日本ではあまり報じられていませんが、フランスの個人データ保護委員会(CNIL)が、グーグルのプライバシー・ポリシー(個人データの取扱いに関する利用規約)の改善を求めた通告が、海外では大きな話題になっています。グーグルが3月1日に行ったポリシーの改訂が欧州連合の法に反するとして、実質的にその撤回を要求するものだからです。この動きは、グーグルのビジネスはもちろん、「ビッグデータ」を活用したグローバルなビジネスの今後にも、影響すると見られます。また、日本の個人情報保護法の現状にも、見直しを迫るものかもしれません。
グーグルのポリシー改訂については、筆者自身、4月11日付けの日経「経済教室」に書きましたので、ここでは詳しく繰り返しません。要は、60以上に及ぶ各種のサービスを横断して利用者情報を統合する、というものです。現在のポリシーによると、グーグルは、「Gmail」などアカウントだけでなく、携帯端末固有のID、電話番号、クッキー(Cookie)なども統合管理するとしています。「Gmail」の内容を分析するほか、アンドロイド端末などが発信するGPS情報やWiFiアクセスポイントや基地局などの情報も統合管理するので、利用者がいつ・どこで・誰と・何をしたのか、すべて彼らによって把握されることになります。利用者が「丸裸にされる」として、大きな論議の的になりました。
グーグルがポリシー改訂を予告したのは、1月25日(水)。それに対する欧州連合の動きは素早く、早くも2月2日(木)には、影響する範囲が広汎だとして、当局として結論を得るまで暫時改訂を延期するよう要請しました。さらに2月28日、EUを代表する形でフランスのCNILが、新ポリシーはEU法に違反するおそれが強いとの見解を表明し、再度延期を要求しました。しかし、グーグルはそれに応じず、予定通り改訂を強行しました。その後もCNILがEUを代表して調査を続け、3月に69項目の公開質問状を送付するなどして、精力的に検討を進めてきました。この10月16日付けの通告で、その結論が明らかにされたというわけです。CNILのウェブ上で詳しい情報提供がなされているほか、ラリー・ペイジCEOに宛てた公開書簡とその付属文書(Appendix)も、公表されています。
この動きで注目されるのは、まず何より、EU諸国が足並みを揃えていることです。現在、EUのプライバシー法は、1.「EU個人データ保護指令(Directive)」という形で全体を通じて統一した基準を設けつつ、2.その具体化は加盟各国の立法に委ね、また3.法執行も各国の当局(データ保護機関)に委ねる、という方式で行われています。日本の教育行政や警察行政が都道府県単位で行われているのと形の上では似ていますが、EU諸国はもともと主権国家だったわけですし、「中央」に従おうという雰囲気も強くないので、実際には各国に大きな裁量があります。(実際、オーストリアでのデータ保護指令の実施に欠けるところがあるとして欧州委員会が同国政府を訴えたケースで、最近、欧州裁判所が同国に是正を命じる決判を下したりしています。)国ごとに分かれているとビジネスの上では不便ですし、EU全体の統一法(Regulation)に移行することが計画されていて、今年1月25日にはその草案も公表されていますが、現状では、あくまで各国の国内法が適用されるべき法で、各国の当局が法執行にあたります。しかし、グーグルのポリシー改訂をめぐっては、初期段階から完全に足並みが揃っており、フランスCNILが実務を統一して担当しつつ、各国の当局がそれを支えるようになっています。ペイジCEOへの書簡も、加盟各国当局の責任者全員の連名によるものです。このことは、仮にグーグルが要求に従わない場合、各国の国内法に基づく法執行が足並みを揃えて行われることを示唆しています。つまり、今回の結論は、単に一フランス当局が下したものではありません。
さらに、今回の通告には、オーストラリア、香港、マカオ、メキシコ、そしてブリティッシュ・コロンビア州(カナダ)など、「アジア大洋州プライバシー保護機関フォーラム」に加盟する当局も歩調を揃えています。事前に相当周到な根回しが行われたのでしょう、CNILが代表する欧州連合の調査結果に賛意を表し、グーグルに対する主要な勧告項目に同意する旨を表明しています。南米以外の4大陸に及ぶ、プライバシー執行機関の共同作戦ということになります。その声明もまた、同日に公表されました。
内容的には、今回の通告は、事前に予想された範囲を大きく上回るものではありません。第一に問題視されているのは、どのような情報を収集し何に使うのかが利用者に判然としない、ということです。たしかに、現行のポリシーを見ても、グーグル・アカウントのほかに、端末固有ID、電話番号、クッキー、現在地情報等々を収集し、「サービスの提供、維持、保護および改善、新しいサービスの開発」や「お客様に合わせてカスタマイズしたコンテンツを提供するため」に使う、としているだけで、いったいどのような情報をグーグルが収集しているのか、また何に使おうとしているのかのか、まったく明らかでありません。ペイジCEOに対する書簡の付属文書(Appendix)では、さらに、クレジットカード番号のような重要な情報でさえ、ちょっと打ち込んだ検索単語と同じように、どうにでも取り扱ってよい対象にされている、と指摘しています。
第二に、今回の通告は、各種サービスを横断して利用者データを統合するのが問題だ、とします。個人データの収集と利用にはその個人の同意が必要だというのが、欧州データ保護法の原則です。ポリシーを改訂して勝手に利用者情報を統合するのは、それを正面から踏みにじるものだ、というわけです。
この点は予想通りの指摘ですが、さらに付属文書は、利用態様に立ち入った指摘をしています。われわれは、知らないうちにグーグルのサービスを利用していることがあります。Gmailにアクセスして自分宛のメールを読む、グーグル・ドックス(Google Docs)に文書を保存するといった使い方をするときは、自分がグーグルのサービスを利用していることはわかります。しかし、ただ単に検索をする、地図を見る、ユーチューブを視聴するだけで、グーグルを「利用している」という自覚は乏しいでしょう。ましてや、ダブル・クリック(DoubleClick)を通じた広告配信を受け取る、グーグル・アナリティクス(Google Analytics)の対象サイトを訪問する、あるいは誰か友人がどこかのウェブサイトでプラス・ワン(Google +1)ボタンを押すといった場合には、グーグルのサービスを利用しているという自覚はまったくありません。グーグル・アカウントを使っている場合とは、まったく違います。グーグルはそのような場合にもデータ収集を行っているわけですが、それはおよそ利用者の同意を欠いているので違法だ、と指摘されています。
ここにも表れていますが、EUプライバシー法の大きな原則は、個人データに対してコントロールを及ぼすのは市民の基本的な権利であり、1.情報を収集することそれ自体について同意していることが必要なだけでなく(情報収集に関する事前同意原則)、2.それを利用する目的についても予め同意しているのでなければ、事業者が利用することは許されない(利用目的に関する事前同意原則)、というものです。グーグルのポリシー改訂はこの二つの原則のいずれにも牴触する、というわけです。今回の通告は、個別の指摘に先立って「最重要の法原則をグーグルが尊重していることを、確認することができなかった」と述べています。その形式がペイジCEOに宛てた手紙だということを考慮すると、非常に厳しい調子だということができます。
玉井 克哉
東京大学教授
※編集部注:明日のその2、明後日のその3へ続きます。