今月初め、ドイツの裁判所は、GoogleがホストするウェブフォントをインポートしてEUのプライバシー法に違反したとして、身元不明のウェブサイトに100ユーロ(110ドル、84ポンド)の罰金を科した。
ミュンヘン地方裁判所第三民事部による判決では、ウェブサイトがGoogle Fontsでホストされたフォントをページに組み込むことで、身元不明の原告のIPアドレスを正当な理由なく許可なくGoogleに渡したと認定されました。これは欧州一般データ保護規則(GDPR)に違反するものです。
つまり、原告がウェブサイトを訪問した際、ページはユーザーのブラウザにテキストに使用するフォントをGoogle Fontsから取得させ、その結果、ネットユーザーのIPアドレスが米国インターネット大手Google Fontsに開示されたのです。このようなホットリンクはGoogle Fontsではよくあることですが、ここで問題となるのは、訪問者がIPアドレスの共有を許可していなかったことです。ウェブサイト側は、可能であればフォントを自社でホストすることで、このような事態を回避できたはずです。
判決は、「被告による原告の動的IPアドレスのGoogleへの無許可開示は、ドイツ民事訴訟法第823条第1項に基づく情報自己決定権という形で、一般的な人格権の侵害を構成する」と述べ、アルゴリズム翻訳で「情報自己決定権には、個人が自身の個人データを公開し、その利用を決定する権利が含まれる」としている。
この判決では、IP アドレスに関連付けられた人物を特定することは理論的に可能であるため、IP アドレスは個人データを表すものであり、ウェブサイトまたは Google が実際にそれを行ったかどうかは無関係であると述べられています。
Google Fontsの書体ピッカー…このケースを踏まえて、私たち独自のサンプルテキストをいくつか追加しました
判決文には、「原告が被告のウェブサイトにアクセスした際に、被告は動的IPアドレスをGoogleに転送することで、原告の情報自己決定権を侵害した」と記されている。
この判決は、ウェブサイトに対し、GoogleへのIPアドレスの提供を停止するよう命じ、サイト運営者に対し、違反1件につき25万ユーロの罰金、またはGoogle Fontsの不適切な使用を継続した場合は最長6カ月の懲役を科すと警告している。
Google Fontsは広く導入されており、Google Fonts APIは約5,000万のウェブサイトで利用されています。このAPIを利用することで、ウェブサイトはGoogleまたはCDNなどのリモートサーバーに保存されたGoogle Fontsを用いてテキストのスタイルを設定できます。これらのフォントは、ページの読み込み時に取得されます。Google FontsはEU規則に抵触することを避けるため、自己ホスト型での利用が可能です。今回の判決では、この可能性を明示的に引用し、GoogleがホストするGoogle Fontsへの依存は法的に正当化できないと主張しています。
- 機械にはもっと学習が必要:Googleドライブは著作権侵害のため1文字のファイルを警告
- 英国のデータ監視機関、GDPR違反で法務省に執行通知を発令
- 議員らは利用規約を誰も読まないため、TLDR法案を提案している
- オーストリアの監視機関は、ドイツ企業のGoogle Analyticsの使用が米国にデータを送信することでGDPRに違反していると判断した。
ドイツの裁判所の判決は、最近の2つの判決を反映したものである。1つは1月初めにオーストリアのデータ保護当局がGoogle Analyticsの使用は法律違反であると判断した判決、もう1つは昨年12月に別のドイツの裁判所がデンマークの同意管理会社のCookieBotプログラムが米国のAkamaiとヨーロッパのIPアドレスを共有し、EUのデータ法に違反していると判断した判決である。
これらのデータ プライバシーに関する判断により、個人データが転送される場合、または法的同意がある場合、正当な目的が必要となるため、Web サイトやアプリケーションがリモートでホストされているコンテンツやサービスを統合する方法が複雑になります。
これらは、EU司法裁判所が2020年にプライバシーシールド・データ保護協定を破棄した判決の結果を反映している。この協定は、米国企業が「標準契約条項」に基づいて欧州のパートナーとデータ交換することをこれまで認めていた。この判決は、オーストリアのプライバシー活動家マックス・シュレムス氏が2011年にアイルランドでFacebookに対して提起した訴訟に端を発しているため、「シュレムスII」と呼ばれている。
Googleはコメント要請にすぐには応じなかった。®
