欧州当局はアイルランドのプライバシー監視機関に対し、今後2週間以内に欧州単一市場全体で行動ターゲティング広告のためのメタによる個人データ処理を禁止するよう指示した。
この決定は、ノルウェーのデータ保護機関であるDatatilsynetが9月に欧州データ保護委員会(EDPB)に対し、MetaによるFacebookとInstagram経由の個人データ処理に対するノルウェー全土での禁止措置を、EU域外の地域を含む欧州経済領域(EEA)全体に拡大するよう要請したことを受けてのものだ。これは、Metaのソーシャルネットワーキング計画に大きな障害をもたらすことになる。
そして、それは実行されるだろう。EDPBは本日、アイルランドのデータ保護局(DPA)に対し、単一市場全体にこの禁止措置を展開するよう指示した。アイルランドで実施されるのは、Metaの欧州拠点がダブリンにあるためだ。
「EDPBは慎重に検討した結果、EEA全域にわたるMeta(アイルランド)に対する個人データ処理の禁止を(DPAに)指示する必要があると判断しました」と、EDPBのアヌ・タルス委員長は声明で述べた。「既に2022年12月には、EDPBの拘束力のある決定において、(Metaのエンドユーザーとの)契約は、Metaが行動ターゲティング広告のために行う個人データ処理の適切な法的根拠ではないことが明確にされています。」
タラス氏は、DPAはメタ社が2022年末に課された命令に従わなかったことを発見したと述べた。「メタ社が処理を遵守させ、違法な処理を停止すべき時が来ている」と同氏は述べた。
Metaは、サービスのユーザーが同意する利用規約が、個人データの処理と行動ターゲティング広告の配信の有効な法的根拠であると主張してきました。しかし、欧州の裁判所はこれに異議を唱えました[PDF]。2018年の欧州一般データ保護規則(EU一般データ保護規則)では、パーソナライズされた広告が表示される前に、ユーザーは具体的な同意を得る必要があります。
Meta 曰く: 広告がなければ問題ないですよね?
数日前、Meta は、EU、EEA、スイスのユーザー向けに広告なしのサブスクリプション オプションを導入し、最近の欧州連合司法裁判所 (CJEU) の判決が「当社が発表しているようなサブスクリプション モデルは、広告で資金提供されるサービスに対する同意の有効な形式であると明示的に認められた」と主張しました。
MetaはThe Registerへの声明で、EDPBのデータ収集禁止に驚いているようだ。広告大手のMetaは、ユーザーに同意を求めれば、ターゲティング広告のために個人情報を処理し続けることができると考えている。問題は、具体的にどのように同意を得るかだ。
「メタはすでに、EUとEEAの人々に同意の機会を与え、11月には規制要件に従うサブスクリプションモデルを提供する予定であると発表している」と広報担当者は述べた。
「EDPBのメンバーは数週間前からこの計画を認識しており、我々は既に関係者全員にとって満足のいく結果を得るために彼らと十分に協議を重ねてきました。今回の展開は、慎重かつ堅固な規制プロセスを不当に無視するものです。」
- Metaの広告なしプランは、1ユーロずつプライバシーを買い戻すことを提案している
- Metaは監視委員会の要請に「ノー」と言い、ケタミンの有料投稿を許可することを決定した
- アルファベットCEO、Google検索裁判で証言「Appleを寄せ付けないために数十億ドル支払っている」
- プライバシー擁護団体がEU法に基づくYouTubeの広告ブロック検出スクリプトに異議を唱える
Meta が有効な同意を求めるつもりであると保証していることを考慮すると、EDPB の禁止は大きな影響を及ぼさない可能性があります。
The Registerの把握によると、Metaは1~2週間以内に、EEA内のFacebookアプリとInstagramアプリに、法的に許容される方法で個人データを処理することへの同意を求めるポップアップ通知を追加する見込みです。もしそうなれば、今回の禁止措置は大騒ぎにならずに済むでしょう。
アイルランドDPCは、EDPBの指令にどう対応するかについてはすぐには詳細を明らかにできないと述べた。
「DPCは、EDPBがメタの主たる監督機関としてDPCに指示を出す決定を通知したことを確認できます」と、副長官のグラハム・ドイル氏は電子メールでの声明で述べた。「EDPBが決定を公表していないため、背景の詳細の多くが不明であるという事実を考慮すると、DPCがこの件に関するメディアの問い合わせに応じることは困難です。」
「メタが11月から依拠する予定のない法的根拠に関するEDPBの決定(これらの根拠への依拠はGDPRへの準拠を証明しないというDPCの調査結果を受けて)はさておき、DPCは他のEUデータ保護当局と協議しながら、メタが8月に発表し、昨日の声明で詳細を確認した同意モデルの詳細な評価を締結することに焦点を当てています。」
Datatilsynet は EDPB の決定を歓迎し、Meta が法律に違反していることは明らかであるにもかかわらず、ソーシャル ネットワークはデータ収集を継続していると述べた。
「もうたくさんだ」と、データティルシネットの国際部門責任者であるトビアス・ジュディン氏は声明で述べた。「5年以上にわたりユーザーの基本的なプライバシー保護が侵害されてきたことを受け、データ保護評議会は今、Metaの法遵守の欠如に対し、断固たる措置を取る」
データ保護評議会は、メタの法律に対する不敬に対して断固たる態度をとっている。
ノルウェーのデータ保護当局はまた、「行動ベースのマーケティングに同意しない人は料金を支払わなければならないという、メタが提案する同意に基づく解決策が合法かどうかについて強い疑問を抱いている」と述べた。
オーストリアを拠点とするプライバシー擁護団体Noybも同様に、MetaのCJEU判決の解釈は不十分だと主張している。同団体によると、Metaの法的根拠は、裁判所が一般的に拘束力を持たないとされる、何気なく述べた内容に基づいているという。
Noybはこのアプローチに対抗する意向を示しているものの、Der Standardのような報道機関が、個人データ収集への同意を示す指標として、購読料または広告モデルを利用してきたことも認めている。これにより、データ規制当局がMetaに同様の選択肢を拒否することがより困難になる可能性がある。
最近、DPCにYouTubeによる広告ブロック拡張機能の存在を検知するスクリプトの使用を禁止するよう要請したプライバシー擁護者のアレクサンダー・ハンフ氏は、同意の尺度としてのMetaのサブスクリプションオプションの合法性の疑わしさについて、Datatilsynet氏の意見に同意した。
Metaは、パーソナライズされた広告を表示する前に、欧州の人々に丁寧に尋ねると述べている
以前
「ほとんどの人は料金を支払うよりも同意することを選択するだろう(そしておそらくMetaもそれを期待している)が、その同意が自由に与えられたものとみなされない場合、Metaの広告モデルは依然として違法となるだろう」と彼はLinkedInの投稿に記し、欧州の消費者保護法では交渉の余地のない、あるいは不均衡を生むような契約変更も認められていないと付け加えた。
Metaが協力しない場合、DPCがEDPB命令による個人データ処理禁止をどのように実行するかは完全には明らかではない。ハンフ氏はThe Registerに対し、罰金も選択肢の一つであり、関係裁判所がMetaの行為を侮辱と認定した場合、罰金は相当額になる可能性があると述べた。DPCの法的権限次第では、銀行口座の差し押さえ、AppleとGoogleに対しFacebookとInstagramを欧州のApp Storeから削除するよう命じること、あるいはISPに対しネットワークレベルの介入を指示することなど、その他の執行手段も考えられる。
ハンフ氏は、メタ社がDPCによるEDPB禁止措置の実施を阻止するための差し止め命令を取得しようとするだろうと予想しており、それが失敗した場合は、メタ社がそれに従うか、欧州当局が受け入れ可能な有効な法的根拠またはビジネスモデルが見つかるまで欧州からサービスを撤退するだろうと述べた。
「これは新しい領域であり、ポップコーンも用意している」とハンフ氏は語った。®
