個人データの利用同意を「規約で包括同意取得」は違法—欧州データ保護会議がMetaに下した決定

個人情報の利用同意を規約で包括的に取得しているMeta社に対し、欧州データ保護会議（The European Data Protection Board）がこれを違法とする決定を下したことが明らかになりました。サービス利用契約に含まれる個人データ取扱いの包括的同意と、別途取得すべき個別同意のボーダーラインとは？

noybが提起した「同意の強制」訴訟が4年半経ってようやく結審

オーストリア人弁護士であるマックス・シュレムス氏が主催する、プライバシー活動団体noyb。GDPRが施行されたばかりの2018年に、この団体がGoogle・Facebook（現Meta）らを相手取り、利用規約に個人データ利用に関する同意を盛り込み、事実上強制していると訴えた件は、当時本メディアでも取り上げました（関連記事：GDPRの施行により問われる「利用規約に同意」式契約の適法性）

あれから4年半、そのうちのMeta社に対する訴訟について、noybの主張が認められたことがWSJの取材によって明らかとなりました。

▼ 米メタの追跡型広告、EUが規制も　ユーザーに同意強要できず（Wall Street Journal日本版）

欧州連合（EU）の個人情報保護当局は米メタ・プラットフォームズに対し、オンライン上での行動を基に商品やコンテンツを提案する「パーソナライズ広告」の表示に同意するようユーザーに強要すべきではないとの判断を下した。事情に詳しい関係者が明らかにした。
メタはパーソナライズ広告の販売に必要なデータへのアクセスを制限される可能性がある。
EU域内のプライバシー保護当局を統括する欧州データ保護会議（EDPB）は5日、フェイスブックやインスタグラムなどメタのプラットフォームが利用規約を持ち出してパーソナライズ広告を正当化することを、EUの個人情報保護法は認めていないと判断した。

当メディアでは、本決定が今後のインターネットビジネスに与える影響について、特に規約・プライバシーポリシーへの同意取得の観点から検証してみたいと思います。

問題の所在：個人データの利用について、サービス提供開始時の規約で包括同意を取得すれば適法か？

Meta社事案における問題の所在について、おさらいしておきましょう。今回のWSJ報道を受けて、シュレムス氏自らがビデオでわかりやすく解説しています（参考リンク：noyb win: Personalized Ads on Facebook, Instagram and WhatsApp declared illegal）。

Meta社事案の問題の所在について解説するシュレムス氏

GDPRでは、企業がユーザーの個人データ利用を合法化するための手段について、6つの選択肢が用意されています（GDPR6条1項）。その一つが、（a）号で定められた、特定の目的のための個人データ取扱いに関する「同意」です。

以下、日本の個人情報保護委員会が作成したGDPR仮訳より引用します。

第6条 取扱いの適法性
1. 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である
(a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。
(b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
(c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
(d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。
(e) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
(f) 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。

Metaは、2018年当時、この(a)号の同意取得を個人データ利用の適法根拠とすることを考えたわけですが、その同意取得プロセスにおいて、

1. サービス利用規約（Terms & Condition）
2. 個人データの利用同意（Consent）

1の利用規約の中に、2の同意を混ぜることで、2つの同意を包括的に得ることとしました。

このような、規約に基づくサービス利用契約の中で、ユーザーの個人データの利用について包括的な同意を取得したこととするのは適法か？これを争っていたのが、今回の訴訟の内容となります。

EDPBが出した結論：「サービスを利用するための契約」に「個人データの利用同意」を混ぜてはいけない

Meta社としては、こうした包括的同意がGDPR上有効かにつき、EU圏を統括するMeta Platforms Ireland Ltdが所在するアイルランド当局と協議の上、適法見解を得ていました。

しかし、今回のEDPB決定はこの判断を覆し、

• Meta社は「サービスを利用するための契約」にのみ依拠して個人データを広告に利用してはならないこと
• ユーザーには、個人データの利用について、同意するか否かのオプションを提示すべきこと

を結論付け、アイルランド当局に対し、2023年1月までに最終決定を行うよう勧告しました。Meta社としては、規制当局であるアイルランド政府と事前に握っていたにもかかわらず、EDPBによってその見解をひっくり返されたかたちになります。

EU域内のビジネスを統括するMeta Platforms Ireland Ltdを監督するアイルランド当局とEDPBの関係

これにより、Meta社としては、今後「Facebookサービスは規約に基づいて利用するが、Meta社が広告に個人データを利用することは一切認めない」というスタンスのユーザーに対しても、サービスを提供しなければいけないことになるほか、利用同意の撤回にもきめ細やかに対応すべき義務を負うこととなります。

今回のEDPB決定はあくまでGDPRが適用される地域における決定ですが、日本企業にとっても、無視できない影響が発生するかもしれません。それはなぜでしょうか？

個別同意・撤回の慣習化がもたらす規約・プライバシーポリシーの変化

Facebookをはじめとする大手サービスが、EDPB決定に基づいて個別に同意を取得し、撤回もできるようにサービスを改修すれば、ユーザーにとってはその体験が「当たり前」になっていきます。

包括的・強制的な同意の取り付けから、個別的・双方向な同意と撤回へ

GDPRを無視できないグローバルなネットサービスでこれが慣習化していくと、ユーザーは、そのような「当たり前の体験」が提供されないサービスに対して違和感を感じるようになります。日本の個人情報保護法がそこまでの義務を定めていなくても、これまでのような包括的・強制的な同意の取り付けに、異議を唱えるユーザーは増えていくでしょう。

→ 規約・同意情報管理サービス「termhub（タームハブ）」のご紹介はこちら