたかったからだと話した。
またドイル氏は、位置情報に関連するグーグルへの訴訟は、別の時期に別のDPCに提出されていると言う。つまり、一部の苦情がアイルランドに届くまでに非常に長い時間がかかり、2018年11月に届いていないものもあるということだ。そこで、現在の欧州のDPCが主監督DPCに苦情を届ける際の手続きの非効率性という問題が見えてくる。
「問題の苦情は、別の監督機関に2018年11月以降の別の日に届けられています」と彼は話す。「当DPCがそれらの苦情を受け取ったのは2019年7月でした。それを受けて、私たちはBEUCに報告しました。そして、リアルタイムで私たちが入手した情報の裏付けが取れるよう、2020年2月、独自の取り調べを開始したのです」。
BEUCは2月、同委員会に8つの「効率的」なGDPR執行方法(BEUCリリース)の提言を送っている。
関連記事:カリフォルニア州消費者プライバシー法が1月1日に発効
カテゴリー:ネットサービス
タグ:Google、GDPR、EU、プライバシー
画像クレジット:TechCrunch
[原文へ]
(翻訳:金井哲夫)
引用先はこちら:GDPRの執行力強化を切望するEU消費者保護団体の報告書、プライバシー侵害の懸念