EU司法裁判所、Facebookの「いいね」ボタン設置サイトは個人情報収集・送信の共同責任者に
2019年8月2日 21:31
headless曰く、
EU司法裁判所は7月29日、Facebookの「いいね」ボタンを設置したWebサイトはFacebookとともに、サイト訪問者の個人情報収集・送信について責任を負うとの判断を示した(プレスリリース: PDF、NRW消費者センターのニュース記事、Register、Verge)。
この裁判はドイツのノルトライン-ウェストファーレン(NRW)消費者センターがドイツのオンラインアパレルストアFashion IDを訴えていたもの。EU司法裁判所は審理を担当するデュッセルドルフ上級裁判所からEUの1995年個人データ保護指令(旧データ保護指令)の複数条項について、解釈を求められていた。
デュッセルドルフ上級裁判所が求めていた解釈は、1)個人データ保護の違反者を訴えることができる者として、消費者保護団体が除外されるかどうか、2)Webサイトで埋め込みコードを使用して第三者に個人情報を送信した者が旧データ保護指令で規定される「controller」に該当するかどうか、の2点だ。
EU司法裁判所では1)について消費者保護団体は除外されていないと判断。現行の一般データ保護規則(GDPR)ではこれが明確化されたと述べている。2)については、送信後のデータ処理についてFashion IDがcontrollerに該当するとは考えられないとする一方、データ収集と送信についてはFacebookと共同で責任を負うcontrollerに該当すると判断した。
Facebookの「いいね」ボタンは、クリックしたかどうかにかかわらず、FacebookにログインしていなくてもユーザーのIPアドレスなどの情報をFacebookに送信しているとみられる。そのため、Fashion IDなどのWebサイトは共同責任者として、Facebookに代わって閲覧者の合意を事前に得る必要があるとのことだ。