Facebookの「いいね」ボタンを設置するあらゆるサイトに影響をおよぼす欧州司法裁判所の判決

by Joy

EUの最高裁判所に相当する欧州司法裁判所が2019年7月29日付けで、ユーザーの同意なしにFacebookにデータを送信したサイト所有者に法的責任があるという判断を下し、ウェブサイトの所有者がFacebookの「いいね」ボタンを設置すると法的リスクを伴う可能性を示しました

The operator of a website that features a Facebook ‘Like’ button can be a controller jointly with Facebook in respect of the collection and transmission to Facebook of the personal data of visitors to its website
(PDF)https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099en.pdf

EuGH-Urteil: Like-Button von Facebook nur mit Info an Nutzer | Verbraucherzentrale NRW
https://www.verbraucherzentrale.nrw/aktuelle-meldungen/digitale-welt/eughurteil-likebutton-von-facebook-nur-mit-info-an-nutzer-12029

Europe’s top court sharpens guidance for sites using leaky social plug-ins | TechCrunch
https://techcrunch.com/2019/07/29/europes-top-court-sharpens-guidance-for-sites-using-leaky-social-plug-ins/

ドイツの消費者団体であるVerbraucherzentrale Nordrhein-Westfalenは、ドイツの衣料品小売業者であるFashion ID相手に訴訟を起こしました。Fashion IDでは、商品ページに埋め込まれている「いいね」ボタンをクリックすると、ユーザーは自分のタイムライン上で「この商品が好きだ」とアピールすることができます。ただし、ボタンがクリックされたかどうかにかかわらず、ボタンを実装するだけでページを訪問した時にユーザーの個人情報はFacebookに送信されていたとのこと。この仕様は以前からFacebookが公開しているものでした。

[いいね！]ボタンが実装されたサイトにアクセスすると、Facebookにどのような情報が送信されますか。 | Facebookヘルプセンター
https://www.facebook.com/help/186325668085084

Verbraucherzentrale Nordrhein-Westfalenは、ユーザーの同意なしに個人のデータを転送するのは違法だと主張。デュッセルドルフ地方裁判所は2016年3月9日付けで、Fashion IDがEU一般データ保護規則(GDPR)に違反していると判決を下しましたが、この結果に納得しなかったFashion IDは高等地方裁判所へ上訴。高等地方裁判所は判決を下すために、「いいね」ボタンによるデータ収集がGDPRに抵触するかどうかの判断を欧州司法裁判所に改めて委ねていました。

by sergio santos

Facebookの「いいね」ボタンはインターネット上のさまざまなサイト上に埋め込まれていますが、このボタンはユーザーデータをFacebook側に送信するという役割も担っています。この動作はこれまで「ユーザーが気づかないうちに行われており、それはユーザーがFacebookユーザーであるか否か、『いいね』ボタンをクリックしたか否かに関わらず実行されています」と欧州司法裁判所は指摘。

「いいね」ボタンを埋め込むウェブサイトは収集したデータをアイルランドにあるFacebookの子会社へ送信することで、ウェブサイト側は「『いいね』ボタンが収集したユーザーデータ」に対しての責任から逃れているとのこと。しかし、実際にはウェブサイト上でユーザーに対して「ユーザーデータを収集している」という旨を警告し、同意がなされた場合にのみデータ収集が行われるべきであることは明らかです。

欧州司法裁判所は、「データの収集とネットワークへの転送について、Fashion IDはFacebookと個人情報転送の目的と手段が共通していることから、Facebookと共同で責任を負うと見なせる」と判断。また、「ウェブサイトの所有者はユーザーに対して個人情報を転送する旨を通知しなければならない」と述べました。ただし、Facebookが収集した個人情報をどのように扱うかについては、ウェブサイト側に責任を追求しないとしています。

なお、Fashion IDの公式サイトは記事作成時点で、「セキュリティ上の規則」によってブロックされてアクセスできない状態でした。

この判決について、欧州委員会のMonique Goyens氏は、「この決定により、ユーザーがどのようなデータを収集され、そのデータをウェブサイトがどのように使用しているかに関する情報は、ユーザー側は常に取得する権利があることが強調されました」と語っています。

情報科学・通信・ニューメディアに関する調査を行うドイツの政府機関・Bitkomで働くBernard Rohleder氏は、「欧州司法裁判所はこの判決で、小さな旅行ブログからオンライン上のメガストアや大手出版社のポータルサイトまで、何千というウェブサイト運営者に対して多大な責任を課したといえます」と語っています。また、Rohleder氏は今回の判決がFacebookだけでなくすべてのソーシャルメディアのプラグインに多大な影響を与えることになるだろうと警告。

なお、Facebookは技術系メディアのTechCrunchに対して「私たちは裁判所の決定を慎重に検討していて、法律を順守しながらソーシャルプラグインやビジネスツールの恩恵を受け続けることができるよう、パートナーと密に協力していきます」と声明を発表し、GDPRに抵触しないように「いいね」ボタンの仕様を変更する可能性を示唆しました。