宮下紘
総額351億円の制裁金
EU一般データ保護規則(GDPR)が2018年5月に適用開始されてから、約2年8カ月の間にEU個人データ保護当局が科した制裁金の総額は約351億円(約2億7250ユーロ)である、という調査結果が明らかにされました(DLA Piper調査2021年1月27日時点)。
これまでのGDPR違反に伴う大きな制裁金の事例は次の表のとおりです。ちなみに、GDPRの制裁金の上限は、全世界の年間総売上高の4%または2000万ユーロとされており、これまでこの上限に達する制裁金が科された例はないため、今後より高額な制裁金が科される事例もみられる可能性があります。
GDPR違反に伴う法執行には様々なものがみられます。同意なしでの個人データ処理やマーケティング、適法な根拠なしでの個人データ処理、個人データの開示や消去への対応、データ保護責任者の配置義務、データ侵害の通知義務、従業員の監視、さらに個人データのEUから第三国への移転などを理由とした違反がみられました。
また制裁金の対象はGAFAのようなIT大企業のみならず、行政機関や中小企業においてもみられます。
GDPR違反に伴う法執行には様々なものがみられます。同意なしでの個人データ処理やマーケティング、適法な根拠なしでの個人データ処理、個人データの開示や消去への対応、データ保護責任者の配置義務、データ侵害の通知義務、従業員の監視、さらに個人データのEUから第三国への移転などを理由とした違反がみられました。
また制裁金の対象はGAFAのようなIT大企業のみならず、行政機関や中小企業においてもみられます。
厳格なデータ処理が行われているEU各国
GDPRの違反例を通覧して言えることは、EU各国の当局は個人データ処理の基本原則の違反に対して厳格な対応を見せてきています。すなわち、GDPRには個人データ処理に関する情報を本人に提供し、そして個人データ処理は適法に行われ、機微情報等の一定の処理については本人の同意を必要とします。
この基本原則は日本法やアメリカ法とも多くの部分で重なり合うが、この基本原則の運用面においてEUでは厳格に審査されてきました。たとえば、同意ひとつとっても、日本法では個人情報保護法に定義がなく状況次第では黙示の同意も認められるとされているが、GDPRでは黙示の同意、ボックスに事前にチェック済みの同意、同意の撤回を認めないものはすべて無効とされます。
この例を端的に示したのが、上記の例とは別に新たに2020年12月フランス個人データ保護監督機関CNILによる法執行です。CNILは、Googleに対し約126億円(1億ユーロ)、Amazonに対し約44億円(3500万ユーロ)の制裁金を命じる決定を下しました。
CNILの決定では、Googleの検索サイトを訪問した時点で広告用クッキーが埋め込まれる仕組みになっており、第1に、事前に利用者に対してクッキーに関する明確かつ完全な情報提供を行ってなかったこと、第2に、広告用クッキーについて利用者から事前の同意を得ていなかったことが違反の根拠とされました。
Googleはすでに2020年1月にはサード・パーティー・クッキーを用いた追跡を2年以内に停止することを表明していたが、今回この制裁金を受けてか2021年3月4日付Googleのブログでターゲティング広告の追跡の停止を改めて表明しました。Amazonに対する制裁金についても同様の違反根拠が指摘されました。
個人と民主主義を守るためにも個人データ保護は重要
クッキーによるウェブ閲覧の追跡技術は、自らのパソコンやスマートフォンを手にしている際に監視カメラで常時覗かれ、記録されていることと変わりません。
さらに、ケンブリッジアナリティカ事件で顕在化したとおり、ウェブの閲覧履歴やFacebookの「いいね!」の履歴から当人の支持政党が推知され投票行動が操作されるという企てが行われ、個人データの乱用は民主主義の歪曲という事態にまで発展しました。
個人の人格と民主主義を確保するためにも個人データの保護はデジタル化を推進する上で重要な主題となっています。いずれにしても、GAFAに象徴されるデジタルプラットフォーム企業への厳しい法的規律は、独占に対する競争法による取り締まりのほかに、個人情報保護の観点からも理解することができます。
個人情報をもとに迫害を進めたナチス
GDPRは、人間を主体的な人格的存在として捉え、人間の尊厳の理念に立脚したデジタル時代の権利章典です。
この現れは、「個人データの処理は人類に寄与することを企図しなければならない」(前文4項)という規定において確認することができます。人の生き方をデータとして点数化したり、商品化したり、また差別や排除する存在として扱うことはそもそも人間の尊厳を傷つける罪業です。
データ保護の目的については、1970年に世界で初めて制定された個人データ保護法の法執行を担ったドイツ・ヘッセン州のデータ保護監督機関の初代コミッショナーであるサピーロ・シミータスが明確に指摘していました。
すなわち、データ保護は、第1に、個人データの自動処理に伴うあらゆる危険から個人を保護すること、そして第2にデータの独占への対処として情報の均衡を図ることを企図していたのです。情報の集中とデータの乱用は歴史的にみれば必然の関係にあり、だからこそ、情報の分権化と民主化を図り、本人に自らのデータ利用についての決定を行わせることが重要です。
ドイツではかつてナチスがパンチカードを用いて、国勢調査の名の下に個人情報を収集し、相互参照と選別を繰り返し、ユダヤ人を見つけ迫害した歴史があります。その意味で、GDPRは、人間の尊厳の思想に立脚してこの伝統的なデータ保護の目的を具体化した法です。
世界の個人情報保護に影響を及ぼすGDPR
GDPRは遠いヨーロッパの話で済まされません。
第1に、デジタルの世界では日本もヨーロッパも常に接続されているため、GDPRは域外適用を認めており、日本のみで事業展開している企業等に対しても制裁金を科す規定を整備しました。
第2に、アジア、アフリカ、南アメリカなどにおいて近年みられる個人情報保護の立法例は明確にGDPRをモデルにしており、ヨーロッパでの事業展開にかかわりなく、「ブリュッセル効果」と呼ばれるようにEUの中心地ブリュッセルの決定事項は世界の個人情報保護の施策に影響を及ぼしています。
この証左として、第3に、 GDPRはEUと同等の水準を確保していない第三国への個人データの移転を禁止しており、EU司法裁判所がかつてのクリントン政権とオバマ政権による政治決着としての米EU間の個人データの移転枠組みとしての「セーフハーバー」と「プライバシーシールド」をそれぞれ無効とする判決を下しました。アメリカの政治力と経済力をもってしてもデジタル世界のプライバシー規制へのEUの覇権は止まりません。
「個人の自由」を最優先にするアメリカ
では、デジタルの世界においてなぜヨーロッパのGDPRはアメリカIT企業のGAFAに嫌悪感を示すような法執行を行っているのか、そしてEUとアメリカはなぜプライバシー保護について異なる姿勢を示してきたのでしょうか。
そもそも、アメリカには個人情報保護に関する包括的連邦法が存在しません。アメリカの個人情報保護に関する規制は、金融、医療、連邦機関等の分野別の個人情報保護法と州レベルの規制です。
この背景には、アメリカにおけるプライバシーの思想を看取することができます。すなわち、アメリカのプライバシー権は、伝統的に政府からの「個人の自由」を保障することでした。政府機関が合理的理由もなく自宅という私有財産への侵入ができないのと同様、プライバシー権の保障にもしばしば財産的構成がとられてきました。
2012年合衆国最高裁の判決において、令状で定められた期間を超えてGPS端末を自動車に装着して追跡した警察の行為がプライバシー侵害とされた根拠として、法廷意見が財産への不法侵入を理由としたのがその一例です。
さらに、多くのアメリカ人はデジタル空間における「自由のウイルス」の蔓延を信じており、プライバシーの規制はこの自由な情報流通への脅威であるとみなされてきました。EUにおける検索結果の削除を認める「忘れられる権利」がアメリカに受け入れられないのは、それが検閲の一形態であり、表現の自由への侵害にほかならないためです。
自由のアメリカと、尊厳のEU
デジタルの世界では、表現の自由への規制道具としてプライバシー権を持ち出すのではなく、言論に対しては言論で返す、という強力な表現の自由の伝統がアメリカの連邦プライバシー法の機運を妨げてきたのです。
このように、アメリカでは個人の自由な選択が確保されている限り、たとえ巨大ITプラットフォーム企業による個人データの取り扱いであっても、それをただちにプライバシー権の侵害とすることはできませんでした。プライバシー侵害についての典型的な救済の方途は、連邦取引委員会による欺瞞的または不公正な行為・慣行が認定された場合に限定されてきました。
かくして、アメリカにおけるプライバシー権は、「自由の恵沢(けいたく)」(連邦憲法前文)の上に成り立っており、政府からの「個人の自由」を確保することに主眼が置かれてきたということができます。
これに対し、ヨーロッパでは、GAFAのような情報の独占企業は情報の分権化と民主化を企図したデータ保護のヨーロッパの伝統とそもそも出発点において相容れません。GDPRはすでに述べたとおり、EU基本権憲章で定められた「人間の尊厳」の系譜を受け継いでおり、人工知能などの新たな技術に対して「人間介入の権利」を明文で定めるなど、人間をデータ処理サイクルの中の主体として位置づけた権利と義務を定めています。
プライバシーをめぐる憲法文化の対立
ヨーロッパにおいては、個人データ保護監督機関と呼ばれる独立した行政機関が存在します。
この機関の設置はEU基本権憲章において規定されており、行政機関や民間企業への立入検査のほか制裁金を科す強力な権限を有しています。プライバシー権は事後的に回復することが困難な権利であるため、実質的害悪が生じていなくても予防原則の観点から事前の監督機関、そして事後の裁判所というプライバシーを保護するための統治システムが採用されてきました。
ちなみに、COVID-19の感染接触者の追跡における位置データ利用の禁止はまさにヨーロッパのデータ保護監督機関による取り組みの帰結であり、それは日本を含む多く国にも波及しています。
ヨーロッパのデータ保護監督機関は、GAFAのような個人データにつけ込むビジネスモデルが人間の尊厳としてのプライバシー保護を脅かす人権問題であると捉えてきました。
GAFAの幹部を面前にした2018年10月の欧州議会の会議で、欧州データ保護監督官であった故ジョバンニ・ブッタレーリがGDPRの適用開始に伴う「ヒューマニティの選択:デジタルの中への尊厳の再定位」と題する演説を行ったことはプライバシー保護と人間の尊厳との関係性を端的に示しています。
米欧の衝突は単なる法制度の違いで済まされる問題ではなく、これを一言で要約するならば、アメリカの「自由至上主義」とヨーロッパの「尊厳至上主義」との憲法文化の対立です。すなわち、プライバシーをめぐるアメリカの自由とヨーロッパの尊厳の衝突であり、このプライバシーの根底にある思想の距離を映し出しているのです。
「デジタル立憲主義」という思想
現在145カ国が個人情報保護法を制定したとされるが、世界的なプライバシーの条約は存在しません。プライバシーをめぐる拘束力ある条約は欧州評議会第108号条約のみであり、アジアにこの条約への批准国はありません。
このような世界中で広く合意を調達できるプライバシー条約の不存在の中、デジタル空間におけるプライバシー権や表現の自由という基本的価値へのコミットメントを明らかにする「デジタル立憲主義」という言葉が近年注目を集めています。
もはやデジタル空間の統制は国家の主権を越えた規制が要求されており、各国が基本的価値を共有し、デジタル空間における権力の乱用を防止する仕組みが求められています。GDPRはその一例ではあるものの、ヨーロッパ的価値観が色濃く、現状ではアメリカとの折り合いがついていません。
すなわち、デジタル世界の権力者を統制するための装置である「デジタル立憲主義」という根本思想の差異が具体的な規制論の温度差を生じさせ、結果として米欧間のプライバシーをめぐる現実の衝突を繰り返しもたらしてきたのです。
この点、幸い日本は2019年1月にEUとの間でデータ移転を相互に認証する枠組みの合意に至りました。他方で、EU側からは日本の個人情報保護法について官民別の法制度や同意・透明性の要件などの具体的指摘もなされており、日本法の課題も明らかになりました。
今後も日本がEUの規制との調和を果たしつつ、データを用いた革新の道を開いていくことが重要です。
日本独自のプライバシー哲学を持つべき
日本は2019年G20大阪サミットにおいて「データ・フリーフロー・ウィズ・トラスト(DFFT)」を唱道してきました。ここでいう「トラスト」にはプライバシー保護が含まれると理解するべきです。プライバシー保護という基本的価値へのコミットメントによる信頼醸成があってこそ初めてデータ流通やデータを用いた革新が生まれるのです。
プライバシー保護による信頼を基盤とした「デジタル立憲主義」は、GAFAを含むデジタル政策の一貫性と越境性を担保しうるのです。
拙著『プライバシーという権利 個人情報はなぜ守られるべきか』(岩波新書)において敷衍していますが、日本のプライバシー保護には良くも悪くも哲学を欠いていたため、日本の個人情報保護法は過剰な保護と過小な保護のいずれの事例もがみられました。
しかし、ビッグデータや人工知能などの新たな技術を前に、他人の私事に深く入り込まないとする日本人のエチケット精神に基づくプライバシー保護には限界があります。プライバシー保護のための信頼の構造を法制度化すること、そしてその構造に日本なりのプライバシーの思想を埋め込んでいくことが、データが氾濫するデジタル世界において求められるのです。
宮下 紘(みやした・ひろし)
中央大学総合政策学部准教授。専門は憲法、情報法。
※本記事はプレジデント・オンラインに掲載された記事「「グーグルに約126億円の制裁金」なぜヨーロッパでGAFAは嫌われ者なのか」を再掲載したものです。
Comments