フランスCNILの米国Googleに対するEU一般データ保護規則違反にもとづく罰金命令の意義と検証(その１)

　筆者は、2018年5月25日から適用が開始された欧州連合(EU)の統一プライバシー規制規則である「一般データ保護規則（General Data Protection Regulation： GDPR」）について、これまで適宜ブログで解説してきた。

　さる1月21日にわが国のメディアでも言及されているとおりフランスのデータ保護監督当局である「情報処理及び自由に関する国家委員会(Commission nationalede l'informatique et des libertés：CNIL)」は、EUの「一般データ保護規則（「GDPR」）の違反したとして、Googleに対し5,000万ユーロ(約62億円)の制裁金を課す旨決定した。これまでのフランスのCNILが課しうる制裁金の上限額が30万ユーロ(約3,720万円)(筆者注1)であったことと比較してGoogleの負担する経済的ダメ―ジは言うまでもない。

　さらに、CNILへの申立者であるLa Quadrature du Netサイトによると、「CNILの制裁対象企業は2018年5月28日、12,000人を代表して、Google、Apple、Facebook、AmazonおよびMicrosoftに対してCNILに対して告発したとある。その間、CNILはGoogleに対して苦情を申し立てることを決定したが、他の苦情はアイルランドとルクセンブルクの監督当局に提出され、同時にCNILに対しオーストリアの人権擁護NPO団体”NOYB”(筆者注2)から別の苦情が寄せられた」とある。

　わが国のメディアでは詳しく論じられていないが、今回のCNIL制裁処理のポイントは、CNILが被告としてEU内のGoogleの拠点であるグーグル・アイルランド・リミテッドではなく、米国Google.LLC（およびGoogle持ち株会社）を被告とした点である。すなわちGDPRの定めるワンステップ・ショップ(筆者注3)の適用を否定した点にある。この解決方法は、米国のグーグル、アマゾン、フェイスブック、マイクロソフト、アップルというIT独占企業であるGAFMAの市場独占にくさびを打つというEUの戦略が見える。

　このようなきわめて政治的な動きをとれるのは、EUの主たるプライバシー規制機関であるCNILであるがゆえにできた決定ともいえる。

　さらに、CNILの制裁金額の決定はGoogleの違反行為がGDPRが定める制裁金額の重度の違法性があったと判断した点である。今回のCNILの制裁金の決定は今さら始まったものではない。

　一方、わが国に目を転じると、1月25日のわが国の主要メディアである朝日新聞は総務省の有識者会議がGoogle等GAFAに対しわが国の電気通信事業者と同様に「通信の秘密」保護の義務付けに関する検討に入ったと報じた。この記事にあるとおり、最大の論点はGoogleのように米国に本社があり、たとえ日本法人があっても実質的に機密保持のにかかる社内の重要な決定権限が存しない場合はわが国の行政機関や司法機関は規制できないのかという点が中心的論点のようである。今春に報告書をまとめるということであるが、筆者なりに調べたがここでいう有識者とは具体的にいかなる人々であろうか。わが国のメディアの情報源調査の不十分さは本ブログでも重ねて指摘してきたとおりであるが、具体的に調べたので巻末にURLのみ引用しておく。

　今回のブログは、記事の内容から見て正確性を優先させて、(1)2019.1.22　Covington & Burling LLP.「グーグルはGDPR違反でフランスで5000万ユーロの罰金を科した 」、(2) 2019.1.21 Latham＆Watkins LLP解説記事「フランスのデータ保護当局、画期的なGDPR訴訟で5,000万ユーロの罰金命令を発布」の主な内容をアレンジして原稿とした。

　なお、わが国のメディアはほとんど論じられていないが、GoogleのGDPRに基づく「忘れられる権利」の対応にかかるCNIL, 国務院決定の問題も重要な点であるが、時間の関係で別途取り上げたい。(筆者注4)

　今回は２回に分けて掲載する。

１．CNILに対する人権擁護NPO団体からの苦情申し立てとCNIL決定の経緯

(1) EUの人権擁護NPOからの苦情申し立て　

 　2018年5月25日に「EU一般データ保護規則2016/679（以下、GDPR）」が施行されてから1週間以内に、フランスのデータ保護当局（CNIL）は2つの非営利団体からGoogle LLC（以下、Google）に関する個別の苦情を受けた。活動家である弁護士マックス・シュレムス(Max Schrems )によって設立された”La Quadrature du Net”   (筆者注5)および「あなたのビジネスのどれも」1万人近い個人を代表して組織が行った苦情内容は、次のようにまとめることができる。 

 ① Android携帯端末のユーザーは、Googleのプライバシーポリシーと利用規約を受け入れる以外にデバイス利用上の選択肢はないと主張した。

② La Quadrature du Netは、Googleが有効な法的根拠なしにターゲット広告のために個人データを処理したと主張した。

(2) CNILの調査とGoogleの対応

　CNILは直ちに訴状に基づく調査を開始した。 2018年10月末までに、CNILはすでに調査を完了しており、GDPR違反の疑いがあるとして5,000万ユーロの罰金を科すというCNILの提案をGoogleに提起した。 

　これに対し、Googleは、EU内のグーグルの本部はアイルランドを拠点としているため、CNILは直ちに苦情をアイルランドの監督機関であるデータ保護委員会（Data Protection Commission:DPC）に送付するべきであると主張した。

(3) CNILのアイルランド・グーグルのEU内の「本拠」論の却下

　CNILは、Googleアイルランドの施設内に重要な財源と人的資源が存在することを認めながらも、GDPRの第4条16号(主たる拠点の定義)および前文(recital )36(Recital 36 :Determination of the main establishment*)の意味においてEU内の「主要施設」にはなり得ないと判断した。CNILの主張は以下の点を含んでいた。

① CNILに対する苦情があった当時、米国Googleの事業体が唯一の意思決定事業体であった。Google事業体のみが「処理の目的と手段に関する主な決定を決定する管理活動の効果的かつ実際の行使」を行ったからである。

② CNILは、Googleのアイルランドの拠点である「グーグル・アイルランド・リミテッド」 (筆者注6) が関連する情報処理活動に参加したことを認めたが、CNILは、オペレーティングシステムAndroidおよびグーグルLLCによって提供されるサービスの文脈において実行された処理操作について「意思決定力」を有していなかったと結論づけた。携帯電話の設定中にアカウントを作成することに関連しています。 EUに本部を置くことなく、CNILは、米国Googleが管理する処理を管轄すると結論付けた。

(4) この結論をさらに支持して、CNILは、Googleが最近アイルランドのDPCに、EU個人に関する一定の処理についての責任のアイルランド設立への移管は2019年1月末までに完了することを通知するように書面で書いたという事実にも言及した（ すなわち苦情がなされた後である）。

(5) 苦情に対し加盟国の主権当局に不確実性がある場合、CNILは「欧州データ保護委員会（EDPB）」にこの問題を問い合わせるべきであるというGoogleの反論に応えて、CNILは、主な機関がない場合は主権を特定する必要はないと主張し、EUでは、ワンストップショップの仕組みは単に適用できなかったためである。CNILは、受けた苦情を直ちにすべてのEU加盟国のデータ保護当局（DPA）に転送したがらのすべておよびEDPBの議長からも、主たる当局の特定のためにこの問題をEDPBに委ねる必要はないという回答があった。  

***********************************************************************

(筆者注1)これまでのCNILの制裁金の上限は30万ユーロ　 ブログの注5参照。

(筆者注2) NOYB ( ヨーロッパのデジタル人権センター)は、2017年に設立されたオーストリアのウィーンに拠点を置く非営利団体である。NOYBは、オーストリアの弁護士およびプライバシー保護活動家であるMax Schremsによって設立された。 EU一般データ保護規則、提案されているePrivacy規則、および一般的な情報のプライバシーを支持するメディアイニシアチブ団体である。 多くのプライバシー保護団体が政府に注意を向けているのに対して、NOYBはプライバシー問題と民間部門におけるプライバシー侵害に焦点を当てている。 

(筆者注3) ワンストップ・ショップ制度に、ついてわが国では詳しい解説は少ない。Internet Initiative Japanの解説を一部抜粋引用する。（GDPRの規定との関係は本文で述べる）

（b）ワンストップ・ショップ制度

ワンストップ・ショップ制度は、複数の加盟国内に拠点を有する管理者/処理者の処理を担当する監督当局を一つに集中させることを狙いとしています。具体的には、管理者/処理者の主たる拠点の監督当局が、国境を越えた処理に関する主要監督当局としての役割を果たし、管理者/処理者にとって、越境での処理に関わる唯一の窓口となります。

主要監督当局は、意見の一致を図り、すべての関連情報を交換するよう、他の関連する監督当局と協力します。主要監督当局は、他の監督当局が相互支援や共同作業を行うよう要請し、特に、他の加盟国内に拠点をもつ管理者/処理者に関わる調査や対策実施の監督を行います。

もっとも、各監督当局は、違反被疑事実がある加盟国内の拠点にのみ関係する場合、または当該加盟国内のデータ主体にのみ実質的な影響を与える場合には、受けつけた苦情申立てに対処する権限を持ちます。

(筆者注4) 以下のURLを参照されたい。

・http://www.conseil-etat.fr/Actualites/Communiques/Droit-au-dereferencement

・https://www.theguardian.com/technology/2016/may/19/google-right-to-be-forgotten-fight-france-highest-court

(筆者注5)”La Quadrature du Net” は、フランスのデジタル権び市民の自由権の擁護団体である。

(筆者注6) 2016.8.1 のリリース「グーグル（Google）社、アイルランド・ダブリンに170億円規模のデータセンターを新設」を以下抜粋、引用する。

「アイルランド共和国（首都ダブリン）のエンダ・ケニー首相は本日、グーグル社が同国のウェストダブリンにて、1億5,000万ユーロ(約174億円)を投じて建設したデータセンターが新たに正式開所したことを発表しました。」

　アイルランドにおけるグーグル社の大型データセンターであると解説されているが、筆者の見解はEUの中核的データセンターであるとしても、果たして本社機能はもっているだろうか。(Bloombergの企業解説：Google Ireland Limited does not have any Key Executives recorded. という記述からみてもCNILの判断は正しいであろう)

　筆者はCNILがGDPR第4条16号(主たる拠点の定義)および前文(recital )36(Recital 36 :Determination of the main establishment*)の意味においてEU内の「主たる拠点」（筆者注6-2）にはなり得ないと判断した点に組したい。

(筆者注6-2) GDPRの「主たる拠点」について詳しくはジェトロ「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（第29 条作業部会ガイドライン編）」5頁以下を参照されたい。

***********************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.