アイルランドのデータ保護委員会によるMeta platform に対するGDPR違反による高額の罰金処分や行政措置の最新動向とフランスCNILのデータ・スクレイピング再利用ガイダンスを読む

 

  2021年9月3 日、筆者はブログアイルランドのデータ保護委員会(以下、DPC:Data Protection Commission :an Coimisiún um Chosaint Sonraí )がEUデータ保護会議(EDPB)の仲裁を経て“Whatsapp”に2億2,500万ユーロ(約325億900万円)の罰金を科す決定を行った旨報じた。

  去る11月28 日、アイルランドのDPCがFacebookの「データ・スクレイピング(Data Scraping)」行為につき2 億 6,500 万ユーロ(約382億9000万円)の罰金とさまざまな是正措置を課した旨リリースした。

 このリリースに関する内外の解説の多くは、DPCが2022年9月15日、4 億 500 万ユーロ(約579億1500万円)の罰金とさまざまな是正措置を課した、さらに2022 年 3 月 15 日1,700 万ユーロの罰金を課す決定を採択した事案に関する解説には言及していない

  今回のブログは、1)これまでDPCが行ってきたMeta platformに対する行政法執行の内容につき改めて整理するとともに、2)データ・スクレイピング(Data Scraping;Web scraping)にかかる技術的、法的諸問題を解説し、3) フランスCNILのデータ・スクレイピング(Data Scraping)再利用ガイダンス、最後に4) DPCサイトのEDPB組織・事業者向け個人情報の越境処理とワンストップ・ショップ(OSS)・メカニズムの概要と2022.3,15 DPCが公表した「GDPRのワンストップショップ(OSS)に基づく国境を越えた苦情の処理に関する統計レポート」を紹介する。

 

1.2022 年 3 月 15 日、 DPC は、Meta Platforms Ireland Limited (以前の Facebook Ireland Limited) に 1,700 万ユーロ(約24億3100万円)の罰金を課す決定を採択

 DPCのリリース文を仮訳する。

 DPCは2022年3月15日、Meta Platforms Ireland Limited(旧Facebook Ireland Limited)(以下「Meta Platforms」)に1,700万ユーロの罰金を科す決定を採択した。

 この決定は、2018年6月7日から2018年12月4日までの6か月間に受け取った一連の12件のデータ侵害通知に関するDPCによる調査に続くものである。この調査では、Meta Platforms が、12件の違反通知に関連する個人データの処理に関して、GDPR第5条(1)(f)、5条(2)、第24条(1) 、および第32条(1)の要件にどの程度準拠しているかを調査した。

 DPCは調査の結果、Meta Platforms がGDPR第5条(2)および第24条(1)に違反していることを発見した。DPCは、Meta Platformsが 12件の個人データ侵害に関連して、EUユーザーのデータを保護するために実際に実施したセキュリティ対策を容易に実証できる適切な技術的および組織的対策を講じていないことを明らかにした。

 審査中の処理が「国境を越えた」処理を構成していることを考えると、DPCの決定はGDPR第60条に概説されている共同意思決定プロセスの対象となり、他のすべての欧州の監督当局は共同意思決定者として関与した。DPCの決定案に対する異議は、欧州の監督当局のうちの2つによって提起されたが、DPCと関係する監督当局との間のさらなる関与を通じてコンセンサスが達成された。したがって、DPCの決定は、DPCとEU全体の対応する監督当局の両方の集合的な見解を表している。

 これとは別に、DPCは本日、GDPRのワンストップショップメカニズム(注1)の下での国境を越えた苦情の処理に関する統計レポートを公開した(以下のリンクを参照)。

 DPCのペナルティに応えた声明の中で、Meta Platformsのスポークスパーソンは、エピソードを単に歴史的に緩い記録管理の事例として軽視しようとした。

 この罰金処分は、2018年から更新した記録管理慣行に関するものであり、人々の個人情報の保護の懈怠に関するものではない。DPCはGDPRに基づく法的義務を真剣に受け止めており、プロセスが進化し続けるにつれて、この決定を慎重に検討している。

 今回、DPCが発表した罰則決定は、約4年前に規制が適用され始めて以来、Facebook自体に対するGDPR調査に関するアイルランドからの最初の最終決定であるが、規制当局(DPC)は2021年、透明性規則に違反したとしてFacebookが所有するWhatsAppに対して別の(より大きな)制裁措置を発令した。(DPCDPC参照)

2.2022 年 9 月 15 日、 DPCはMeta Platforms Ireland Limited (Instagram)  Instagramの審問のうえ4 億 500 万ユーロ(約579億1500万円)の罰金とさまざまな是正措置を課す

  DPCは9月15日、Meta Platforms Ireland Limited(Instagram)に対する4億500万ユーロの罰金とさまざまな是正措置を科す調査の結論を発表した。リリース内容を仮訳する。

 この審問調査は、Instagramソーシャルネットワーキング・サービスの子供ユーザーに関する個人データの処理に関するものであった。これは、2020年9月21日にDPCによって開始され、David J.Stier(米国のデータ・サイエンティスト)氏(注2)

David J.Stier 氏

から提供された情報に応え、また、Instagramユーザー登録プロセスの調査に続いて、DPC自体によって特定された問題に関連して開始された。

 この調査では、特に、Instagramビジネスアカウント機能を使用した子供の電子メールアドレスや電話番号の公開、および子供の個人Instagramアカウントのデフォルトでの公開設定方法等が調査された。

 包括的な調査の後、DPCは2021年12月にGDPRの第60条に基づいて、EU内のすべての監督規制当局(関係監督当局(Concerned Supervisory Authorities:CSA)に対し決定草案を提出した。これらの国の規制当局のうち6つは、DPCの決定草案に異議を唱えた。DPCは、異議申し立ての主題についてCSAと合意に達することができなかったため、GDPRの第65条の紛争解決プロセスに沿って、このケースを欧州データ保護委員会(EDPB)に付託した。

 2022年7月28日、EDPBは拘束力のある決定を採択し、CSAから出されたかなりの量の異議を却下したが、DPCがGDPR第6条(1)の違反の発見を含め、この追加の違法侵害に基づいて提案された行政罰金を再評価するように決定草案を修正することを要求する異議を支持した。これらの修正を組み込んだ後、DPCの決定は2022年9月2日に採択された。この決定は、GDPR第5条(1)(a)、第5条(1)(c)第6条(1)第12条(1)第24条第25条(2)および第35条(1)の違反の所見を記録している。

 DPCの当初の決定草案では、最高4億500万ユーロ(約579億1500万円)の罰金が勧告されており、EDPBの拘束力のある決定を考慮すると、Meta Platforms Ireland Limited(Instagram)に科せられた罰金は、第6条(1)の違反に対する2,000万ユーロの罰金を含め、合計4億500万ユーロである。

 DPCは、これらの行政罰金に加えて、Meta Platforms Ireland Limitedに対し、さまざまな特定の是正措置を講じることにより、その処理をコンプライアンスに準拠させることを要求する懲戒処分と命令も課した。

 EDPBは、第65条の決定と最終決定をウェブサイト(ここをクリック)で公開している。

3.  2022.11.28 アイルランドのデータ保護委員会がFacebookの「データ・スクレイピング(Data Scraping)」行為につき2 億 6,500 万ユーロ(約382億9000万円)の罰金とさまざまな是正措置を課した

 (1)DPCの2022 年 11 月 28 日のリリース文を仮訳する。

 データ保護委員会(DPC)はFacebookの「データ・スクレイピング」調査に基づく制裁決定を発表

 DPC は11月28日、ソーシャル メディア ネットワーク「Facebook」のデータ管理者である Meta Platforms Ireland Limited (MPIL) に対する調査の結果を発表し、2 億 6,500 万ユーロ(約378億9500万円)の罰金とさまざまな是正措置を科した。

 DPC は、2021 年 4 月 14 日にこの調査を開始した。これは、インターネット上で利用可能になった Facebook の個人データの照合されたデータセットの発見に関するメディアの報道に基づいている。調査の範囲は、2018 年 5 月 25 日から 2019 年 9 月までの期間に Meta Platforms Ireland Limited (「MPIL」) によって実行された処理に関連する Facebook Search、Facebook Messenger Contact Importer、および Instagram Contact Importer ツールの調査と評価に関するものであった。この調査の重要な問題は、設計およびデフォルトによるデータ保護に関するGDPR 義務の遵守の問題に関係していた。DPC は、GDPR 第 25 条 (この概念を扱っている) に従って、技術的および組織的な対策の実施を検討した。

 EU 内の他のすべてのデータ保護監督当局との協力を含む、包括的な調査プロセスがあり、これらの監督当局は、DPC の決定に同意した。

 2022 年 11 月 25 日に採択された今回の 決定は、GDPR 第 25 条 (1) および第 25 条 (2) の侵害の調査結果を記録している。この決定は、特定の期間内に特定の是正措置を講じることにより、MPIL にその処理を遵守させることを要求する戒告と命令を課した。さらに、この決定により、MPIL に総額 2 億 6,500 万ユーロの行政罰金が科せられた。

 (2) 2022.11.29 Techcentral ie「データ保護委員会は記録的な€265mの罰金でメタを襲います:フェイスブックの親会社が別の多額の制裁に見舞われた」

以下、仮訳する。

  2022.11.28 アイルランドの情報保護委員会(DPC)のプレスリリースは「Facebookの親会社であるMeta Platforms Irelandは、2億6500万ユーロ(約378億9500万円)の罰金を科され、DPCによるさまざまな是正措置の導入を余儀なくされた」旨報じた。

 Business Insiderが最初に報告したこの法違反では、106か国の5億3,300万人のユーザーの電話番号、Facebook ID、名前、場所、生年月日、場合によっては電子メールアドレスが収集されました。このデータはハッカー・フォーラムに投稿された。

 DPCは、Facebook脆弱性にパッチを適用したと報告した2018年5月25日から2019年9月までの期間にMeta Platformsが実施した処理に関連して、Facebook検索、Facebook Messenger Contact Importer、Instagram Contact Importer」ツールにつき詳しく調査と評価を行った後、2021年4月14日に調査を開始した。

 2022年11月25日金曜日に採択されたこのDPCの決定は、MPILが罰金に加えて、特定の期間内に一連の特定の是正措置を講じることにより、処理をコンプライアンスに準拠させることを要求する叱責と命令を課した。以前の最大の罰金は、Meta Platformsが所有するWhatsAppによって発生し、プライバシー通知でデータ処理慣行を明確に説明しなかったために2億5500万ユーロが請求された。

 この罰金により、アイルランドのDPCからMeta Platformsに対する罰金の合計は9億1000万ユーロ(約130億1,300万円)になる。以前、他の欧州規制当局は、DPCによって提案された特定の罰金が低すぎるという理由で異議を唱えていましたが、この決定に異議は出なかった。

 法律事務所Addleshaw Goddard Irelandのデータ保護責任者であるDavid Hackett氏は、「アイルランドデータ保護委員会(DPC)は、法律違反に対して非常に多額の罰金を科す意欲が高まっている。罰金に加えて、Meta Platformsは設定された期間内にデータ処理活動に対して特定の是正措置を講じる必要があり、会社がそれらの要件にどのように対処するかはまだわからない。

 いずれにせよ、これらは多額の罰金である。GDPRは、法律違反を検討する可能性のある他の企業への抑止力として機能するために、そのような罰金を課すことを部分的に想定していた。そのような罰金が実際に企業行動に影響を与えるのか、それとも一部の企業が単にビジネスを行うための追加コストと見なしているのかについての議論が増える可能性がある」と語った。

 分析・コンサルティング会社GlobalDataのアナリスト、サラ・コープ氏は「Metaは連敗中だ。プライバシー侵害は消費者の信頼を損ない、実際Metaにとってはすでに減少している。その中心的なソーシャルメディアプラットフォームであるFacebookは、TikTokなどの他のプラットフォームとの激しい競争により、若いユーザーを引き付けるのに苦労している。同社はまた、メタバース事業部門で94億ドルの損失を被ったと伝えられており、最近リストラを行い、11,000人の従業員を解雇した。

 GDPRによる罰金は、ビッグテックにとって単なる巻き添え被害である。罰金は世界の売上高の最大4%と高額になる可能性があるが、ほとんどのビッグテックはそれをもってビジネスを行うためのコストと見なしている。ただし、メタバースにとって消費者の信頼は重要であり、サイバーセキュリティ違反とデータプライバシーの罰金は、メタのすでに傷ついた評判をさらに汚す」と述べた。

4-1.データ・スクライピング・Webスクライピングの諸問題

(1)技術的な説明

wingarc.com解説  octoparse.jp解説から一部抜粋、仮訳する。

  〇データ・スクレイピング、Webスクレイピングの意義

 Webスクレイピングとは、Webサイトから大量の情報を自動的に抽出するコンピュータソフトウェア技術のことである。Webスクレイピングは、Webサイトやデータベースを探り、大量のデータの中から特定のデータのみを自動で抽出することができる。

 そもそもスクレイピング(Scraping)とは、英語の「Scrape」に由来しており、日本語では「こする・かき出す」などの意味を持つ。Webスクレイピングは他にも、スクレイピング・Webデータ抽出・スクリーンスクレイピング・Webデータ収集とも呼ばれる。

 通常、インターネット上のデータはWebブラウザでしか見られず、Web上に表示されるデータを抽出・保存する機能はない。唯一の手段は手作業のコピー&ペースト(コピペ)のみである。

 しかし、Webスクレイピングを活用することで、面倒な手作業を自動化できるため、作業時間の短 縮や転記ミス防止が可能となる。( octoparse.jp解説から抜粋)

(2)法的な重要課題

【わが国の弁護士による解説例】

 著作権問題

 スクレイピングを行う際、データやコンテンツをコピーする作業が介在する場合、権利者の同意を得ずに進めてしまうと、権利者の複製権(著作権法第21条)などの権利を侵害してしまう可能性がある。

 ただし、著作権法の改正により追加された著作権法第30条の4(著作物に表現された思想又は感情の享受を目的としない利用)に該当する場合には、著作権の侵害にはならない。

また、著作権法第47条の5(電子計算機による情報処理及びその結果の提供に付随する軽微利用等)に該当する場合にも、著作権の侵害にはならない。

②サーバーへの高アクセスに基づくサーバーダウン等負荷問題

 スクレイピングを行うことにより、ウェブサイトへの高アクセスとなってしまい、サーバーがダウンし、ウェブサイトの閲覧や表示ができなくなってしまうことも考えられる。

 この場合、対象となるウェブサイトのサーバーがダウンすることにより、当該ウェブサイトを運営している企業等は、業務を行うことができなくなってしまうため、偽計業務妨害罪(刑法第233条)や電子計算機損壊等業務妨害(刑法234条の2)に問われてしまう可能性がある。

個人情報保護法に違反するケース

 個人情報を取得する際には、本人に対し、利用目的を明らかにしておくことが必要となる。ただし、特定の者に対し、個別に利用目的を明示することは現実的ではないものと考えられる。

 そのため、スクレイピングを行い、個人情報を取得するケースが想定される場合には、プライバシー・ポリシーや個人情報保護方針等を公表し、利用目的を明らかにしておくことが必要となる。

 なお、本人の人種、信条、社会的身分、病歴、犯罪の経歴等の取扱いに特に配慮を要する個人情報(配慮すべき個人情報)については、プライバシー・ポリシーや個人情報保護方針等を公表しているだけでは取得をすることができず、本人の同意が必要となるため、特に注意が必要である。

 また、スクレイピングにより取得した個人情報をデータベース化し、第三者に提供するというケースも想定される。ただし、第三者に提供する場合には、原則としてあらかじめ本人の同意を得る必要があります(個人情報保護法第27条)ので、この点も注意が必要である。

スクレイピングが実際に問題となった事例として、2010年3月頃に発生した岡崎市立中央図書館事件がある。

 これは、岡崎市立中央図書館の蔵書検索システムにアクセス障害が発生し、アクセス障害の原因がスクレイピングであったと後に判明し、スクレイピングをした男性が、偽計業務妨害の容疑で逮捕された事件である。

 逮捕された男性は、岡崎市立中央図書館の利用者であったが、岡崎市立中央図書館の蔵書システムの使い勝手に不満があり、蔵書システムにアクセスし、蔵書システムのデータを引き出すという行為を行っていた。

 逮捕された男性は、20日間勾留されたが、最終的に、岡崎市立中央図書館の業務を妨害する強い意図が認められないとして、起訴猶予処分となった。

【米国の解説例】から引用、仮訳

Ⅰ.データ・スクレイピング潜在的な法的違反

 データスクレイピングビジネスモデルのリスクとメリットを評価するには、発生する可能性のある潜在的な法的違反を理解する必要がある。

1)コンピュータ詐欺・濫用に関する法律(Computer Fraud and Abuse Act :CFAA)違反

 CFAAは、「許可なく意図的にコンピューターにアクセスしたり、許可されたアクセスを超えたりして、...保護されたコンピューターからの情報を入手することを罰する。CFAAに基づく責任の決定は、通常、データ・スクレイパーが、Webサイトへのアクセスを管理する条件がデータ・スクレイピング活動を禁止しているという実際の知識または建設的な知識を持っているかどうかに焦点を当てる。ユーザーの知識を確立することは、多くの場合、Webサイトの利用規約がデータ・スクレイピングをどの程度明示的に禁止しているか、ユーザーが利用規約に法的に拘束されているかどうか(つまり、クリックラップまたはブラウズラップ(注3)の受け入れであったか)、および受け入れられない場合、該当する利用規約が建設的な知識に相当するほど目立つかどうかに依存する。CFAAの違反は罰金と拘禁刑で罰せられる可能性がある。

2)利用契約違反

 ユーザーがデータ・スクレイピングを明確に禁止する利用規約に拘束され、ユーザーがそのような条件に違反した場合、ユーザーは利用規約に違反している。このような違反は、ユーザーがデータにアクセスしてスクレイピングし続けることを禁止するための基礎となる可能性がある。そのような契約違反がユーザーに責任をもたらすかどうかは、ウェブサイトが違反の結果として損害を被ったことを立証できるかどうかに依存する。

3)著作権法違反

 定義上、データ・スクレイピング・プロセスには、Webサイトからのコンテンツの削除が含まれる。コンテンツが著作権で保護されており、利用規約でそのようなコピーが許可されていない場合、データ・スクレイパー著作権侵害の罪を犯す。著作権侵害の申し立ては、意図的な侵害、弁護士費用の支払い、差し止め命令の付与に対する違反ごとに最大150,000ドルの法定損害賠償を含む、米国著作権法に基づく高額の損害賠償につながる可能性がある。

 複雑なのは、ウェブサイト上のすべてのデータが著作権で保護されているわけではないか、著作権で保護されている場合でも、必ずしもウェブサイトが所有しているとは限らないため、ウェブサイトは侵害訴訟を起こすことができないということである。たとえば、データ量の多い多くのWebサイトは、ユーザーが生成したコンテンツ(LinkedIn、FacebookYouTubeInstagramTwitterなど)で構成されており、ほとんどの場合、Webサイトではなくユーザーが所有している。したがって、ウェブサイトは通常、著作権侵害を訴えることはできない。さらに、スクレイピングされたコンテンツの多くは単なるデータであり、データは基本的にアイデアに相当し、単なるアイデアは米国の著作権法で保護されない。最後に、コンテンツが著作権で保護され、Webサイトが所有している場合でも、スクレイピングフェアユースの例外に該当する可能性があり、使用によって元の作品がまったく新しいまたは予期しない方法で変換された場合、著作権で保護された作品の使用が許可される。(Campbell v. Acuff-Rose Music, 510 U.S. 569 (1994)参照)。

4)動産への不法侵入問題

 これは少し古風に聞こえるが、実際にはWebサイトに適用できる。動産(不動産以外の財産)への不法侵入は、一方の当事者が他の人の動産の合法的な所有を故意に妨害したときに発生する不法行為である。この場合、ウェブサイトの所有者は、ウェブサイトをホストするサーバーに対して強制力のある財産権を持っているため、不正アクセスがこの不法行為を構成する可能性がある。裁判所は、主にスケープがウェブサイトの運営に負担をかける場合に、そのような不法侵入を明らかにした。

Ⅱ.違法なデータ・スクレイピング

 Webスクレイピングは、法律や規則によっては禁止されていない。

 Webデータの抽出は公開データに限定されず、個人情報や機密情報も収集することもある。したがって、データ抽出の合法性を明確に理解することが不可欠である。

①パブリックデータとプライベートデータ

 公開データは、所有者によって公開され、誰でもアクセスできる一連の情報である。公開Webサイトからデータをスクレイピングすることは合法である。個人情報、個人を特定できる情報、財務情報、機密情報、または規制対象の情報は、個人データと見なされる。たとえば、連絡先情報、銀行口座の詳細、パスワードなどである。本人の同意や法的な理由なしに個人情報をスクレイピングすることは違法である。公開されている情報をスクレイピングすることが合法であるという事実は、公開されている個人情報をスクレイピングすることの合法性に関して多くの誤解を生み出す。

 2019年のhiQ対LinkedInの有名な事件では、公開されている個人情報をスクレイピングすることの正当性について議論した。この訴訟では、ソーシャルメディアまたはコンテンツプラットフォームが、他の企業が公開されているユーザーデータをスクレイピングして悪用するのを防ぐことを許可されるべきかどうかという問題を提起した。この場合、裁判所は、公共のプラットフォームから個人データをスクレイピングすることはコンピュータ詐欺・濫用に関する法律(CFAA)の違反であるというLinkedInの主張を排除した。

 しかし、2021年に、制定法の範囲を解釈する別の最近の最高裁判所の判決に照らして、米国連邦最高裁判所はLinkedInの訴訟を再検討のために審理することを決定した。

4-2.フランスのデータ保護当局(「CNIL」)のWebスクレイピング・ツールによるオンライン公共スペースからのWebユーザーの個人データの抽出とダイレクトマーケティングへのそのようなデータの再利用に関するガイダンス

 2020年4月30日、フランスのデータ保護当局である「情報処理と自由に関する国家委員会 ( Nationale de l'Informatique et des Libertés:CNIL)は、Webスクレイピング・ツールによるオンライン公共スペースからのWebユーザーの個人データの抽出とダイレクトマーケティングへのそのようなデータの再利用に関するガイダンス(「ガイダンス」を公開した。ガイダンスは、2019年にCNILが実施した検査の後に発行された。

 本ブログでは、策定の経緯など解説が充実していると思われるハントン・アンドリュース・カースLLP解説「CNILは、ダイレクトマーケティングのための公開されているオンラインデータのWebスクレイピングと再利用に関するガイダンスを公開」を仮訳する。なお、注書きやリンク等一部筆者の責任で加筆した。

(1)CNILガイダンス策定の背景

 CNILは、ダイレクトマーケティング・コミュニケーションを送信するためにWebページから個人データを抽出することからなるビジネス慣行に関する苦情を定期的に受け取る。その苦情は通常、消費者間のWebサイトまたはオンラインディレクトリに表示される広告に表示される個人の電話番号を収集する企業に関するものである。この情報は、過去にそのようなコミュニケーションの受信に反対した可能性のある個人にダイレクトマーケティング・コミュニケーションを送信するために使用される。

 その関係者は次のとおりである。

①不動産広告を参考にしてデータベースを作成し、その広告を掲載した個人のデータを抽出している企業。その後、データベースは不動産会社または他の企業に販売され、それらの個人にダイレクトマーケティングコミュニケーションを送信する。

②オンラインディレクトリ内の特定の地理的領域からすべての個人データを収集し、そのデータを使用して独自のダイレクトマーケティング・コミュニケーションを送信する企業(保険商品を販売する保険会社など)。

 CNILは、企業がEU一般データ保護規則(GDPR)およびフランスの「2018年データ保護法(LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles)」に準拠しているかどうかを判断するために、2019年にいくつかの検査を実施した。CNILの調査により、多くの企業がWebスクレイピング(またはデータ抽出)ソフトウェアなどのツールを使用して、オンラインの公共スペースからWebユーザーのデータを自動的に収集していることが明らかになった。調査の結果、データのソースに関して連絡を受けた個人に不十分な情報が提供されたり、電子ダイレクトマーケティング・コミュニケーション(電子メールや自動通話など)の送信に対する同意の欠如など、GDPRおよびフランスのデータ保護法のいくつかの違反が明らかになった。したがって、CNILは、データ管理者とそのサービスプロバイダーにこの分野のベストプラクティスを思い出させることにした。

(2)データ保護の基本原則の遵守

 このガイダンスは、オンラインの公共スペースで公開されている個人の連絡先の詳細は、データが公開されている場合でも、依然として個人データであることを強調している。そのため、企業はデータを自由に再利用したり、個人の知らないうちにデータをさらに処理したりすることはできない。企業は、基本的なデータ保護原則を遵守する必要がある。これには以下が含まれる。

個人の自由に与えられた、具体的で、情報に基づいた、明確な同意を得る

 個人が自分の個人データをあるデータ管理者と共有する場合、別の会社からダイレクトマーケティングを受けることは合理的に期待できない-別の会社は、個人の同意がある場合にのみ、そのような目的でデータを再利用する場合がある。同様に、企業が自社の製品やサービスに関するダイレクトマーケティングコ・ミュニケーションを電子メールまたは自動通話システムを介して送信するために、個人の公開されているオンラインデータを再利用する場合、会社は送信する前に個人の同意を得る必要がある。

GDPRに規定されているように、異議を唱える個人の権利を尊重する

 企業が非電子的手段(当事者間の直接架電など)でダイレクトマーケティング・コミュニケーションを送信する場合、Webスクレイピング・ツールは、通信事業者からのオプトアウト・リストまたはフランスのBLOCTELオプトアウトリスト(注4)に含まれる個人のデータを収集してはならない。

(3)Webスクレイピングツールを使用する前の重要な手順

 ガイダンスでは、Webスクレイピング・ツールを使用する前に次の手順を実行することも推奨している。

スクレイピングされるデータの性質と出所の検証:ガイダンスでは、一部のツールは、利用規約マーケティング目的でのデータの抽出と再利用が禁止されているWebサイトから情報を抽出することに注意されたい。この場合、その慣行は明らかに違法である。

データ収集の最小化:Webスクレイピング・ツールを使用する企業は、特にその情報が機密である場合(健康情報や個人の宗教や性的指向に関連する情報など)に特に注意し、無関係で過剰な情報を収集しないようにする必要がある。

個人への通知の提供:さらに、Webスクレイピングツールを使用する企業は、遅くとも個人との最初の通信時に、ダイレクトマーケティングのためにデータが抽出された個人に通知する必要がある。この通知には、データのソースを含め、GDPRの第14条に記載されているすべての情報が含まれている必要がある。

Webスクレイピング・サービスプロバイダーとの契約関係の管理:企業がWebスクレイピングサービ・スプロバイダーと契約する場合、サービスプロバイダーが上記の措置を遵守することを確認する必要がある。さらに、企業は、GDPRの第28条に準拠して、そのサービスプロバイダーと適切なデータ処理契約を締結していることを確認する必要がある。

必要に応じてデータ保護影響評価(「DPIA」)を実施する:場合によっては、データ処理を実装する前にDPIAを実行する必要がある。DPIA が不要な場合でも、ガイダンスでは、DPIA を実行することがベスト プラクティスであることを強調している。

 また、ガイダンスは、CNILが個人のデータ保護権が保証されることを確実にするために、これらの慣行に関して警戒し続けることを強調している。

5. 2022年3月15日、DPCのGDPRのワンストップショップ(OSS)に基づく国境を越えた苦情の処理に関する統計レポートを公開

 DPCのリリース文を仮訳する。

 データ保護委員会(DPC)は3月15日、GDPRのワンストップショップ(OSS)メカニズムに基づくDPCの国境を越えた苦情の処理に関する統計レポートを公開した。

 2018年5月以降、DPCは、アイルランドEU本社を置く多数のテクノロジーおよびインターネットプラットフォーム企業のEU / EEAの主要な監督当局として、かなりの数の国境を越えた苦情を受け取り、締結してきた。

 DPCによるこれらの国境を越えた苦情の処理は、パブリックコメントの対象となっており、ほとんどの場合、不完全で文脈に欠ける情報に基づいている。説明責任、透明性、情報に基づいた議論のために、公開されたレポートは、DPCの国境を越えた苦情処理プロセスと、受け取った苦情の数、結論の数、達成された結果など、関連する統計の事実に基づく概要を提供する。

 受け取った国境を越えた苦情の大部分については、DPCは関係する組織・機関のEU / EEAの主要な監督当局としてそれらに対処する責任がある。またDPCは、別のEU/EEAデータ保護機関が主導権を握っている組織について、個人から多くの苦情を受け取っている。このような場合、DPCはOSSカニズムを介して苦情を関連当局に転送する。

 本レポートは、2018年5月25日から2021年12月31日までの期間に次のことを示している。

〇DPCは1,150件の有効な国境を越えた苦情を受け取った。主たる監督当局(LSA)として969(84%)、関係監督当局(CSA)として181(16%)。

〇LSAとしてDPCが処理した国境を越えた苦情は、もともと別の監督当局に提出され、DPCに転送された。

〇2018年5月以降にDPCがLSAとして処理したすべての国境を越えた苦情の65%が締結されており、2018年に受け取った苦情の82%、2019年に75%が締結された。

〇DPCがLSAとして処理した634件の締結された国境を越えた苦情のうち、544件(86%)は、申立人の利益のために友好的な解決を通じて解決された。

〇72件(22%)の未解決の国境を越えた苦情は調査に関連しており、調査の最終決定時に結論付けられる。2018年と2019年の残りの未解決の苦情の多くは、調査に関連している。

〇LSAとしてDPCが処理するすべての国境を越えた苦情の86%は、わずか10のデータ管理者に関連している。

〇DPCが他のEU/EEA LSA(英国を除く)に転送した苦情の38%が終了した。

 ワンストップショップ(OSS)の国境を越えた苦情の処理に関するデータ保護委員会の統計レポート(全文)

 最新の統計については、2018年5月25日から2022年9月19日までのワンストップショップ(OSS)の国境を越えた苦情の処理に関するデータ保護委員会の統計レポートを参照されたい。

***********************************************************************

(注1) GDPRの個人データの越境処理のワンストップ・ショップ(OSS)・メカニズム(ワンストップ・ショップ条項)の解説

フランスのPrivacyvox.comサイトの解説を仮訳する。

 一般データ保護規則(GDPR)の下では、「国境を越えたデータ処理」を実行する組織・事業者等は、主たるデータ保護監督機関を指定する必要がある。その者が指定した監督当局が彼らの主要な連絡先として機能する。 

 当初は、以前は各加盟国の権限に対処する必要があった組織の管理負担を軽減するために導入されたが、ワンストップショップ条項GDPRの交渉中の意見の相違の主なポイントであり、その結果、複雑になっている。

 実際、これらの規定は国境を越えた処理活動にのみ適用され、組織の処理活動全体には適用されない。さらに、この処理活動のための組織の主な施設がEU外にある場合、組織はこれらの規定の恩恵を受けない。また、必要に応じてリ主たるデータ保護監督機関の正式な指定も伴う。

 〇ワンストップショップの規定はどのような場合に適用されるのか?

 GDPRによると、ワンストップショップの規定は以下の場合のみ適用される。

①管理者および/または処理者が欧州連合域内で国境を越えた処理活動(すなわち、複数の加盟国に影響を与える処理活動)を実行する場合。かつ、

②この処理活動に関連する主な事業所がEU域内にある場合

 なお、公的機関は、その処理活動が上記の条件を満たしているかどうかにかかわらずワンストップショップ規定の範囲から除外される。

〇「越境処理」とは何か?

 DPRによると、国境を越えた処理は次のいずれかである。

①複数の加盟国に所在する管理者または処理者の施設の活動に関連して行われる個人データの処理。又は

欧州連合内の管理者または処理者の単一の施設の活動の文脈で行われるが、複数の加盟国のデータ主体に重大な影響を与える、または実質的に影響を与える可能性のある個人データの処理。

実際には、次の場合に「クロスボーダー処理」と見なされる。

  • 2つの異なる加盟国にある組織の施設のうち少なくとも2つ。
  • あるEUを拠点とする組織の1つの施設は、処理活動が複数の加盟国の個人を対象としていることを条件としている。

なお、欧州連合にある施設に関係する場合(対象となる個人の場所に関係なく)は、「国境を越えた処理」とは見なされない

〇主な施設は何か?

 組織または事業グループが国境を越えた処理活動を行う場合、その主要事業所またはその単一事業所の国(すなわち、主要事業所はEUになければならない)に主要な監督当局を任命する必要がある。
 当該事業所は、十分に安定している限り、支店、子会社、またはオフィスのいずれかになる。それがほとんどの決定を下すならば、それは主要な施設として適格になります国境を越えた処理活動の対象となる。

 その結果、EU内に設立されていない、または主な事業所がEUにないワンストップショップ条項、コントローラー、またはプロセッサーのメリットから自動的に除外される。

〇主たる監督当局の役割は何か?

 主たる監督当局は、国境を越えた処理活動に関する質問、苦情、調査、またはその他の問題についてのみ、組織の唯一の連絡先として機能する。

 ただし、他の監督当局は、加盟国に所在する事業所または個人にのみ関連する場合、苦情または規制の違反を処理する能力を引き続き備えている。

 〇コントローラー(管理者)とプロセッサー(処理者)の両方に主たる監督権限がある場合はどうすればよいか?

 管理者と処理者の両方が主たる監督機関を任命した場合、管理者の主たる監督機関が主導権を握り、処理者の主たる監督機関は監督当局の役割のみを果たす。

(注2) David Jestier 氏のレポートを一部抜粋、仮訳する。

  Instagramは子供たちに無料の分析を提供し、その代わりに、Instagramは10億人の見知らぬ人に彼らの携帯電話番号と電子メールを明白に閲覧可能とした。

 見知らぬ人があなたの13歳の姪の携帯電話を要求した場合、あなたはそれを彼らに渡しますか? 仮に彼女がインスタグラムにいるなら、あなたは遅すぎるかもしれない。

 1年以上にわたり、6,000万人以上の子供たちが自分のプロファイルを「ビジネス・アカウント」に簡単に変更でき、Instagramはアプリでメールアドレスや電話番号を公開表示する必要がある。今日も何百万人もの人々が電話や電子メールを表示している。

 私はこの問題を発見し、今年初めにFacebookのホワイトハットプログラム11/30(44)に報告したデータサイエンティストである。おそらく、プラットフォーム上の「クリエイター」である最大49MのInstagramユーザーの個人の連絡先情報の漏洩に関するニュース記事を思い出してください。databreachtoday.com 年のジェレミー・カークの話は、この問題をさらに探求した。

(注3) クリックラップ契約(またはクリックオン契約)とは、[同意する] ボタンなどのクリックまたは同様のプロセスを通して一連の契約条件に同意することを示す契約手法の一つである。

 クリックラップ契約とブラウズラップ契約は同じものではなく、また置き換えが可能なものでもない。ブラウズラップ契約は、通常、ウェブサイトに利用規約やポリシーのリンクを貼るのみで、ユーザーは利用規約やポリシーに同意していることを示すための行動はとらない。一方、クリックラップ契約は、ユーザーに対してポリシーや契約条件を開示し、アクションを求めるため、取得した「同意」には法的拘束力がある。 つまり、コンプライアンスを確保し、不必要な法的リスクを排除することができる。(docusign.jpから一部抜粋)

(注4) 2016年6月1日、フランスで新しい電話禁止リスト(new do-not-call list「BLOCTELリスト」)が実装された。マーケティング電話の受信を希望しないフランス居住者は、” www.bloctel.gouv.fr”で固定電話または携帯電話番号をオンラインで登録できる。

 BLOCTELリストは、2014年3月17日のフランス消費者法第2014-344号(Loi n° 2014-344 du 17 mars 2014 relative à la consommation) によって制定された。この法律は、企業が(1)消費者がその会社の既存の顧客である場合を除き、BLOCTELリストに登録されている消費者にマーケティング電話をかけること、および(2)そのリストに登録されている消費者の連絡先情報を含むファイルを販売またはレンタルすることを禁止している。フランス消費者法によると、これらの要件を遵守しない企業は、15,000ユーロ(約2,145,000円)から75,000ユーロ(約1073万円)の罰金を科される可能性がある。

 フランスのデータ保護当局(「CNIL」)は、企業は電話マーケティングキャンペーンを実施する前に、BLOCTELリストの存在を消費者に通知し、電話をかける電話番号がリストにないことを確認する必要があると述べた。実際には、企業はBLOCTELリストに直接アクセスすることはできないが、電話マーケティング活動がフランスの法律に準拠していることを確認するために、定期的にリストへのアクセスを要求する必要がある(少なくとも月に1回)。(Hunton Andrews KurthLLPレポートを仮訳した)

**************************************************

Copyright © 2006-2022 宮沢俊雄(Toshio Miyazawa).All Rights Reserve.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.