GDPR違反でグーグルに62億円の制裁金、フランス当局の判断理由から日本企業が学ぶべきこと

IT・情報セキュリティ

目次

  1. GDPR違反に対する監督当局の手続
  2. グーグルに対するCNILの決定に関する手続の概要
  3. 違法と判断された2種類の行為
  4. GDPR違反の制裁金算定のルール
  5. 高まるGDPRコンプライアンスの必要性
  6. 日本に対する十分性認定と日本企業への影響

2019年1月、フランスのデータ保護機関「情報処理と自由に関する国家委員会」(CNIL:Commission nationalede l'informatique et des libertes)が、欧州連合(EU)の一般データ保護規則(GDPR:General Data Protection Regulation)に違反したとして、米国アルファベット傘下のグーグルに5000万ユーロ(約62億円)の制裁金の支払いを命じた。本事例は、米国大手IT企業に対してGDPRに基づいて行われた初の制裁事例であり、制裁金の額はこれまでに明らかになった制裁金決定の事例と比べ、最大規模のものとみられる。EU データ保護法分野に詳しいバード&バード法律事務所の杉本武重弁護士、川島章裕弁護士に、制裁のポイントと日本企業への影響を聞いた。

GDPR違反に対する監督当局の手続

フランスのCNILのようなデータ保護監督当局が、GDPR違反に対して行う手続はどのようなものでしょうか。

一般的に、各監督当局がGDPR違反行為があると判断する場合、GDPRの定める範囲において各監督当局には一定の権限が付与されています。監督当局は本決定のようにGDPR義務違反があると判断される企業に対して制裁金を課すことができます。制裁金に加え、または制裁金に代えて、監督当局は1つまたは複数の是正措置を決定することも可能です。

監督当局は、データ管理者またはデータ処理者に対する調査を行うことが認められますが(施設およびデータへのアクセスを含む)、調査の結果として是正が必要であると判断された場合、以下を含めた是正措置が取られます。

  • データ主体の権利行使の要請に適切に対応するように管理者または処理者に対して命令すること
  • GDPRの規定を遵守して処理を行うように、適切な場合、一定の手段で一定の期間内に是正するよう管理者または処理者に対して命令すること
  • 処理の禁止を含めた一時的または最終的な制限を課すこと
  • 第三国または国際機関内の取得者へのデータの移転の中止を命令すること

データ処理に関する停止命令は、国際的なデータの流れや内部報告の停止、あるいは企業にとって重要なマーケティング活動や販売事業の停止を強いる可能性があります。そのため、企業に与える影響は大きいといえます。
また、監督当局は、GDPR 違反に関し、GDPRの執行のために国内裁判所で訴訟を提起する権限を有しています。

グーグルに対するCNILの決定に関する手続の概要

今回、グーグルに対してCNILが制裁金決定を下すことになった経緯について教えてください。

「グーグルによる広告目的の個人データ処理について有効な法的根拠がない」と主張する2つのプライバシー保護団体(noyb:None Of Your Businessと LQDN:La Quadrature du Net)が2018年に苦情申立を行ったことを受け、CNILはグーグルに対する調査を開始しました。noybとLQDNはGDPR80条に基づいて9,974人に委任された団体です。

この調査に基づいて、今回のグーグルに対するCNILの決定は出されています。

CNILによる調査報告書の通知がなされた後、グーグルは、報告者が提出した証拠に対してコメントを提出するための期限の延長を要請しています。CNILは、グーグルが追加調査およびCNILの委員会審議に関する防御の準備をする目的で、当初設定されていた期限を15日間延長することを承認しました。グーグルは、書面による回答に加え、非公開の委員会審議の日に口頭で意見発表を行っています。

2019年1月15日の委員会審議において、グーグルとCNIL報告者は口頭での議論を行いました。その後、CNILは、2019年1月21日、グーグルに5000万ユーロの制裁金を課す決定をし、法律、規則および法的情報を公表するフランス政府の公式ウェブサイト(Légifrance)上に決定が掲載されました。

また、本件の管轄権限について検討を行うために、CNILは、GDPRに基づく監督当局間の協力義務に従って、欧州における他の監督当局に対して本件の苦情申立の内容を提出しました。

違法と判断された2種類の行為

CNILが違法と判断したグーグルの行為とはどのようなものでしょうか。

本決定において、CNILは、グーグルに関して2種類の違法行為を指摘しています。

第1に、CNILは、グーグルが透明性のある情報提供を行う義務に違反したと認定しました。

GDPRにおいて、データ管理者は、明瞭かつ平易な文言が使われ、簡潔で、透明性があり、理解しやすくかつ容易にアクセスし得る形態をもって、処理行為に関する情報を提供する義務があります(GDPR12条)。

しかしながら、本決定では、特にデータ処理の目的およびデータの保存期間に関し、グーグルからユーザーに提供された情報は複数のドキュメントに分散されており、ユーザーが情報を得るためには、たとえば5、6回クリックしてウェブサイトを閲覧する必要のある点が問題視されました。また、ユーザーに提供される全体的な情報は明確ではなく、その一方で処理の目的が過度に一般的で曖昧に説明されていることから、ユーザーが処理活動を理解するのは困難という判断を示しました。

第2に、CNILは、会社がターゲティング広告目的の処理を行うための法的根拠を備える義務に違反していると認定しました。すなわち、グーグルは個人データの処理についてデータ主体の同意に依拠していますが、CNILはこの同意がデータの主体から無効に取得されたものであるという判断を示したのです。

同意が有効であるためには、同意がGDPRに規定される有効要件を満たしている必要があります(GDPR4条11号、7条)。たとえば、同意が有効であるためにはデータ主体に適切な情報提供がなされている必要がありますが、本件においては上記の通りターゲティング広告目的での活動に関する情報が複数の文書に分散されていたため、ユーザーはグーグルによって行われた処理活動の範囲をほとんど認識することができませんでした。

さらに、本件のターゲティング広告の表示では、ユーザーが同意を行うために使用するチェックボックスについてすでに同意を行うことを前提とする選択がなされていました。

GDPRにおいてはデータ主体が明確な積極的行動を示すことは同意の有効要件の1つですが、このようにすでにチェックがなされているチェックボックスを使用した同意の取得は有効ではないとの判断が示されたことになります。

また、本件では、グーグルのアカウント作成のための前提条件として、ユーザーは「グーグルの利用規約に同意する」および「上記およびプライバシーポリシーに記載される個人データの処理に同意する」という項目に対するチェックボックスにチェックすることが要求されていました。CNILは、このような同意は目的ごとに同意が取得されておらず、特定性のある同意がなされていないとの判断を示しました。

指摘された違法行為①

指摘された違法行為②

GDPR違反の制裁金算定のルール

GDPR違反に対する制裁金の額はどのように算定されるのでしょうか。また、本件の5000万ユーロという制裁金額をどう評価しますか。

CNILによる本決定は、グーグルに課された制裁金の金額の決定に際し、明確な説明や計算論を公表していませんが、GDPRにおける制裁金のルールおよび制裁金に関する第29条作業部会のガイドライン(欧州データ保護会議(EDPB:European Data Protection Board)が承認したもの)に定められた評価基準に基づいて算定されたものと考えられます。

GDPR83条2項および上記制裁金に関するEDPBガイドラインは、制裁金は、違反の性質、重大性および期間、関連する過去の侵害、違反の故意および過失、管理者および処理者の責任の程度、違反の是正および違反により起こり得る悪影響の軽減のための監督当局との協力の程度等の要素を考慮して、個別の事案に応じて計算されることを規定しています。

CNILは、これらの要素を考慮して、データ主体の重要なデータ保護の権利を侵害したという侵害行為の重大性という点において制裁金額が正当化されると判断したものと考えられます。また、CNILは、本件の侵害行為は1回限りの期間限定の侵害ではなく、むしろ継続的で実際には依然として進行中のものであったこと、毎日何千ものユーザーがグーグルアカウント作成を行っておりグーグルの市場における優位性を持っている点についても考慮しています。

5000万ユーロの制裁金は高額であるともいえますが、GDPRに基づく制裁金の上限額がグループ企業の年間売上高の4%であることを踏まえると、グーグルの年間売上高に比較して決して高額ではないという見方もあり得ます。処理行為が悪質であると認められる事案においては、より高額な制裁金が課される場合も想定されます。

制裁金を含めた本決定について、グーグルはどのような手続をとりうるのでしょうか。

グーグルは、フランスの最高行政裁判所(Conseil d’Etat)に対して、本決定から4か月以内に不服申立を行うことができます。グーグルの不服申立が認められた場合には、本決定の取消、変更または新しい決定による差替がなされる可能性がありますが、最高行政裁判所が法的問題をEU司法裁判所に付託する決定を行うこともあり得ます。

高まるGDPRコンプライアンスの必要性

本決定は他のプラットフォーム企業にどういった影響を及ぼすと考えられますか。

本決定は、透明性のある情報提供や同意の取得に関して、グーグルのようなプラットフォーム企業に対してGDPRのルールを具体的に示したものであり、今後は本決定に従った対応が必要となります。もっとも、本決定は、プラットフォーム企業だけではなく、プラットフォームの提供するツールを使用したアプリを提供する事業者におけるGDPRコンプライアンスにとっても重要な意義を有しています。

プライバシー保護の活動団体は、すでにフェイスブックが提供するソフトウェア開発キット(SDK)を使用して個人データの処理を行う企業による同意の取得方法等について、GDPR上の問題がある旨を報告書に記載して一般に公開しています。報告書で問題とされる処理行為が是正されない場合には、これらのプライバシー保護の活動団体が、本決定で問題となったような透明性や同意の取得に関する問題について、監督当局に対して苦情申立を行うことがあり得ます。

この報告書では、フェイスブックのような大規模なプラットフォーム企業だけではなく、そのようなプラットフォーム企業が提供するSDK等のツールを使用したアプリを開発する事業者がリストアップされ、個人データをプラットフォーム企業に提供する際の処理行為が問題視されています。したがって、本決定が大規模なプラットフォーム企業に特有の事件であると評価するのは適切ではありません。プラットフォーム企業が提供するツールを使用する他の隣接分野の事業者においても、自社における透明性の確保や同意取得の方法がGDPRを遵守しているかについて、あらためて確認を行っておく必要があると考えられます。

日本企業が留意するべき点について教えてください。

本決定はGDPRにおけるいわゆる「ワンストップショップメカニズム」(one-stop-shop mechanism)の利用可能性や日本企業本社に対するGDPRの直接適用の可能性についても重要な示唆を含む決定といえます。

GDPRは、欧州にある複数の監督当局のうち1つの監督当局を唯一の対話者として指定することができるワンストップショップメカニズムを定めています。すなわち、ある企業の「主要な拠点」(main establishment)が所在する加盟国のデータ保護当局が基本的に「主導監督当局」(lead supervisory authority)に該当し、その企業による越境的処理行為(cross-border processing)については主導監督当局が管轄権限を有することになるため、その場合には企業としては主導監督当局に対してのみ対応すれば足りるということになります。

グーグルはアイルランドに欧州統括拠点があり、アイルランドの監督当局が主導監督当局になり得るとも考えられたことから、CNILは、2018年6月1日、監督当局の協力に関するGDPRの規定に従って、グーグルに関して申し立てられた2つの苦情申立について対応する権限があるか否かを評価するためにアイルランドの監督当局を含む他の監督当局と協議を行いました。

この点について、下記の指摘がなされ、グーグルは本件の調査が開始された時点においてアイルランドに「主要な拠点」を有しないと判断されました。

  • グーグルアイルランド社がグーグルのプライバシーポリシーで記載されておらず、グーグルの利用規約においてもAndroidオペレーティングシステムのサービスプロバイダーではない
  • グーグルアイルランド社ではデータ保護責任者が選任されていない
  • グーグルアイルランド社はCNILに苦情申立がなされた個人データの処理に関する意思決定権限を有しない

このため、ワンストップショップメカニズムはグーグルに適用されず、アイルランドの監督当局ではなくCNILが本件に関する管轄権限を有するとの結論に至っています。

以上の点を踏まえると、日本企業において日本の本社が実質的に意思決定を行う個人データの処理を伴うサービスについては、欧州においてワンストップショップメカニズムを利用することができない可能性がある点に留意する必要があります。

日本に対する十分性認定と日本企業への影響

欧州委員会は、2019年1月、日本に対する十分性認定を行いました。日本企業にはどのような影響が予想されますか。

日本に対する十分性認定がなされたことによって、日本企業は、GDPRに規定された適切な保護措置を行うことなく、EUから日本に個人データを移転することが可能になりました。そのため、たとえば、日本企業は標準契約条項(SCC:Standard Contractual Clauses)等を締結することなく、十分性認定に依拠することにより、EUから日本に個人データを移転することが可能です。

GDPRにおけるデータ保護のルールと日本の個人情報保護法の間には一定の齟齬があることを受けて、日本の個人情報保護委員会は、日本のデータ保護の十分性を確保する観点から、2018年9月に「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」という)を公表しました。

補完的ルールは、日本の個人情報保護法とGDPRの齟齬を補完するために、要配慮個人情報、保有個人データ、利用目的の特定・利用目的による制限、外国にある第三者への提供の制限、匿名加工情報に関して、日本の個人情報保護法とは異なるルールを規定しています。そのため、十分性認定に基づいてEUから日本に移転された個人データについては、日本の個人情報取扱事業者は補完的ルールに従って取扱いを行うことが義務付けられる点に注意が必要です。

また、日本の十分性認定について、EDPBは、2018年12月5日に日本の十分性認定に関する意見を発表し、一定の事項について懸念を表明しました。欧州委員会が十分性認定の採択から2年以内に行う日本の十分性認定の再評価の際には、同意見においてEDPBが指摘した懸念事項も踏まえた分析がなされることが予想されます。

また、日本の十分性認定においては、たとえば、日本の事業者が補完的ルールに定められた義務を遵守していないこと等により、欧州委員会が日本のデータ保護が十分ではないとの判断に至った場合には、十分性認定の停止、変更または撤回等の決定を行うことがあり得るとされています。

米国とEUの間における個人データの自由な移転のための枠組みであったセーフハーバー・ルールが無効とされる判決が2015年に欧州連合司法裁判所によって下されたことがあるように、日本の十分性認定も内容が見直される可能性について留意しておく必要があります。

(※)なお、本稿中における意見にわたる記載は、筆者の個人的な見解であり、筆者が現に所属する団体および過去所属した団体における見解を示すものではありません。

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する