GDPRの施行により問われる「利用規約に同意」式契約の適法性

投稿日:

GoogleやFacebookらを相手に、GDPRの施行日に提起された「同意の強制」に関する4件の訴訟。企業対個人の「利用規約に同意」方式による契約の是非が問われることになりそうです。

GDPRが禁じた「同意の強制」とは

本メディアでも何度かに分けて取り上げてきたGDPR(General Data Protection Reguration、一般データ保護規則)。データ主体としての個人の人権を尊重し、企業が無断で個人データを取り扱うこと、そして特にEU圏外への個人データを移転することを原則禁止とする法令です。

当然、個人データをできるだけ自由に取り扱いたい企業としては、この原則を覆すべく、個人からデータの取得と利用の同意を取り付けようと試みます。しかし、GDPRは、こうした個人からの同意の取り付けに関し、

  1. 強制を受けない(freely given)
  2. 特定の(specific)
  3. 情報提供を受けたうえでの(informed)
  4. 曖昧でない(unambiguous)

という4つの要件をすべて満たした上で、データ主体が積極的に意思表示することが必要であると定め、企業による個人への「同意の強制」を禁止しました。以下GDPRのJIPDECによる仮訳から、第4条11号を引用します。

第4条 定義
(11) データ主体の「同意」とは、強制を受けず、特定的に、情報提供を受けたうえでかつ曖昧でないデータ主体の意思表示であることを意味する。その意思は、当該データ主体が、宣言又は明らかな積極的行為によって、自己に係る個人データの取扱いに合意(agreement)して表すものとする。

シュレムス弁護士による主張の要点

このように、GDPRが上記第4条および関連する条文・ガイドラインによって「同意の強制」を禁止しているにもかかわらず、GoogleやFacebookらは、回避不可能な形でユーザーに同意を強制しているのではないか?オーストリアの弁護士マックス・シュレムス氏は、GDPR施行日に狙いをすます形で、この点を争う4件の訴訟を提起しました。

シュレムス氏は、主張要旨および訴状もすべて公開(PDF)しています。たとえば、GoogleによるAndroid OSのプライバシーポリシーに同意を求めるプロセスに関する違法性について述べた要旨部分がこちら。まさに“forced consent” =「同意の強制」を問題として指摘しています。

In summary, the controller cannot rely on the alleged “consent”, as described under section 1.4, as such consent infringes all the particular requirements set out in Article 4(11), Article 6(1)(a), Article 7 and/or Article 9(2)(a) of the GDPR, as well as all elements identified by the Article 29 Working Party Guidelines. Any processing operation that is based on such “forced consent” breaches the rights of the data subject under the GDPR.

その訴状には、ご丁寧にもHuawei Y6 2018 blackでAndroid OSをアクティベートする際の同意画面のスクリーンショットまで添付され、位置情報等の個人データ提供の同意なしにスマートフォンが使えない、つまり事実上回避不可能となっていることを強調しています。

Android OSのGoogle利用規約・プライバシーポリシー同意画面

このシュレムス弁護士、もちろんただの弁護士ではありません。2011年にフェイスブック利用者の友人データが第三者のアプリを使って本人の許可なく簡単に収集できることに対し問題を提起した、つまりケンブリッジ・アナリティカ事件の端緒を最初に警告した人物。そして2015年には、欧州から米国にデータを移すことを認めたセーフハーバー協定を無効とする欧州司法裁判所判決を勝ち取るなど、プライバシー分野で数々の実績を持つ活動家です。

「利用規約に同意」方式の契約は適法か?

端末の画面上で企業が作成した利用規約・プライバシーポリシーにユーザーが同意するというスタイルの契約は、企業が不特定多数のユーザーに対してサービスを提供するための最もポピュラーな契約方法です。特に、BtoCのインターネットサービスでは、このスタイルでの契約がほぼ唯一と言っても過言ではなくなっています。

そして、GoogleやFacebookからすれば、GDPR対応のためにプライバシーポリシーをこれまでよりも一段と詳細かつ丁寧にする改定を5月に加えたばかり。個人データを扱う上で求められる透明性の確保・向上の義務は、彼らなりに果たしていると思っているでしょう。そしてシュレムス氏もそれは十分に承知した上で、訴訟を提起したはずです。とすると、この訴訟はポリシーの記述方法の丁寧さの程度を争うものというよりももっと根本的な問題、すなわち、大企業が個人に対しサービス提供と引き換えに文書で定めた画一的な契約条件に同意を迫ること自体、どこまでが適法なのか?という論点に収斂していくのではないでしょうか。その意味で、注目すべき訴訟と考えています。

こうした訴訟の行く末はさておいても、4件の訴状の中で特にGoogleに対する訴状(PDF)は、Androidユーザーであれば全員同意しているはずの利用規約・プライバシーポリシーを題材に、GDPRが求める同意の任意性がどのように問題となるのかを、条文を読んだことがない一般人にも分かるよう丁寧に記述されています。専門書でGDPRについて勉強してもイメージが湧かなかった方にとって、具体的な実例を通して学べる格好の教材となっています。

企業法務担当者や弁護士はもちろん、同意取得画面を設計されているUIデザイナーの方などにも、参考になる点があるのではないかと思います。

(橋詰)