EUの一般データ保護規則(GDPR)のもと、データ権利の保護を掲げる非営利団体NOYBが初の苦情申し立てを行なってから1,459日が経過した。プログラムディレクター、ロマン・ロベルトによると、NOYBはGoogle、WhatsApp、Facebook、Instagramがしかるべき同意を得ることなく、個人情報を放棄せざるをえない状況に人々を追いやっていると主張している。申し立ての提出は、GDPRの施行により欧州の7億4,000万人のプライバシー保護が強化された2018年5月25日。あの日から4年が過ぎたというのに、最終的な決定は未だ下されていない。しかも、結果を待っているのはNOYBだけではないのだ。
発効以来、GDPRの施行にかかわる業務を担うデータ規制当局は、大手テック企業や怪しげなオンライン広告業界に対する苦情申し立ての迅速な処理に悪戦苦闘しており、多くの案件が未決のままになっている。欧州内外の何億人ものプライバシー保護の向上にGDPRが果たした貢献は測り知れないが、一方で最悪の問題を根絶させるまでにはいたっていない。データブローカーは依然として情報を盗んで売っているし、オンライン広告業界が潜在的な悪用の温床であることにいまも変わりはない。
昨今、市民社会団体はGDPRの限界に不満を募らせ、EU加盟国の監督官庁のなかには、国際的な申し立てを処理するシステムが肥大化し、対応が遅々として進まないと訴えるものもある。それに対し、情報経済は恐ろしいまでのスピードで進んでいる。「GDPRが滞りなく施行されているとは言えないと思います。想定していたようにはスムーズに適用されていません」とロベルトは言う。NOYBは、同意に関する申し立ての処理の遅れに対する訴訟で和解したばかりだ。「わたしたちが施行ギャップと呼ぶもの、そして複数の国にまたがる案件の処理や大手企業への規制適用の問題は解決していません」。4年前、グーグルの位置情報追跡機能に苦情を申し立てた欧州消費者団体(European Consumer Organization)のシニアリーガルオフィサー、デイヴィッド・マーティン・ルイスはそう指摘する。
欧州のデータ保護規則は12年1月に欧州委員会から原案が提出され、欧州議会における審議を経て16年に成立し、企業や組織には対応に2年の猶予が与えられた。GDPRは過去のデータ規制を基盤としており、企業には人々の権利を強化し、名前やIPアドレスなどの個人情報の取り扱い方法を見直すよう求めている。ただし、人権侵害のおそれのある警察の顔認識技術など、特定のケースでは、GDPRはデータの使用を禁止していない。その代わり、個人データの処理、保管、利用方法の重要な指針として、7つの原則が定められている。これらは慈善団体、行政機関、製薬会社、大手テック企業のいずれにも同じように適用される。
何より重要なのは、GDPRが7つの原則を武器に、全世界における売上高の4%を上限に企業に罰金を科し、原則に違反する慣行をやめるよう命じる権限を欧州各国のデータ保護監督機関に与えたことだ(個人情報の処理を制限する命令のほうが、罰金よりも明らかに影響が大きい)。GDPRに則って規制当局が罰金や命令の執行を迅速に行なえるとは、最初から考えにくかった──例えば競争法のケースだと、訴訟に数十年もかかる場合がある──が、適用開始から4年がたっても、世界最強のデータ企業に関して下された重大な決定の数はとんでもなく少ないままだ。
処理のスピードアップと措置の迅速化
GDPRの難解な規則に従って、複数のEU加盟国で事業を展開する企業に対する苦情申し立ては、通常はその企業の欧州本部が置かれた国で処理される。このいわゆる「ワン・ストップ・ショップ・プロセス」によって、調査を主導する国が決まるのだ。ルクセンブルクのような小さな国がアマゾンの、オランダがネットフリックスの、スウェーデンがスポティファイへの申し立てを処理しているのはそういうわけだ。同じ理由で、アイルランドはメタのFacebook、WhatsApp、Instagramに加え、グーグルのすべてのサービス、Airbnb、ヤフー、ツイッター、マイクロソフト、アップル、リンクトインに対する申し立てに対応している。
GDPR発効直後に込み入った苦情の申し立てが殺到したため、アイルランドを含む各国の規制当局では業務が滞り、事務処理に追われて国際協力の効率は低下した。アイルランドの規制当局のデータによると、18年5月以降、アイルランドは国境をまたぐ決定を伴う案件の65%の対応を終えたが、400件が未処理のままだという。NOYBがネットフリックス(オランダ)、スポティファイ(スウェーデン)、PimEyes(ポーランド)に対して起こした申し立てもやはり、何年たっても決着する気配がない。
欧州各国のデータ規制当局は、GDPRの施行は現在まだ成熟の途上にあり、いずれうまく機能し、効率も上がっていくだろうと主張する(この記事を執筆するにあたり、フランス、アイルランド、ドイツ、ノルウェー、ルクセンブルク、イタリア、英国、および欧州のふたつの独立機関、欧州データ保護観察機関(EDPS)と欧州データ保護委員会(EDPB)の高官にインタビューを行なった)。施行以来、罰金を科されるケースは増え、その額は現時点の合計で16億ユーロ(約2,300億円)に達している。
最高額がいくらか気になるだろうか? 21年、ルクセンブルクがアマゾンに7億4,600万ユーロ(約1,000億円)、アイルランドがWhatsAppに2億2,500万ユーロ(約300億円)をそれぞれ科した(両社は決定に不服を申し立てている)。同時に、それほど知られていないが、ベルギーが下した罰金の決定は広告テクノロジー業界全体の仕事のやり方を変えるほどの影響があるかもしれない。とはいえ、規制当局の高官らも認めているように、GDPRの施行方法を変えれば処理のスピードアップと措置の迅速化を図ることができるだろう。
大手テック企業に対する相当な数の苦情申し立てを処理するアイルランドのデータ保護委員会(DPC)のヘレン・ディクソンは、欧州におけるGDPR施行の中心人物だ。DPCは管轄下の申し立ての対応に手こずり、他国の監督機関の怒りを買い、組織を改革せよとの声まで出たとして批判を受けている。「何もかもが同時に起こったら、きわめて重要な法的枠組みに従いながら、問題に優先順位をつけて一つひとつ片づけていくのに時間がかかるのは当然です」と、ディクソンはDPCの能力を擁護する。そして、DPCは何にも頼ることなくGDPRに準じた複雑な処理をしなければならず、案件や新しい手順の数が増えたうえに、簡単に決定を下せないケースも多いと述べた。
「GDPRの適用開始から4年間、DPCは実に効率よく業務をこなしてきたと言えるでしょう」。ディクソンはふり返ってそう語る。「『何でも法』と評される新しい法の枠組みのなかで、DPCはこの数年よくもちこたえてきましたし、罰金や是正措置など、大変重要な制裁をすでに実行してきた」ことを考えれば、成果はあがっているとディクソンは述べた。数千件の申し立てのうち、この4年間にDPCはツイッター、WhatsApp、Facebook、Grouponに対して決定を下している。
「DPCの改革・強化方法については、独立した審査をすべきです」。そう語るのは、アイルランド市民自由協議会(Irish Council for Civil Liberties)のシニアフェロー、ジョニー・ライアンだ。「外部からは、何が問題なのかを見きわめることはできません」。ライアンはまた、アイルランドの規制当局だけを批判することはできないとも述べる。「欧州委員会は絶大な権力をもっています。GDPRは本来すばらしいプロジェクトであるはずです。にもかかわらず、欧州委員会はGDPRを軽視してきました。ただ法律を提示するだけではいけません。それが正しく適用されていることを確認する義務も、欧州委員会にはあるのです」
これまで欧州委員会は、アイルランドをはじめ、欧州におけるGDPRの施行を後押ししてきた。「われわれはデータ保護を監督する各国の機関に対し、法執行のための取り組みを強化し続けるよう常に求めている」と、欧州委員会の司法担当委員ディディエ・レインダースはコメントしている。「GDPRに則って、われわれは6件の権利侵害訴訟を起こした」。これらには、GDPRを国内法に組み込まないスロベニア、データ保護監督機関の独立性が疑問視されるベルギーに対する法的措置が含まれている。
一方で、EU機関の活動を監視するEUオンブズマンは、2月にライアンにより提出された申し立てに従って、欧州委員会がアイルランドにおけるデータ保護の取り組みをどのように監督してきたかの調査を開始した(オンブズマンによると、当初の期限が欧州委員会の要請により延長され、回答期限は5月25日になった。レインダースは、継続中の調査に関して欧州委員会はコメントしないと述べた)。欧州委員会が本当にアイルランドの監督を行なっているなら、なんらかの助言ができるはずだと、デジタル権利の擁護団体Access Nowのグローバル・プロテクション・リード、エステル・マッセは指摘する。「問題があるなら、しかるべき組織が介入しなければ、状況が改善するわけがありません。侵害訴訟を起こすのは欧州委員会の義務なのです」
「世界は様変わりした」
施行方法に問題があるのは明らかなものの、GDPRがデータの取り扱いに関する慣行に広範にわたって測り知れない影響を与えているのは事実だ。EU加盟国は数千件の申し立てに対して決定を下し、ガイダンスを発行して企業や組織に個人データの使用に関する助言を行なっている。スペインのサッカーリーグLaLigaは公式アプリでユーザーの行動を監視していたとして罰金を科せられ、小売業者H&Mは従業員の私生活に関する詳細なデータを記録・保管していたことが発覚し、ドイツで罰金を命ぜられた。また、オランダの税務当局は「ブラックリスト」を使用したとして罰金に処せられた。これらはGDPRが効率的に適用された成功例の一部にすぎない。
GDPRには隠れた影響もある──罰金や是正措置を命じるだけではなく、企業の行動変容にも一役買っているのだ。「サイバーセキュリティ、データ保護、プライバシー保護に対する認識を10年前と現在とで比較してみれば、世界が様変わりしたことがわかります」と、欧州刑事警察機構など欧州の機関に対するGDPR違反の申し立てを監督するEDPSのヴォイチェフ・ヴィヴィオロフスキは述べる。
GDPR施行前なら迷うことなく実行していたような場合でも、企業は疑わしい方法で個人のデータを使用するのを避けるようになったと、専門家は言う。最近のある調査は、グーグルのPlayストアのアンドロイドアプリの数がGDPRの施行前から3分の1減少したと概算し、プライバシー保護が向上していると指摘した。「データ保護に関するコンプライアンス遵守を徹底するため、多額の予算を割り当てる企業は増えています」と、ロンドンに拠点をもつ法律事務所Fieldfisherでプライバシーセキュリティ情報グループの責任者を務めるヘーゼル・グラントは話す。
グラントによれば、GDPRに基づいて決定が下されるとき──Googleアナリティクスの使用がGDPRに違反するとしたオーストリアの決定のように──、それがどんな意味をもつのか、企業は懸念しているという。「4、5年前なら、そこまでの決定が下されるなんて考えられなかったでしょう。たとえそのようなことになったとしても、それを知っているのはおそらくデータ保護を専門とする少数の弁護士ぐらいだったはずです。助言を求めてわたしたちの事務所にやって来るクライアントなど、いなかったのではないでしょうか」
だが、大量のデータを保有するビッグテックともなれば、GDPRを遵守するといっても規模が違ってくる。Motherboard[編註:デジタルメディアVICEのIT系ニュースサイト]が入手した最近の内部文書からは、フェイスブックがユーザーの個人データの取り扱い方をよくわかっていないことがうかがえる──フェイスブックは否定しているが。同様に21年末に『WIRED』とReveal[編註:米国の非営利調査メディア]が合同で行なった調査の結果、アマゾンの顧客データ処理方法に重大な欠陥が見つかった(アマゾン側は同社にはデータ保護の分野で「卓越した」実績があると主張した)。
マイクロソフトにもコメントを求めたが、拒否された。グーグルからもフェイスブックからも、記事の締切までにコメントをもらうことはできなかった。
「ビッグテックが相手となるとなおのこと、GDPRを施行するのは時間がかかります。それに、案件が国境をまたぐ場合も多く、ワン・ストップ・ショップ方式を活用し、データ保護を監督する機関同士が協力する必要があります」と、ドイツの連邦データ保護監督機関のトップ、ウルリッヒ・ケルバーは言う。ワン・ストップ・ショップ方式なら、担当の国が下した最終決定に欧州すべての規制当局が意見を述べ、異議を申し立てることが可能になる。例えば、アイルランドがWhatsAppに科した罰金は当初わずか3,000万ユーロ(約40億円)だったが、他国の規制当局の介入後は2億2,500万ユーロ(約310億円)にまで増えた。また、現在調査が進められているInstagramのケースは、ディクソンによれば最終決定が下るまでもう数カ月かかるようだ。
ワン・ストップ・ショップはGPDRのために考えられた方法なので、施行当初はもちろん初期段階にありがちな問題があったが、4年が過ぎたいまになっても改善すべき課題が山積している。ノルウェーのデータ保護監督機関で国際部門の責任者を務めるトバイアス・ジュディンは、欧州各国のデータ規制当局には毎週決定の草稿がいくつか送られてくると話す。「実際のところ、合意に達するケースが大多数です」とジュディンは言う(反論がいちばん多いのはドイツの規制当局だ)。とはいうものの、お役所仕事に振り回されて、決定が規制当局のあいだを何度も行ったり来たりするようなことが起こらないとも限らない。「欧州全体に影響が及ぶ場合は、決定が理にかなっているか、各国の合意を得る段階にいたるまでひとつの規制当局だけで対応するのが現実的に可能かどうかを、徹底的に検討します」
「運用方法を変えるべきだ」
昨年、ルクセンブルクのデータ保護当局は、アマゾンに7億4,600万ユーロ(約1,000億円)と過去最大の罰金を科した。小売業者に対してこうした決定が下されるのは初めてだった。アマゾンは決定に異議を唱えた──『WIRED』に対するコメントでも、「データの流出はいっさいなく、顧客データはいかなる第三者にも漏洩されていない」との主張を繰り返した──が、ルクセンブルク当局は、新しい方法を取り入れても今後も企業調査には時間がかかるだろうと述べる。
「1年か1年半か、それぐらいの期間をかけずに調査を完了させるのは無理だと思います」と語るのは、ルクセンブルクの4名のデータ保護委員のひとり、アライン・ハーマンだ。「処理すべき情報は大量にあります」。ハーマンは、ルクセンブルクではほかにもいくつか国際的な案件の調査が継続中だが、秘密法によりそれらについて話をすることは禁じられていると述べた。「ただ[ワン・ストップ・ショップ・]システムがあるだけで、リソースは足りていませんし、明確な法律も手順も定まっていません。それが業務をいっそう難しくしています」とロベルトは言う。
フランスのデータ保護当局である情報処理と自由に関する国家委員会(CNIL)は、企業のクッキー使用の問題を直接追及することで、GDPRを施行した場合の国際的な処理プロセスをどうにか回避している。一般的な認識とは異なり、クッキーの使用に確認を求めるわずらわしいポップアップ表示には、GDPRとは別にEUが定めるeプライバシー規則が適用されているのだが、CNILはその点をうまく活用したのだ。CNILトップのマリー-ロール・デニスは、クッキーの使用を拒否する手順が複雑なのは違法だとして、グーグル、アマゾン、フェイスブックに多額の罰金を科す決定を下した。さらに重要と思われるのが、CNILが企業に行動変容を命じたことだ。決定を受けてグーグルは、欧州全体でクッキー・バナーの表示方法を変更すると発表している。
「デジタルエコシステムや慣行の進化に具体的な変化が起き始めていますので、非常に期待しています」と、デニスは述べる。CNILは次に、eプライバシー規則に従ってモバイルアプリによるデータ収集を、GDPRに則ってクラウドデータ転送を調査するという。クッキーの使用にeプライバシー規則を適用した目的は、GDPRに沿った時間のかかる手順を避けるためではなく、そのほうが効率的だからだとデニスは説明する。「GDPRを施行するしくみはもちろん信頼していますが、もっと有効に、迅速に機能させる必要があると思います」
GDPRの運用方法を変えるべきだという声は、昨年から高まっている。12年にGDPRの原案を提出した政治家ヴィヴィアン・レディングは、21年5月、この法律は「重大な問題に絞って執行すべきだ」と述べた。そうした意見は、欧州の新しいふたつの重要なデジタル規制──デジタルサービス法とデジタル市場法──の内容にも影響を与えている。これらの法律は競争とインターネットの安全性に焦点を当てており、GDPRとは異なる手順で施行される。場合によっては、欧州委員会が大手テック企業の調査を行なうのだ。これは、政治家が望んだようにGDPRの施行が円滑に進んでいないという事実を考慮した動きである。
GDPRを検討し直そうという動きはほとんどないようだ。しかし、細かな修正が施行の効率を上げるのに役立つ可能性はある。各国の担当機関を指導するEDPBが開催したデータ保護当局の最近の会合で、EU加盟国は一部の国際的な案件には最終期限とスケジュールを定めることで合意し、今後はケースバイケースで調査を「協力して実行」したいと述べた。ノルウェーのジュディンは、そうした流れは好ましいものではあるが、問題は業務の効率がどれほど向上するかだと指摘する。
Access Nowのマッセは、少し手直しすれば現在のしくみが抱える非常に大きな問題に充分に対応できると話す。法律によって、データ保護を監督する各国の機関が(同一の様式を使用して)同じ方法で苦情申し立てを確実に処理できるようなるほか、ワン・ストップ・ショップの機能が明確になり、加盟国の手順を同じにすることが可能になる、というのだ。要するに、それぞれの国がGDPRの施行にどう対応すればいいかがはっきりするというわけだ。
各国のデータ保護当局も、少なくともある程度は同じ考えをもっている。フランスのデニスは、当局はもっと情報を共有し、国境をまたぐ案件の処理をより迅速に進め、決定案に関して非公式な合意をまとめられるようにしなければならない、と語る。「例えば欧州委員会は、データ保護当局に与えられたリソースを確認することもできます。当局に職務を遂行させるために充分なリソースを提供するのは、加盟国の義務ですから」。規制を施行し調査を行なう規制当局のスタッフとリソースの数は、ビッグテックの足元にも及ばないのだ。
「もしかすると、GDPRに対応した文書のようなもの、法律文書などを策定し、特定の手順や処理に伴う問題の詳細を明記すれば、助けになるかもしれません」。アイルランドのディクソンはそう述べ、対応を複雑にしている要因のなかでも、調査中のファイルへのアクセス、とりわけ苦情を申し立てた当事者に調査プロセスへのアクセスを認めるかどうか、さらには翻訳に関連する問題は排除できるだろうとも言い添えた。「広範にわたって一貫性が欠如しているため、進行が遅れ、関係者全員に不満が生じています」
何も変えず、強力な施行体制も整備せずでは、GDPRは大手テック企業の不正な慣行をやめさせることも、人々のプライバシーの認識を高めることもできないだろうと、市民社会団体は警告する。「ただちに対処すべきは、ビッグテックです」とライアンは言う。「ビッグテックをどうにかできなければ、個人のプライバシーやデータが軽んじられている現実を、逃れられない運命として永遠に受け入れなければならなくなるでしょう」。発効から4年が過ぎたいまでも、マッセはGDPRに望みを抱いている。「たしかに、期待したほどうまくいってはいません。ですが、だからといって諦めて、なかったことにするのは、時期尚早だと思います」
(WIRED US/Translation by Takako Ando, LIBER/Edit by Michiaki Matsushima)