Howdy! How can we help you?
(Markup)欧州のプライバシーに関する権利章典は、本当に履行さているのだろうか?
Facebookの親会社のMetaがEUのデータ保護違反で有罪になった。この件は日本でも報道され(Wire、毎日、など)、これがビッグテックによるデータ搾取への歯止めになるのでは、という期待もある。日本では、GDPRへの評価が高いが、私の印象では、法とその実際の実効性との間にはかなりの乖離があり、EUの人権団体は、むしろこの乖離を危惧している。特に問題になっているのは、規制当局が当該企業の本社のある国に委ねられている結果として、多くの多国籍企業が本社を置くアイルランドの規制当局に実際の権限が委ねられることになるが、アイルランドは多国籍企業に国の経済が依存している構造にあるために、規制には極めて後ろ向きなために、GDPRの実効性が実際にはかなり弱体化している。今回報道されたのは、第一義的な規制当局であるアイルランドがMeta寄りの決定を下していたのに対して欧州データ保護委員会がこの決定を覆して罰金を課したことである。他方で、以下の記事にもあるが、GDPRの執行メカニズムの問題を回避するために、規制当局ではなく、アイルランド以外の国での訴訟で問題に挑戦しようという試みも追求されている。問題は流動的であり、ビッグテックのデータ搾取の終焉にはならず闘いまだこれからのようだ。以下は、Markupに掲載されたAmnesty Techの創設者、Tanya O’Carroll へのインタビューの翻訳です。(小倉利丸)
Julia AngwinによるTanya O’Carroll へのインタビュー
January 14, 2023 08:00 ET
こんにちは、皆さん。
先週、欧州の規制当局は、ユーザーにパーソナライズされた広告を受け入れることを違法に強要したとして、FacebookとInstagramの親会社であるMetaに3億9000万ユーロの罰金を課しました。
この決定は、ヨーロッパの包括的なプライバシー法である一般データ保護規則、通称GDPRの分水嶺として歓迎されました。しかし、多くの点で、実際にはこの法律がいかにお粗末なものであったかを思い知らされることになりました。
2018年に制定されたGDPRは、基本的にプライバシーの権利に関する法律案です。営利目的の監視が高まる中、EUの住民に対して、自分のデータを見る権利、修正する権利、削除する権利、特定の利用を制限したり反対したりする権利、自分の性別、健康、宗教、政治的アイデンティティ、その他のセンシティブなテーマに関するデータを利用させない権利など、データに関する基本的な権利を与えるものでした。
この法律により、企業がデータをどのように利用しているのかについての透明性が高まり、違反者に対する罰金も着実に増え、これまでに総額約28億ユーロが課されました。しかし、この法律に基づく法的な異議申し立ては、ビッグテックに対するGDPRの苦情のほとんどを処理するアイルランドデータ保護委員会で、その処理が滞りがちなために、多くの権利がほぼ行使できないでいます。
同庁の独自の統計によると、アイルランド・データ保護委員会には2021年末時点で300件を超える未処理のGDPR苦情があり、その多くは2018年にまでさかのぼります。このMeta社に対する訴訟は、戦略的プライバシー訴訟の弁護士であるMax Schremsが設立したヨーロッパの非営利団体noyb(none of your businessの略)が、GDPRが施行された日にオーストリアのデータ保護庁に提出したものです。ほとんどのGDPRのケースと同様、Meta社の欧州本部があるアイルランドに送付さ れました。
Noybの訴えは、Facebookは、法律で定められているように、自分のデータを広告目的で使用することに「自由に」同意する機会をユーザーに与えなかったと主張しました。Meta社は、パーソナライズされた広告を提供することは、同社の利用規約で要求されている「契約上の必要性」であると主張しました。4年後、欧州データ保護委員会はMeta社の主張に同意せず、アイルランドデータ保護委員会による以前の決定を覆しました。Meta社は今後3カ月以内に、アイルランドの規制当局と協力して、広告事業に関してより適法な根拠を見出すための作業を行うことになっています。Meta社は、この決定を不服として上訴し、パーソナライズド広告へのアプローチを変えないとしています。
しかし、こうした不透明な法的問題がすべて欧州の規制当局全体を覆っている間は、Meta社のユーザーには何の変化も起きません。そこで、英国の人権活動家であるTanya O’Carrollは、別のアプローチを取りました。昨年末、彼女はMetaをGDPR違反で英国の裁判所に提訴しましたが、これは管轄が違えば異なる結果が得られると期待したためです。(Meta社の広報担当者Al Tolerは、私がO’Carrollの訴訟について尋ねたところ、それについての言及を避け、代わりにMeta社のプライバシーとセキュリティに対する取り組みについてお決まりの言葉を述べた)。
O’Carroll は、世界中で監視を阻止することを目的としたAmnesty InternationalのユニットであるAmnesty Techの共同設立者であり、前ディレクターでもあります。彼女はまた、People v. Big Techと呼ばれる組織のネットワークをコーディネートし、SumofUsの役員も務めています。
私たちの会話は、簡潔でわかりやすくするために以下のように編集されています。
Angwin: 2018年に施行されたGDPRは、どのように推移していますか?
O’Carroll: ヨーロッパでGDPRを成立させたときは、とても大きな期待と興奮がありました。現在、この法律は約5年間適用されていますが、ヨーロッパの誰もが常に同意のバナーをクリックするというプライバシーの形だけの振舞いを経なければならないという事実を除けば、実質的に何も変わっていませんし、ほとんどの人はこれに非常に苛立ちを感じ、プライバシーについて悪い印象をもってしまいます。
GDPRは非常に野心的で素晴らしい法律ですが、強固な実施体制に欠けています。この法律の仕組みは、企業が本社を置く国の規制当局が役割を担うようになっています。アイルランドは小さな国ですが、Google、Facebook、Appleなど、世界有数の大企業の欧州本社が置かれているため、これらの企業の規制当局になっています。
アイルランド経済全体が外国からの直接投資に依存しており、その大部分がハイテク産業からもたらされている状況です。アイルランドでGDPRを適切に執行しようという政治的な意志があるとは到底思えません。他のヨーロッパ諸国のデータ保護当局も含めて、自国の市民からの苦情がアイルランドに持ち込まれ、アイルランドで息の根が止められるという、極めてフラストレーションが大きな事態になっているのです。
Angwin: あなたは、執行の問題を解決しようとしています。あなたの訴訟について、またこの問題をどのように回避しようとしているのか、説明していただけますか?
O’Carroll: ごく簡単に言えば、私たちはアイルランドの規制当局を迂回しようというのです。私たちは英国の法廷で争うことを考えています。私のケースは、過去数年にわって学んできた成果に基づいています。特に、Facebookは一貫して、GDPRがどうであれ、トラッキングやターゲット広告について人々の同意を得る必要はないと主張してきました。Facebookは、基本的に、「あなたが署名した契約なのだから、私たちはあなたの同意を必要としないし、あなたが署名した契約では、私たちが実際にあなたに従うということを意味し、私たちはあなたに個人化された広告体験を提供する契約上の義務を負っている」と主張しているのです。
私がこの訴訟で行っているのは、基本的にこれとは別の土俵で勝負することです。GDPRの21.2条[訳注]は、ダイレクトマーケティングのためのデータ使用に反対する絶対的な権利を私たちに与えています。この条項では、私がどのような契約に署名したかは問題ではなく、Facebookが主張できるその他の法的根拠も問題ではありません。プロファイリングや広告のターゲティングに対して、いつでも停止することができるのです。
現時点では、Facebookはこの権利は存在しないと主張しているのではなく、この状況ではこの権利を適用すべきではないと主張しているのです。基本的に、GDPRは広告ターゲティングの仕組み全体には適用されず、むしろ全く別の法律が適用されると言っているのです。これは興味深い議論です。というのも、欧州の最高水準のデータ保護法が、地球上で最大のハイテク企業の1つによるデータプロファイリングと広告ターゲティングに適用されないとしたら、それは何に適用されるのでしょうか?
この件は、(規制当局ではなく)裁判官がデータ保護の権利が意味を持つか否かの判断を下すかどうかという問題に帰結します。もしこれが有効となれば、全体を頓挫させるアキレス腱になりうるものです。この異議申し立ての権利は、ダイレクトマーケティングのための個人データの処理に基づく、あらゆる企業およびあらゆる慣行に適用されます。ターゲティング広告だけでなく、Facebookページや Facebookグループのようなもののプロモーションも含まれます。これは、私たち個人や市民が、オンラインで自分のデータをコントロールする力を取り戻すことができる、非常に強力な方法なのです。まだ試行錯誤中ですが、非常にエキサイティングなことだと思います。
Angwin: Facebookのデータ処理について、どのような点に異論がありますか?
O’Carroll: これは、自分がどのようにプロファイリングされているのかを理解したいと思ったことから始まりました。Facebookはそのデータを公開しています。誰でも自分の設定を開いて、自分がプロファイリングされている方法について、長いリストを見ることができます。私のプロフィールでは、「興味」には、政党の名前、「同性愛」、「フェミニズム」など、明らかにGDPRの下で機密データとしてカウントされるものが含まれていました。
Metaは、ユーザーが個々のカテゴリーからタグを外すことで、これらの「興味」カテゴリーをコントロールできるようにしています。しかし私は、個々のカテゴリーからタグを外すことだけを望んでいたわけではありません。私は、Facebookに最も侵襲的なカテゴリーを完全に削除してほしかったのです。私がこれを望んだ理由のひとつは、2017年に子どもを産んだときに、すでに個別のカテゴリーをオフにしてみたことがあったからです。赤ちゃんのことばかりに振り回されるのが嫌だったので、カテゴリーとして「母性」のタグを外しました。しかし、”parentthood “や “children”、”toddler “などで再分類されただけで、まだ赤ちゃんの話題に振り回されていることに気づきました。
私が苦情を言うと、Facebookは基本的にノーと返事を出し、先ほどの契約論を使って、すべてのタグを外すことは私との契約を履行しないことになると言ってきたのです。私たちは、ターゲット広告のためのデータ処理を規定するGDPRとは異なる法律について彼らが複雑な議論を展開する前に、手紙で何度かこれを繰り返しました。
彼らがしたことは、私が挙げたカテゴリーをオフにすることでした。つまり、同性愛、フェミニズム、政党で人たちをタグづけすることはできなくなったのです。Facebookはセンシティブなデータカテゴリーをオフにする、と大々的に発表しました。しかし、それでは問題は解決しません。なぜなら、それは機密性の高いカテゴリーだけの問題ではないからです。まったく同様のことを暴露するあらゆるプロキシカテゴリーがあるからです。
Angwin: 先週の欧州データ保護委員会の決定は、あなたの訴訟にとってどのような意味を持つのでしょうか?
O’ Carroll: あまりに長い間、Metaはその契約サービスがターゲット広告であると主張して逃げ切り、2022年初頭にはアイルランドの規制当局がMetaを支持する判決まで出しています。しかし先週、欧州データ保護委員会がアイルランドの決定を覆す決定を下しました。これは実に大きなことで、Max Schremsによる長年の賢明なキャンペーンと訴訟の成果です。
EDPBの動きは非常に心強く、他の欧州加盟国がアイルランドに圧力をかけ始めるような、より大きな変化の兆しを示しているのかもしれません。しかし、まだ先は長いのです。第一の問題は、アイルランドにはまだ決定権があるということです。予備的な決定を覆しましたが、アイルランドはまだ、必要となる変更の範囲を決定することができます。2つ目は、Facebookが控訴したことです。この場合、さらに数年間は先延ばしになります。第三に、Facebookはその法的根拠を変更しようとする可能性があります。Facebookは、「OK、我々は契約に関する議論を使用せず、正当な利害に関する議論をする」と主張するのを止めることはできませんーこれはGDPRの下で利用可能な別のルートです。彼らは最終的に大きな資金を持っており、「要求に応じるcomply」ように多くの弁護士に指示を出すことができます。このような「コンプライアンス」はまやかしかもしれませんが、苦情や 規制措置の別のラウンドが必要だというだけの説得力があるかもしれません。最終的に解決するには、何年もかかるかもしれません。
GDPRはまた、こうしたことをごまかす方法が常に存在することを教えてくれています。Facebookが同意の選択肢を導入せざるを得なくなったとしても、結局はCookieバナーと同じようなものになる可能性があります。つまり、Facebookが行うあらゆることを分解して、ユーザーがログインするたびに各項目に同意するのに時間がかかり、イライラさせられる可能性があるのです。Facebookのような巨大企業は、ただ黙って引き下がることはないでしょう。複数の根拠に基づいて執拗に行動を起こすでしょう。
Angwin: 訴訟の結果、どのような結果が期待できますか?
O’Carroll: 私にとっては、サービスへのアクセスを失うことなく、自分のデータが広告やグループやページの宣伝など、その他の種類の「ダイレクトマーケティング」のターゲットに使われることにノーと言えるようになることです。
昨年Appleが行った、サードパーティ製アプリによる追跡について、イエスかノーの簡単な選択肢を与えたことがそれにあたります。その際、96%の米国市民が「結構です。私のデータをどう使っているのか分からない変なアプリに追跡されたくないです」と答えました。
非常に単純なことのように思えますが、全面的な真のコントロールは、全く異なるインターネットへの一歩となります。企業は代替手段を探さなければなりません。コンテクスト広告や、システム全体をより健全なものにする他のモデルにも目を向けなければならないでしょう。Meta社が本当に革新的で未来志向であるならば、その壊れたビジネスモデルに刻一刻と迫る危機があることを知るべきでしょう。しかし、私はだまってみているようなことはしないでしょうが。
訳注 GDPR21条の2 (個人情報保護委員会訳)
「個人データがダイレクトマーケティングの目的のために取扱われる場合、データ主体は、いつでも、そのよ
うなマーケティングのための自己に関係する個人データの取扱いに対して、異議を述べる権利を有する。その
取扱いは、そのようなダイレクトマーケティングと関係する範囲内で、プロファイリングを含む。」