GDPR関連資格をとろう!QAで学ぶGDPRとCookie規制(70): 検索エンジンとSNS
2022/12/15   情報セキュリティ, 個人情報保護法, 外国法

第68回から, 各種のインターネットを用いた技術にGDPRおよびePrivacy指令がどのように適用されるかについて解説しています。今回は, 検索エンジンとSNSについて解説します。

  


【目  次】


(各箇所をクリックすると該当箇所にジャンプします)


Q1: 検索エンジンのサービスとその基本的な仕組みは?


Q2: Google検索に関する「忘れられる権利」裁定とは?


Q3: SNSにGDPRはどう適用?



 

Q1: 検索エンジンのサービスとその基本的な仕組みは?


A: Google等の検索エンジン(search engine)は, そのユーザが, インターネット上に存在する情報(Webページ, Webサイト, 画像ファイル, ネットニュース等)を検索し表示させることができるサービスを提供します。その基本的仕組みは以下の通りです。

①クローラー(Crawler)と呼ばれるコンピュータプログラムが, 第三者のWebサイトのコンテンツを周期的に収集する。

②収集されたデータは, インデクサー(indexer) と呼ばれるプログラムにより, 検索エンジンが処理し易い形に変換され, 検索データベース(インデックス)に格納される。

③ユーザが, 検索キーワード(例:「個人データ」)を入力すると, 検索アルゴリズム(キーワードと関連性の高いWebページを表示させるための方法・技術)に従い検索データベースの中から関連するWebページが検索結果として表示される。

page top

Q2: Google検索に関する「忘れられる権利」裁定とは?


A: Google検索に関し「忘れられる権利」が争点となった事件(以下「本件」という)において, データ保護指令のもとで, 欧州司法裁判所(CJEU)が2014年5月に下した先決裁定[1](以下「本裁定」という)です。その内容は, GDPR上でも基本的に通用します。概要は以下の通りです。

1.事件の経緯

1998年, あるスペイン人(「Mario Costeja González」氏)所有の不動産が競売され, ある新聞社が法令に従いその競売の公告を自社新聞に掲載し, 後に自社Webページ(以下「本件Webページ」という)にも掲載した。

Marioは, 競売後10年以上経過しても, 自分の氏名を入力しGoogle検索を行うとこのWebページが表示されるため, データ保護指令に基づき, 以下を求め, スペインのデータ保護機関(AEPD)に苦情申立をした。

①新聞社に対するWebページ消去命令

②Google Spain SL(以下「Googleスペイン」という)および米Google Inc(以下「米Google」という)に対する検索結果からの消去命令

これに対し, AEPDは, 新聞社による掲載は, 多くの入札者確保のため競売事実を周知する目的で政府命令に基づき行われ適法であるとし, 新聞社に対する請求については棄却した。しかし, AEPDは, Google側に対する請求は認めた。

これに対しGoogle側はスペイン全国管区裁判所に提訴したが, Google検索がデータ保護指令上の個人データの「処理」に該当するか否か等の先決問題に関しCJEUの先決裁定が求められた

なお, 保護指令における「処理」および「管理者」の定義はGDPRとほぼ同じである。

2.主な争点と欧州司法裁判所(CJEU)の判断

(1) 検索サービスにおける個人データの処理

検索エンジン運営者は, 検索サービス提供のため, 第三者(本件では新聞社)のWebサイトに含まれる個人データ(本件ではサイト上に掲載されたMarioの氏名およびその所有不動産の競売情報)(以下「本件個人データ」という)を取得し, Google検索のユーザが入力したデータ主体(Mario)の氏名その他検索キーワードに応じその個人データをユーザに提供(表示)する

従って, 検索エンジン運営者は, 個人データの処理を行っていると言える

(2) 検索したコンテンツに関する検索エンジン運営者の立場

検索エンジンにより取得・検索された, 第三者の運営するWebサイトに掲載等されている個人データに関し, その第三者が「管理者」(単独でまたは他の者と共同して個人データの処理の目的および方法を決定する者)(4(7))に該当することは当然である。

しかし, その第三者の運営する, 個人データを含むサイトのコンテンツを取得し検索結果として表示する検索エンジン運営者は, 当該個人データに関し「管理者」に該当するか?

この点に関し, CJEUは, 次のように認定して, 米Googleを本件個人データ処理の「管理者」であると認定した(裁定文36)。

①Googleは, その検索エンジンにより, インターネットユーザがデータ主体の氏名を入力すると, 同エンジンがなければ発見が困難であったであろう[個人データを含む]本件Webページの表示を可能にした。

②この点において, 本件Webページの拡散(dissemination)に決定的な役割(decisive role)を果たした

(3) EU域外で設立された検索エンジン運営者への保護指令適用

本件においては, 米Googleが問題の検索エンジンを運営し(従って本件個人データを処理し), 一方GoogleスペインはGoogle検索に連動した広告の販売のみを行っている(裁定文51)。従って, EU域外(米国)で設立されている米Googleにデータ保護指令が適用されるか否かが問題となった。CJEUの結論は, これを肯定するものであった。

現在のGDPRの下では, EU域外に設立されている事業者がEU域内向けに検索サービスを行う場合はGDPR第3条第1項および第3条第2項(a)が重複適用されてGDPRが直接適用されることになる。

更に, 検索サービスにおいてユーザの行動履歴等が追跡される場合には, GDPR第3条第2項(b)(EU域内のデータ主体の行動の監視)によってもGDPRが適用されることになる。

(4) 検索エンジン運営者の検索結果削除義務/データ主体の「忘れられる権利」

検索結果として表示される内容は既に第三者が自己のWebサイトで公開している内容である。それでもなお, 検索サービス運営者は検索結果を削除する義務を負うのか?

この点に関し, CJEUは, 要旨, 次のように述べてこれを肯定した(裁定文80, 82,88, 91, 97)。

①インターネットユーザは, 検索サービスで個人名を入力することによりその個人に関する情報を容易に発見し, また, 検索された情報相互間で参照することも可能である。従って, 検索サービスによる個人のプライバシーへの干渉(interference)の可能性は大きい

データ主体の削除権(指令12(b))等と他のインターネットユーザの情報を知る利益との比較衡量(balance)は, 個人データの内容(nature)その他の個別事情によるが, 本件では前者が優先する。

③検索結果からの削除の前提条件として, 検索されたWebサイトから当該個人データが削除されていることは不要である。また, そのWebサイトでの公開自体は適法であっても, その検索結果は削除の対等となり得る

<<データ主体は, 「忘れられる権利」(the "right to be forgotten")を根拠として検索エンジン運営者に対し, 問題のWebサイトへのリンクを検索結果のリストから削除するよう求める権利を有するか。>>

この点, データ主体は, EU基本権憲章第7条(私的生活および家庭生活の尊重)および第8条(個人データの保護)に基づく基本権に照らし, かかる権利を有する。この権利は, 本件においては, 検索エンジン運営者の経済的利益および一般公衆が本件個人データを発見する利益に優越し(override), 認められる。

page top

Q3: SNSにGDPRはどう適用?


A : ソーシャル・ネットワーキング・サービス(Social Networking Service)(SNS)とは, Web上で人と人との交際(社交:social)やコミュニケーションのネットワーク(ソーシャル・ネットワーク)の構築を可能とするサービスであり, 代表的なサービスとしては, Facebook, LINE等があります。これらSNSにGDPRは以下のように適用されます。

1.「管理者」としてのSNS運営者

Facebook等のSNS運営者は, 個人データを含む情報の公開および交換を可能にし, また, 当該個人データをターゲティング広告のため利用する点において, 個人データの処理の目的および手段を決定するので, 「管理者」に該当します。

SNS運営者がEU域外で設立されている場合でも, EU域内に向けてSNSサービスを提供している場合はGDPRの適用を受けます(3(2)(a))。

2.SNSユーザに対するGDPRの適用の有無

SNSユーザが, 自己または第三者の個人データをSNSに掲載またはアップロードする等の場合, それがユーザ「個人による純粋に私的なまたは家庭内の行為(a purely personal or household activity)の過程で行われる個人データの処理」(GDPR 2(2)(c))の範囲内であれば, GDPRが適用されることはありません。従って, 例えば, LINEのように, 特定個人間のコミュニケーション等はこれに該当しGDPRは適用されないでしょう。

しかし, 上記の範囲を超える行為, 例えば, Facebookで個人ユーザが他人の個人データに該当する情報や写真等を公開する等の行為については, そのユーザが「管理者」(法人のみならず個人を含む)(4(7))に該当し, その公開行為(個人データの処理)にGDPRが適用される可能性があります(以下のCJEU裁定参照)。

【CJEU 2003年Lindqvist先決裁定】

Lindqvist夫人が, 教会でのボランティア活動仲間の氏名その他個人データを夫人の個人サイトに掲載した行為は, インターネット上で公開された個人データは不特定の(infinite)者がアクセスできることから, データ保護指令の適用除外(保護指令3(2)=GDPR 2(2)(c))と同様の規定)に該当しない。

3.データ主体に対する情報提供および処理の適法性

・SNS上の個人データの処理にGDPRが適用される場合, その管理者は, データ主体に対し, 以下の情報を含め, GDPR第13条または第14条に定める情報を提供しなければなりません

(a)当該個人データがマーケティング目的で利用される場合, その旨(処理の目的)およびデータ主体が当該個人データの消去・処理制限・処理禁止・同意撤回権等の権利を有する旨

(b)当該個人データを第三者と共有または第三者に提供する場合その第三者(受領者)またはそのカテゴリー

・また, 管理者がSNSにおいて個人データを処理するには, GDPR第6条に定める処理の適法性の根拠(データ主体の同意, 管理者の正当利益等), または, 特別カテゴリーの個人データについては同第9条に定める根拠(原則としてデータ主体の明示的同意)がなければなりません

データ主体が子供である場合には更に注意が必要で, 管理者の正当利益を処理の適法性の根拠とすることはできません((6(1)(f)但書)。子供の同意を処理の適法性の根拠とする場合, その子供が16 歳(または加盟国によっては15歳・14歳または13歳)未満のときは, その子供の保護責任者により同意が与えられたこと, または, 保護責任者により子供の同意に承認が与えられたことを条件として, 当該処理は適法とされます(8(1))。

page top


今回はここまでです。

 

「GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制」シリーズ:過去の回


 

[2] 

 

【注】                             

 

[1] 【Google 「忘れられる権利」事件先決裁定】 Google Spain SL and Google Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González [2014] Case C-131/12, 13 May 2014. (先決裁定の概要)(i) 石井 夏生利『「忘れられる権利」をめぐる論議の意義』 (ii) CJEU プレスリリース

[2]

==========


【免責条項】


本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

 

 

【筆者プロフィール】


浅井 敏雄  (あさい としお)


企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事


1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を米系(コンピュータ関連)・日本(データ関連)・仏系(ブランド関連)の三社で歴任。元弁理士(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP  (International Association of Privacy Professionals) 会員, CIPP/E  (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】


https://www.theunilaw2.com/


 

シェアする

  • はてなブックマークに追加
  • LINEで送る
  • 資質タイプ×業務フィールドチェック
  • TKC
  • 法務人材の紹介 経験者・法科大学院修了生
  • 法務人材の派遣 登録者多数/高い法的素養

新着情報

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビの課題別ソリューション

企業法務人手不足を解消したい!

2007年創業以来、法務経験者・法科大学院修了生など
企業法務に特化した人材紹介・派遣を行っております。

業務を効率化したい!

企業法務業務を効率化したい!

契約法務、翻訳等、法務部門に関連する業務を
効率化するリーガルテック商材や、
アウトソーシングサービス等をご紹介しています。

企業法務の業務を効率化

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビに興味を持たれた法人様へ

企業法務ナビを活用して顧客開拓をされたい企業、弁護士の方はこちらからお問い合わせください。