Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

2021年11月10日英国最高裁判所はRichard Lloyd対Google LLC裁判で消費者代表よる集団訴訟につき原告適格を全会一致で却下(その1)

2022-02-08 09:20:13 | クラス・アクション・ADR

 

Last Updated: April 30,2024

 筆者の手元に2022.2.1 のConsumer Privacy World記事「Google LLC v Lloyd – Major Representative Action Denied」が届いた。2021年11月10日の英国最高裁判所(UK Supreme Court)の判決内容の解説記事である。

 2021年11月10日、英国最高裁判所(注1) は、リチャード・ロイド(Richard Lloyd:以下、ロイドという)氏(注2)がGoogle LLCに対する代表的な手続きを持ち込もうとした試みを全会一致で却下したという内容である。

Richard Lloyd氏

 消費者保護の代表として控訴院によって明言されたロイド氏は、原告のデータの違法な処理の後、「1998年データ保護法(以下、「DPA 1998」(注3)という)第13条に基づいて、約400万人のApple iPhoneユーザーの損害賠償を求めた。彼は、30億ポンド(約4650億円)の請求額の根拠につきGoogleを上陸させたであろうユーザー1人あたり£750(約41000円)として統一的な損害賠償を提案したのである。

 実は、筆者が調べたところ、この最高裁判判決は最高裁判所自身が詳しく解説していることが判明した。しかし、その内容をあらためて読み直したところ判決要旨のみかと思いきや実は判決日の同裁判所の公式動画8分間も見ることができる。

 また、さらに調べたところ、同裁判に関するCleary Gottlieb Steen & Hamilton LLPの詳しい解説があった。グローバルな大手国際法葎事務所クリアリー・ゴットリーブ・スティーン&ハミルトンLLP(Cleary Gottlieb Steen & Hamilton LLP)は、ニューヨーク市のワン・リバティ・プラザに本社を置く国際的な法律事務所である。同社は現在、ワシントン、D.C、香港、北京、ロンドン、ローマ、ミラノ、ブリュッセル、モスクワ、フランクフルト、ケルン、パリ、ブエノスアイレス、サンパウロ、アブダビ、ソウルに追加のオフィスを持っており、世界中で1,200人以上の弁護士を雇用している。

 さらに、控訴院判決について、筆者はBird & Bird LLPの解説「 英国民事訴訟規則第19.6条の下での集団訴訟データ保護侵害訴訟はGoogle LLC v Lloydの控訴院によって緑色の光を与えられた」や2019.10.4付けの UK Human Rights blog「ブラウザで生成された情報:ユーザーにとって「制御権の喪失」により、検索エンジンのユーザーは補償を受けることができる(Browser Generated Information: “loss of control” entitles search engine users to compensation)」という解説を読んだ。

 本ブログは単に最高裁の判決のみでなく控訴院判決の内容についても具体的に紹介しつつ、英国のクラス・アクションの動向等やわが国のクラス・アクションのあり方等につき問題提起する目的で論点を整理したい。すなわち、デジタル技術の開発により、法的救済が求められる可能性のある大規模な損害賠償の可能性に対する救済措置並びに新たなクラス・アクションの在り方、法制整備のあり方を考察する点にある。プライバシー法の損害範囲の明確化にも寄与しよう。

 なお、引用した解説文が多いため、内容に重複が発生した点はご理解いただきたい。

 今回のブログは2 回に分けて掲載する。

1.事案の背景と裁判の経緯(Consumer Privacy World記事から抜粋)

Consumer Privacy World記事が同裁判の背景、経緯、主な論点を簡潔にまとめているので初めに紹介する。

(1)Googleの顧客データのユーザーが気が付かない形での追跡行為の事実と米国企業Googleに対する英国での代表訴訟の手続・方法論

 2011年後半から2012年初めにかけて、Googleは「DoubleClick広告クッキー」(注4)を使用してユーザーのインターネット利用内容を密かに追跡していた。このクッキーにより、Google は、訪問したサイト、アクセス日時、各サイトに費やされた時間などのユーザーに関するデータを収集することができた。その IP アドレスを使用して、クッキーはユーザーのおおよその地理的位置を追跡することさえできる。

 Googleは米国デラウェア州の企業であるため、ロイド氏は当初、英国高等法院(High Court)の許可を管轄外で行う必要があった。Googleは2つの理由でこの英国裁判所での適用問題を争った。

すなわち:

(ⅰ)損害賠償は、それが金銭的損害や苦痛を引き起こしたことを証明することなく、データの「制御権の喪失」のみを理由に、DPA 1988の下で与えることはできない。

(ⅱ)いかなる場合でも請求は、代表者による裁判行動として進むのには適していない。

 2018年10月8日、第一審である英国高等法院 (High Court)判決では、Warby 判事はGoogleに関する手続きに対する許可を拒否し、DPA 1998の下でのデータ保護損害賠償は、違反が個人に金銭的損害または苦痛を与えたという証拠なしには与えられないと結論付けた。

Lord Justice Warby 氏

 しかし、2019年10月2日、英国控訴院(Court of Appeal)はこの決定を取り消した。その主要な判決内容は、商業的利益を視野に入れて行われた同意なしに個人データの卸売りと意図的な悪用に対する民事補償救済策を得る唯一の方法であると述べた高等法院判事ジェフリー・チャールス・ヴォス卿(Sir Geoffrey Charles Vos)によって提供された。

Sir Geoffrey Charles Vos 判事

 2021年11月10日、最高裁判所は、レガット卿(George Andrew Midsomer Leggatt )、リード卿(Robert John Reed Lord Reed)、アーデン女性卿(Mary Howarth Arden )、セールス卿(Philip James Sales  )とバローズ卿(Andrew Stephen Burrows)5人全員が同意した判決を下した。その際、彼らはGoogleの上告の訴えを認めた。

Robert John Reed 判事:最高裁長官(2020年1月13日就任)

Philip James Sales 判事(2019年1月就任)

George Andrew Midsomer Leggatt 判事(2020年4月就任)

Andrew Stephen Burrows判事(202年6月就任)

Mary Howarth Arden 判事(2022年1月23日退任)

(2)代表訴訟による損害賠償請求

 競争法の分野を除いて、英国議会は、単一の個人が同様に不正行為の影響を受ける人々のクラスに代わって是正を請求することを許可する法律を制定していない。したがって、ロイド氏はこうして英国民事訴訟規則の第19.6(1)(注5)に頼ろうとした。

 すなわち、同規則は複数の人が請求に同じ関心を持っている場合、(a)請求は開始される可能性がある、(b)裁判所は、その利益を有する他の人物の代表者と同じ利益を持つ者の1人または複数の者によって、裁判請求を継続するように命じることができる、というものである。

 最高裁の判事レガット卿(Lord Leggatt卿)は、最初に、先行する判例法の説明と英連邦における代表的な行動の扱いを含む、英国法における集団救済(collective redress)の広範な分析を提供した。

 彼は、デジタル技術の開発が大量危害の可能性を増大させ、したがって、複数の個人の請求を訴訟することの不便または非実用性を、すべての将来の請求者を1つの請求当事者にすることの同様の不便または非現実的性と調和させる必要があることを認めた。

 その後、代表的な手続きの損害賠償を請求する範囲は、請求者が間違って起こらなかったであろう立場に置くために損害賠償が与えられる補償原則によって制限されていると説明した。これを行うには、多くの場合、個別の評価が必要である。高等法院のウォービー判事(Warby J)がそれを発見したのは重要ではなかった。影響を受けた個人の中には、インターネットを頻繁に使う人(heavy internet users)である「スーパー・ユーザー」がいた。彼らは複数の違反の「犠牲者」であり、関連期間を通じてかなりの量の[ブラウザ生成情報]が取得され、使用されていた。他の人は非常に少ないインターネット活動に従事しているだろう".

 唯一の訴訟代理人としてのロイド氏は、Googleの職務違反の影響を受けるすべての個人と同じ利益を共有し、したがって、影響を受けた他の人に代わって代表的な訴訟請求を行う可能性は得られなかったとした。

(3)最も低い共通的分母の定義(The lowest common denominator)

 ロイド氏はまた、彼が代表を求め、損害賠償が与えられる基礎を提供することができると提出したクラスのすべてのメンバーが被った「これ以上削減できない最低限の損害(irreducible minimum harm)」を特定した。ある時に Google の DoubleClick 広告サービスに参加しているウェブサイトにおいてこの「これ以上削減できない最低限の損害」のしきい値は、個人がアクセスした場合に充足される可能性がある。

 最高裁判事のレガット卿は、最も低い共通分母の定義を「インターネットの使用法(単一のウェブサイトへの1回の訪問を除いて)が不正に追跡され、照合されておらず、DoubleClick広告クッキーを受け取った結果、ターゲット広告を受け取らなかった人」と要約した。これに基づき、Googleが損害賠償請求を見つけるためにその人物に関する個人データを収集または使用したという証拠はないと結論づけた。

(4)個人の個人データのコントロール権の喪失に対する損害賠償請求

 ロイド氏は、各個人に対する重大な損害を示す代替手段として、データ管理者がDPA 1998の要件を遵守しない限り、その個人が些細なことでも些細なことでもなく、また欺瞞的でない場合でも、個人はDPA 1998に基づく補償を回復する権利があると主張した。

*1998 DPA 第13条の筆者仮訳

第13条 (1) 本法の要件のいずれかのデータ管理者によるいかなる理由による損害を被った者は、その損害に対してデータ管理者からの補償を受ける権利を有する。

(2) 本法のいずれかの要件のデータ管理者によるいかなる理由による苦しみによっても苦しむ者は、その苦痛に対してデータ管理者から補償を受ける権利がある場合

(a) 個人は、また、違反の理由により損害を受ける、または

(b) この違反は、特別目的のための個人データの処理に関連する。

(3)本条により人に対して提起された訴訟において、当該要件を遵守するためにあらゆる状況において合理的に要求されたような注意を払ったことを証明することは弁護である。

 法律の文言の分析に関して、最高裁のレガット卿は「個人が被った『損害』とデータ管理者による法の要件の「矛盾」の区別を引き出し、「損害」が「理由に基づき」矛盾が発生した場合にのみ「その損害に対する」補償権を提供すると述べた。

 その後、EU保護指令第23条の「損害」という用語が物質的な損傷や苦痛を超えて広がっていると解釈できるかどうかを確かめるために、DPA 1998の第13条が実施することを意図したEU法と指令第23条を策定した。彼は、一般的にEU法またはEU保護指令第23条の特定の文脈において、そのような解釈を支持する権限が引用されておらず、国内法がそうしたと主張されていなかったので、より広範な解釈を「損害」とする理由はないと結論づけた。

*筆者追加

DPA 1998第13条は2022年1月3日に改正されている。その背景や内容につき筆者なりに補足する。

(5) 次の問題は何か?

 最高裁判決は、データ保護法違反の損害賠償をイングランドとウェールズに請求しようとする請求者にとって、間違いなく打撃といえる。最高裁のレガット卿は、EU一般データ保護規則(「GDPR」)の導入に続いて、英国データ保護法2018(「DPA 2018」)(注6)に取って代わられたDPA 1998の法定規定のみを考慮していたが、いくつかの点でDPA 2018の規定は置き換えられた法律体制と異なっていない。

 繰り返すが、GDPRでは、被害を引き起こしている行為と損害そのものとの区別が生じる。これらの点で、議論に開かれている一方で、英国の裁判所がロイド氏の主張で取られたアプローチに対して新しい法律の下で同様のアプローチを取ることを期待することは不合理ではないであろう。

 一般の人々はデータ保護権を認識し、このトピックに関する訴訟が増加しているが、本裁判は、第三者の資金提供者やATE保険会社(注7)がそのようなケースに取り組むうえでより慎重になる可能性があるため、現在行われている集団訴訟や軽微なデータ漏洩の申し立ての潮流を食い止める可能性がある。

 請求者が代表的なクラスの問題を回避する方法を見つけようとしても、このケースは、一般的に制御の喪失に対する損害賠償を請求できず、請求は些細なことで、実際の損害の証拠を提供しなければならないことを示しているので、データ保護関連の主張にもより広い影響を与える。

 Richard Lloyd対Google LLC裁判は、データ保護法の違反に加えて通常嘆願される些細な行為やその他の訴訟原因に関する最近の裁判所の決定に加わる(例えば、ウォーレン対DSGリテール株式会社[2021]EWHC 2168(QB)と不注意なデータ漏洩ブログの私たち自身のブログを参照されたい)。この法廷の傾向を考えると、裁判請求者はより集中的なアプローチを取り始め、投機的または些細な主張の数を減らし、より苦痛や悪質な違反に火力を集中させ、実際に戦う価値のある何かがある場所に集中することが望まれる。

 2.Cleary Gottlieb Steen & Hamilton LLP 「UK Supreme Court Rules in Favour of Google in Data Protection Class Action Claim」(2021.11.16)解説の主な論点

 最高裁判所は、原告の請求は、英国民事訴訟規則(「CPR」)第19.6に基づいて、代表訴訟の個々の請求者が「同じ利益」を持たなければならないという要件を満たしていないという判決を下した。さらに、同裁判所は、DPA 1998に基づくデータ管理者の法律義務の単なる違反を前提として補償請求を行うだけでは不十分であると判断し、補償請求を行うに当たり「重大な損害」が発生する必要があると判示した。

 この判断により、データ主体は、結果として被った損害または苦痛を実証することなく、データ管理者の法定義務の違反に対する補償を回復できないことが明確となった。また、「オプト・アウト」スタイルの代表訴訟をいつ遂行できるかについても重要な説明も提供した。

 なお、英国の代表訴訟や「オプト・アウト」型手続きに関する詳しい論文「イギリスにおける多数当事者訴訟とオプト・アウト型手続」我妻 学 (都法 59 巻 1 号(2018 年 7 月)63頁以下を参照されたい。

2.1 本裁判の背景と上告

 2017年5月、英国消費者保護の擁護者代表であるリチャード・ロイド氏は、約440万人のApple iPhoneユーザーのクラスを代表して、Google LLC(以下、” Google”という)がインターネットの一部を追跡した2011年から2012年までの活動はDPA 1998の第4条に違反すると主張して申し立てを行った。Googleは米国デラウェアの企業であるため、ロイド氏は米国での裁判請求に対応する許可を要求、申請した。

 その後、DPA 1998はEUの「一般データ保護規則(「GDPR」)と「2018年データ保護法(Data Protection Act 2018(以下、“DPA 2018”という)」に取って代わられたが、この訴訟は、データプライバシー訴訟と英国の裁判所における代表的な主張の両方に重大な影響を及ぼすものである。

 ロイド氏は、彼が主張したのと同じ関心を持っていると主張したiPhoneユーザーのグループの代表的な請求者としても主張をしようとした。重要なことに、その請求は、個々のユーザーが裁判請求にサインアップすることなく、または必ずしもその請求に気付くことなく行われた。代わりに、民事訴訟規則第19.6 条(以下、” CPR 19.6”という)に基づいて請求が行われ、「同じ利害関係を持つ」複数の請求者がいる場合の代表的な請求が可能になる。代表的なクレームの決定は、クレームに代表されるすべての人を拘束する。

2.2 第一審である高等法院はロイド氏の主張を却下し、米国で主張を行う許可を拒否した。すなわち、高等法院は、(i)金銭的損失または苦痛がなかったため、代表されたクラスのいずれも「損傷」を被っていない、および(ii)クラス・アクションの提案された原告メンバーはCPR19.6で要求されるのと同じ利益を持っていなかったと認定した。

 一方、控訴院は高等法院の決定を覆し、ロイド氏に代表されるユーザーは、CPR 19.6の目的で、データの制御権が失われるという形で同じ利益を持っていると判示した。

**********************************************************************************************

(注1) 筆者ブログ2020,8.16 「イングランドおよびウェールズ控訴院はサウス・ウェールズ警察による自動顔認識技術(:AFR)の使用に対する異議申し立ての却下判決を破棄、その使用は違法で人権を侵害していると判示)」の(筆者注1)英国の最新司法制度を連合王国最高裁判所サイト(Supreme Court and the United Kingdom’s legal system)で確認しておく。わが国では、現時点でこの資料に匹敵する公開資料はない。筆者はいずれ翻訳する予定である。)を参照されたい。

(注2)リチャード・ロイド氏は英国の多くの公的任務を担う大物である。 2011年から2016年まで消費者団体”Which?”の業務執行取締役 (executive director)を務めていたが、2019年4月に英国金融行為規制機構(FCA)の理事会(非常勤理事)に加わり、現在は監視委員会の委員長と指名委員会の委員を務めている。

 FCAのシニア・インディペンデント・ディレクター(上級独立取締役機能(SMF14)は、上級独立取締役の役割を実行する機能であり、統治体機能の議長を実行する人のパフォーマンスの評価を主導する特別な責任を負う)であるリチャード・ロイド氏は、2022年6月1日から次期常任議長が就任するまで、FCAの暫定議長として発表された。これは、2022年4月1日に再開されたFCA理事会での2期目の彼の最近の再任に続くものである。

 ロイド氏は経験豊富な理事であり、IPSA(Independent Parliamentary Standards Authority :英国では、議会や政府から独立した機関が、議員歳費や年金、手当等について規定し、管理をしている。2009年の議会手当スキャンダルに対応するため設けられた機関である。2011年から議員歳費や諸手当などの水準はIPSAが決定する仕組みに改められた。IPSAにはその運用経費が高すぎるなど様々な批判も出ているが、独立した第三者機関が議員経費をモニタリングした上でその水準を示すことには、自分のことを自分で決めているという批判を防ぎ、時勢に流されることなく議員の待遇を全体的に判断し、一定の客観性のある歳費等を提示できるというメリットはあるかもしれない。)の暫定議長、金融・メンタルヘルス政策研究所(Money and Mental Health Policy Institute) の暫定副議長、ASA(The Advertising Standards Authority=英国広告基準協議会)の評議会委員, さらに首相官邸の特別顧問でもある。

 また、2019年に経済と消費者の権利に対するサービスに関し大英帝国勲位(Order of the British Empire:OBE)を受賞している。

 なお、英国“Which?”について補足しておく。

”Which?” は、製品をテストし、劣った製品やサービスを強調し、消費者の権利の意識を高め、独立したアドバイスを提供することにより、商品やサービスの購入において情報に基づいた消費者の選択を促進する英国のブランド名である。 このブランド名は、消費者協会によって使用されている。消費者協会は、登録された慈善団体であり、保証によって制限されている組織であり、幅広いいくつかの事業を所有している。

 つまり、わが国の「国民生活センター」より専門化された消費者保護団体といえる。筆者は従前からニュース購読会員であるが、特に商品テスト結果は素晴らしい内容と対象範囲が極めて広い点がうらやましい。

(注3) Data Protection Act 1998

https://www.legislation.gov.uk/ukpga/1998/29/contents/enacted

(注4) トラッキング広告を行っている広告事業者によっては、「追跡を行わない」ということを指定することも可能である。たとえばGoogleの場合、「広告とプライバシー」ページが用意されていて、ここで「オプト・アウト」ボタンをクリックすることで、Googleが利用しているDoubleClick Cookieから逃れることができる(図1、2)。DoubleClick Cookieとは、ダブルクリック社が提供するトラッキングCookieの一種である。オプト・アウトを行うと、IDとして「OPT_OUT」が割り当てられたトラッキングCookieがWebブラウザに保存され、以後トラッキングが行われないようになる。(2009年7月1日「トラッキングCookieを無効化する「Targeted Advertising Cookie Opt-Out」拡張」から一部抜粋)。

(注5) 英国民事訴訟規則(「CPR」)のうちPART 19 - PARTIES AND GROUP LITIGATION の第19.6条を以下で引用、仮訳する。

19.6同じ利益を持つ代表者は

(1)複数の人が請求につき同じ利益を持っている場合–

(a)請求を開始することができる。 または、

(b)裁判所は、その利益を持っている他の人の代表者と同じ利益を持っている人の1人以上によりまたはその人に対して請求の継続を命じるときはことができる。

(2)裁判所は、人が代表者として行動してはならないことを指示することができる。

(3)いずれの当事者も、(2)項に基づく命令を裁判所に申請することができる。

(4)裁判所が、当事者がこの規則に基づいて代表者として行動しているという請求で与えられた判決または命令を別の方法で指示しない限り、

(a)請求に含まれるすべての人を拘束する。しかし、一方で

(b)裁判所の許可を得て、請求の当事者ではない人物によって、またはその人物に対してのみ執行することができる。

(5)この規則は、CPR第19.7条が適用される請求には適用されない。

(注6) DPA 2018(https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted)

(注7) ATE保険は、訴訟および仲裁の追跡または弁護で発生した訴訟費用をカバーする一種の訴訟費用保険契約である。 保険契約(policy)は、法的紛争が発生した後に購入される。

これは、住宅保険などで一般的に購入されるイベント保険契約の前に事前購入したものとは異なる。

英国の場合、ATE保険は、結婚法または刑法を除いて、訴訟のほぼすべての分野で購入できる。ATE保険会社は、クライアントの特定のニーズに合わせたさまざまな保険を提供しているが、 通常、企業自身の支出および 対戦相手が勝った場合に対戦相手の訴訟費用を支払う責任をカバーしている。(dfa Law Firmの解説から一部抜粋、仮訳)

   ************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 


コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« IRSは税務記録にオンラインで... | トップ | 2021年11月10日英国最高裁判... »
最新の画像もっと見る

コメントを投稿

クラス・アクション・ADR」カテゴリの最新記事