グーグルのプライバシー・ポリシーをめぐる欧州の動き─グローバル化の中でのプライバシー保護法制をどう考えるか(その2) --- 玉井 克哉

アゴラ編集部

さて、このようなEUの方針は、今後にどのような影響を及ぼすでしょうか。これは、グーグルそのものに対する影響と、グローバルなビジネスに与える影響を分けて考えるべきでしょう。


グーグルそのものについては、この件を報道している各紙は、今回の通告が、グーグルのポリシーを元に巻き戻す(unwind)よう要求したものだ、との見方で一致しています(たとえば、ロイター)。サービスごとに「デジタル・チャイニーズ・ウォール」を設けて、利用者データを別々に管理せよ、というわけです。もっとも、CNILは直接的には新ポリシーの撤廃を求めているわけではなく、ペイジCEOへの書簡には12項目の改善要求が連ねられているだけなのですが、それを実行するには、3月1日より前の状態に戻すことが必要となる、というわけです。果たしてそんな「スクランブルド・エッグを卵に戻す」ようなことが技術的に可能なのか。ガーディアンによると、ロンドンのクリス・ワトソン(Chris Watson)弁護士は、「できる」と考えているようです。

もちろん、技術的にできるということと、実際にするかどうかは別です。ニューヨーク・タイムズによると、ペイジCEOは、新ポリシーをEUが容認しない方針が「哀しい(sad)」と述べたそうです。実際、アンドロイドの最新バージョンで提供されるグーグル・ナウ(Google Now)などは、サービス横断的な個人データの解析抜きには、提供が難しいサービスでしょう。たとえば、カレンダーと位置情報と交通状況から、「会議に出席するには、今から3分以内に席を立たなければなりません」などと教えてくれたり、「今日の晩御飯は銀座の○○でイタリアンにされてはいかがですか」などと勧めてくれるサービスです。今回の通告には、サービス横断的なデータ統合について、目的を特定した上で利用者の明示的な同意を取れ、という項目もあります。オプト・イン方式での同意を多くの利用者から得るのは、実際には難しいでしょう。個々の利用者に関わる「ビッグ・データ」の解析は「宝の山」と呼ばれていますが、そこに手を出せないことになれば、グーグルのビジネスモデルそのものに影響するかもしれません。

とはいえ、今回の通告を完全に無視するというのも、大変そうではあります。各国規制当局に対してグーグルがしばしば見せる顔は、「法律上の強制権限にのみ従う」という態度です。たとえば検索関連語の表示をめぐって3月に東京地裁が仮処分命令を出しましたが、今日に至るまで、まったく従う態度を示していません(10月19日付け読売新聞の記事)。アップルのブラウザ「サファリ」から利用者の個人データを違法に取得していた件でも、米国で強制権限のある当局の摘発を受けて、ようやく改善を約束しました。しかし、今回の通告を無視すると、いわばEU全体のデータ保護当局を敵に回すことになります。EU加盟各国のプライバシー法の執行は各国の当局に委ねられているわけですが、課徴金などの制裁が足並みを揃えて課せられる可能性も、なしとしません。

そうしたらどうなるか。前述のガーディアンは、今回の通告が、グーグルの違法行為に対するEU域外をも含む「ドミノ倒し」的な規制を引き起こす可能性にも触れています。現在の欧州データ保護法における課徴金の額は、たとえばフランスでは30万ユーロが上限ということですから()、グーグルにとって大きな損失にはなりません。ただ、各国で次々と課徴金を課されればレピュテーションが傷つくのは確実です。また2014年に実施されるとも予測される前述のEU新立法では全世界での年間売上高の2%に上限が引き上げられる予定ですから、将来を見据えると、ビジネス上も無視できません。今回の通告には、前述の通り、アジア大洋州の当局ということで、オーストラリアなども賛同しています。米国で個人データ保護機関として機能している連邦取引委員会(FTC)も、署名はしなかったものの、緊密に連携を取っているとの報道がなされています。実際、FTCも、昨2011年には、当時グーグルが手がけていた「グーグル・バズ(Google Buzz)」というソーシャル・ネットワーキング・サービス(SNS)のために「Gmail」で収集した個人データを流用したとして摘発したことがあります。メール・サービスのために個人データを収集するときはSNSに利用するなどと示していなかったのに、ユーザに無断で勝手に流用したのは欺瞞的(deceptive)だ、というのがその理由でした。そのケースは結局和解で終わったのですが、この3月のポリシー改訂がそのときの和解条項に違反するのではないかという指摘は、根強くなされています。

プライバシーに加え、もう一つ、グーグルには、独禁法違反というやっかいな問題もあります。ワシントン・ポストが指摘するように、グーグルは、検索というコアなビジネスから、eコマース、通信、ソーシャル・メディア、オンライン・ビデオ・サービス等々に急激に事業範囲を拡張してきました。検索マーケットで築いた支配的な地位を他のマーケットに向けて次々と拡大するさまは、まるで1990年代後半のマイクロソフトを思わせるものがあります。アメリカでもEUでも、マイクロソフトは独禁法違反の嫌疑で叩かれ、急速に勢いを失いました。最近のエリック・シュミット会長の講演でも、グーグルがそれを十分に意識していることは見て取ることができ、前車の轍を避けようとするだろうと、ワシントン・ポストは観測しています。しかし、欧州委員会は、今回とは別の文脈で、グーグルが検索市場での支配的地位を濫用したとの嫌疑を固め、和解交渉中です。米国ではやはり米国連邦取引委員会(FTC)が、数年に及んだ独禁法(反トラスト法)違反調査を近々終結させ、それによってグーグルが「決定的瞬間」を迎えるとの観測もあります。

グーグル以外のビジネスへの影響はどうか。今回のように、EU加盟各国すべてが足並みを揃えて調査や通告をするのは、まったく異例です。それは何より、グーグルの影響力の大きさに着目して行われたものでしょう。付属文書は、同社の市場シェアが検索について90%以上、スマートフォンのOSについて50%以上だと指摘しています。グーグル以外で同様の措置の対象になりうるのは、フェイスブックとアマゾンくらいでしょう。それ以外の企業にとって、直接の影響は軽微です。

しかし、より一般的には、グローバルな展開を目指す企業は、プライバシーの保護にいっそう注意する必要がある、ということがいえましょう。EU加盟各国で足並みを揃えたのは相手に取ったグーグルが巨大企業だからで、そうでない相手には、各国の当局が個別に法執行を行います。その場合、今回のケースが先例となることは確実です。個人データの収集に目的を示して個別に同意を取らねばならないとなると、種々のサービスから得た個人データを横断的に統合することはできません。特にクッキーを介して得た個人データについては、そもそも「同意」があったかどうか疑わしい場合があるので、他の目的に転用することには、慎重であることが要求されることになるでしょう。グローバルにネットワーク・サービスを展開する企業はEU法の適用を受けることを覚悟せねばならないわけですし、アジア大洋州の当局まで同調していることを考えれば、コンプライアンスには、かなり気を遣う必要が出てくるかもしれません。

別の意味でのビジネスへの影響もありそうです。マイクロソフトはこの6月、インターネット・エクスプローラの最新バージョン(IE10)では「追跡禁止(Do Not Track)」をデフォルトにする、と発表しました。個人データの収集と利用への反発が強くなれば、そうした「逆張り」戦略も一つのビジネスモデルとなるでしょう。無料版は「追跡」するが有料版では別の設定にする、といったサービスも登場しそうです。

玉井 克哉
東京大学教授