Latest updates: read more about the RTB complaints.
Braveは、GoogleがGDPRにおける「目的の限定」の原則を侵害しているとして、正式にGDPRの苦情申立てを行いました。GDPRの徹底により、Googleの事業の機能的な分離が起こる可能性があります。
今朝Braveは、GoogleがGDPR第5条(1) bに定められた「目的の限定」の原則をを侵害しているとして、正式なGDPRの苦情申立てを行いました。
基本的事実
- GDPR における目的の限定の原則では、個人データを組織内で区分管理し、収集時の目的に限定して使用すべきと定めています。Braveが呈示している証拠は、Googleが内部データを無制限に利用している状態が違法であることを示しています。ツイートする
- 6か月もの間、BraveのJohnny Ryan博士は、Googleが彼の個人データをどのように利用しているかを明らかにしようとしてきました。現在Braveはアイルランドデータ保護委員会(DPC)に、個人データの全利用状況をGoogleに開示させることを求めています。ツイートする
- Braveの新しい証拠「ブラックボックスの中身」をご覧いただくと、Googleが個人データで何をしているのかを垣間見ることができます。定義と法的根拠が不明な使用目的が数百もあります。 ツイートする
- BraveのGoogleに対するGDPRの「目的の限定」に関する苦情申立てが徹底されると、Googleの機能的な分離が起こる可能性があります。つまり、だれもが自身の個人データを提供するに値するGoogleサービスを選択することができるようになります。 ツイートする
- Googleは内部データの無制限な利用によって、カスケード的に独占状態を享受してきました。しかし今は、GDPR第5条(1)bの徹底によって深刻な影響を受けざるを得ない状態です。Braveは、欧州委員会、ドイツの連邦カルテル庁、英国の競争・市場庁、フランスの競争委員会、アイルランドの競争および消費者保護委員会に、目的の限定に関する苦情を本日申立てた旨を、伝える書簡を送りました。ツイートする
Braveのチーフ・ポリシー&インダストリー・リレーションズ・オフィサー、Johnny Ryan博士は、ヨーロッパにおけるGoogleのGDPR規制の担当局であるアイルランドのデータ保護委員会に苦情を申立てました。
「Googleは、すべての人の個人データを持っています。個人データはYouTubeやGmailのようなサービスと、インターネット上でこっそり作動しているたくさんのGoogleサービスから収集されています」と、Ryan博士は指摘しました。
「しかし、すべての人の個人データを持っているからといって、Googleが望むままにあらゆるビジネスであらゆる目的に使用してよいということではありません。むしろ、個別の目的それぞれに法的根拠を用意するとともにその根拠について透明性を高くする必要があります。しかし、Braveが見つけた証拠によると、Googleは混乱を生じさせる方法で個人データをビジネスやサービスで再利用しており、目的の限定の原則を侵害していることが明らかです。Google の無制限な内部データの利用は、GDPRを侵害しています」
目的の限定の原則は、以下のように、GDPRの第5条(1)bにて定められています。
「個人データは、特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない[1]」
目的の限定の原則では、目的ごとにデータを厳密に区分管理するべきと定めています。こうした目的は明確でかつ極めて具体的でなければなりません。
Googleによる無制限な内部データの利用
Ryan博士は6ヶ月前に、Googleに対して「私の個人データをどう利用しているのか」という簡単な質問をしました。その後、何往復かのやり取りがあったにもかかわらず、そしてRyan博士にはGDPR第15条に基づきこの情報を知る権利があるにもかかわらず、Googleはこの質問に適切に対応することを拒否しました。
Googleはブラックボックスです。本日は、ブラックボックスの中を垣間見るこのできる調査結果を公表しています。「ブラックボックスの中身」は、Google が顧客企業、技術パートナー、開発者、議員、ユーザーに向けて用意した様々な文書を調べたものです。これを見ると、多数の不明瞭な使用目的のために、Googleがウェブサイト、アプリ、OSのすべてから個人データを収集していることがわかります。
Googleの使用目的は、あいまいに定義されているため、意味をなさなく制約もありません。その結果、内部データを無制限に利用しており、GDPRの目的の限定の原則を侵害しています。
AWO法律事務所のパートナー、Ravi Naik氏は本件に取り組んでいる弁護士です。
「Googleの巨大装置はデータが集まるハブになっており、そこでは個人データがさまざまなサービスや商品に大量に供給され消費されています。その構造が明らかにならない限り、適切なデータ保護を実現できません」と、Naik弁護士は指摘しました。「GDPRがカギとなります。GDPRによってGoogle にデータ処理に関する行動を明確にするよう求めることができます。現時点でGoogleが試みている個人データの利用状況の説明は極めてあいまいです。Braveの行動は、この状況にきっぱりと終止符をうち、無制限なデータ利用にガバナンスをもたらすことを目指すものです」
Googleによるカスケード的独占
Google の無制限な内部データの利用によってデータ保護は危機にさらされています。そして、深刻な競争上の懸念ももたらしています。
消費者は不公平な条件でGoogleと取引しています。つまり、消費者は個人データを制約なしで収集・利用され、消費者が適切に同意、撤回する機会、また何が起こっているかを知る機会はありません。
Googleは「プライバシーポリシー結合[2]」によって、さまざまな市場でウェブサイト、アプリ、OSを介して取得した大量のデータを市場間で相互利用することが可能です。これにより、以下が可能になります。
- ある市場で得られたデータを他の市場に次々と攻め込むために利用しカスケード的に独占を作り出す[3]。
- また、市場間の参入障壁を築いて新興の競合他社を締め出しカスケード的な独占を維持する。
GDPR の徹底が意味すること
Google に対してGDPR の「目的の限定の原則」を徹底することで起こることは以下の通りです。
- Google は今後、全サービスのデータ収集に関してユーザーの許可を自動的に取得することはできなくなります。
- Googleは複数の同意要求をまとめることで、異なる利用目的を混同させることはできなくなります。
- Googleはユーザーの個人データを組み合わせて相互利用することで得ていた、違法で膨大なデータ優位性を失うことになります。
- そしてGoogle サービスや製品を使用するユーザーは、目的ごとに細かく同意を撤回することでGoogle を機能的に分離する力を持つことになります。つまり消費者主導のGoogleの機能分離です。
これにより、消費者は、Google事業のどの部分に自分の個人データを提供するのか、具体的に何に使わせるのかを決定する力を持ちます。Googleは、参入する全ての市場で「サービス自体のメリットで」競争する必要がでてきます。
Braveは、欧州委員会、ドイツの連邦カルテル庁、英国の競争・市場庁、フランスの競争委員会、アイルランドの競争および消費者保護委員会などのEUの規制当局に、本苦情への注意喚起をし「目的の限定」の解決について強調しました。
文書
- Ravi Naik氏とVictoria Wakefield QCによって起草されたデータ保護委員会への苦情の根拠
- ブラックボックスの中身、Googleの無制約な内部データの利用の一端
- 目的の限定についての情報依頼に関するGoogleとのやりとり
- Google のプライバシーポリシーと条件
- Google アカウントのサインアップ時に表示される情報
- 欧州委員会のMargrethe Vestager氏への書簡
- ドイツの連邦カルテル庁のAndreas Mundt氏への書簡
- 英国の競争・市場庁のAndrew Tyrie卿への書簡
- フランスの競争委員会のMme Isabelle de Silva氏への書簡
- アイルランドの競争および消費者保護委員会Isolde Goggin教授への書簡
注釈
[1] GDPR第5条(1)b
[2] 2019年12月14日、 Daniele Condorelli氏とJorge Padilla氏による「プライバシーポリシーの結合によるプラットフォームへの包囲」 (URL: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3504025)。
[3] 2019年5月21日 のJohnny Ryan博士の米国上院司法委員会での証言を参照 (URL: https://www.judiciary.senate.gov/imo/media/doc/Ryan%20Testimony.pdf)。
