English
CJEUの判決後、事前チェックされた同意欄は業者の顔に爆発するかもしれない。
昨年末の欧州連合司法裁判所(CJEU)の判決により、ビデオゲームなどのウェブサイトがユーザーの個人情報を収集・保存する際に、ユーザーの同意取得が大幅に制約されることになりました。今後は、プレイヤーや顧客のデータを収集・利用しようとする企業は、「肯定的な行動 」によって 「自由に与えられた 」同意を確保しなければなりません。この判決は、一般データ保護規則(GDPR)をより実効性のあるものにしたもので、裁判所の法務官パネルが通信会社Orange Romaniaに対して下した罰金を支持するものです。
「データ対象者が能動的な行動により、本人の個人データ処理に同意したこと、及び当該者がその処理を取り巻く全関連情報を、明確かつ平易な言葉を用いた、また当該者の同意がもたらす結果を容易に理解できるような、分かりやすくアクセスしやすい形式で、事前に入手し、事実を十分に知った上で同意したことを証明[できないことに対する罰金]」
新しい基準
その結果、欧州のウェブベースのビジネスを行う企業は、顧客情報の取り扱いについて有効な同意を得ていることを示すために、幾つかの新しいガイドラインに準拠しなければならなくなりました。
- 積極的な同意 – 確立されたGDPR規則に従い、顧客の同意は、自由に与えられ、具体的で、十分な説明を受けた明確なものでなければなりません。これらの要件は、サイト訪問者にデータ共有のオプトアウトを強制したり、フォームのデフォルト選択として同意を求めることでは満たされません。裁判所は、ユーザーの「沈黙」、無活動、または事前にチェックされたボックスの選択解除を怠ることは、有効に与えられた同意とはならないと表明しています。
- クッキーに関する注意事項 – 多くのクッキーには個人情報が含まれているため、ウェブサイトはクッキーを使用する前にユーザーの積極的な同意を得る必要があります。ただし、「厳密に必要なクッキー」、又は、ユーザーがウェブサイトを閲覧したり機能を利用したりするために不可欠なクッキーの使用には、同意は必要ありません。この例外にもかかわらず、厳密に必要なクッキーの使用についても開示することが最善の方法です。
- 選択の自由 – 同意を、サイトの機能の使用許可やサービス注文の資格と結びつけることは認められません。例えば、企業は、顧客がデータ収集や使用を許可しないことを理由に、携帯電話サービスへの加入やコンテンツへのアクセスを拒否することはできません。また、顧客が個人情報を提供しないからといって、排除されるかもしれないと思わせることもできません。裁判所は、オプトアウトを希望する顧客に対し、企業が情報収集・保存を行わない旨を別用紙に記入させたり、手書きを要求したりすることは、顧客の選択の自由を阻害すると判断しました。
- 透明性 – データ管理者は、個人データ収集の目的とその使用方法を明確にしなければなりません。インフォームド・コンセントは、消費者が自分の個人情報の譲渡を許可した場合、何が起こるかを正確に判断できる場合にのみ発生します。GDPRでは、管理者は、消費者データを収集することがそのケースにおいて合法的である理由、個人の統計情報の保管期間、そしてそれを第三者と共有するかどうかを示すことを要求しています。
有効なインフォームド・コンセントが適切に得られていることを証明する責任は、データを収集する企業にあるのです。
裁判
この事件は、Orange Romania社が、顧客の身分証明書のコピーを保存する際に、契約書の「同意」欄に予めチェックを入れて同意を得ていたという事実に基づき、ルーマニアデータ保護当局が課した罰金を不服としてCJEUが審理したものです。この行為は、顧客が積極的に同意する選択がないため、許可が自由に与えられているという前提を否定するものであると当局は判断しました。
Orange Romania社は、同社は明らかに規則に沿って、なぜ、どのように、どのくらいの期間、書類のコピーを保管するのかについて顧客に情報を提供していたこと、更に、「同社は顧客が契約の締結及び明示的な同意をするために必要なすべての情報を提供し、顧客は(自分のデータのコピーおよび保存について)説明を受け、同意している」と記載された同意書に署名するよう求めました。
しかしながら、同意と説明の受領確認は、少なくともいくつかのケースでは、事前にチェックされたボックスという形でトレーダーに「事前回答」されていました。署名を拒否した人も、同意者と同様に電話会社から契約サービスを受けることができたのです。しかし、彼らは追加フォームへの記入を強いられ、拒否の意思を確認するよう求められました。当局は、これらの行為は、顧客に特定の選択をさせるための“疑わしい方法”であると判断し、裁判所もこれに同意しました。この方法は、いわゆる「ダークパターン」と呼ばれるものです。
波及効果
今回のOrange Romania社への判決と、前回のドイツのオンライン宝くじPlanet49の判決は、ビデオゲームプラットフォーム、eスポーツリーグやトーナメント、オンラインカジノ、その他リアルマネーやデジタルメディアの分野で事業を展開する企業にとって、プライバシーと同意のハードルを上げるものです。その影響は、ヨーロッパの企業にとどまるものではありません。欧州の消費者を対象とするマーケティング企業、或いはサービスを提供する企業は全て、ユーザーに本人の同意決定の完全なるコントロールを与えていることを証明しなければならなくなりました。完全なる透明性、健全な法的ポリシー、そして完全な自由意志の行使が維持されなければならない新たな基準となりました。
オンラインでも紙媒体でも、事前にチェックを入れた同意許可書や開示宣言書を使用している企業は、消費者と企業の双方を保護するために、これらのフォームを正確な法律文書に書き換える必要があります。ヨーロッパでは、「一般的な」あるいは標準的なフォームではもはや十分ではありません。消費者・ビジネス契約、新興デジタル技術に精通した弁護士であれば、同意条項がより厳格なGDPRの新基準を満たすことを保証できます。エンターテインメント、ビデオゲーム、ブロックチェーン、AR/VR関連の法律を専門とする弁護士は、サイトユーザーの個人データがどのように収集、保存、使用されるかについての完全な情報を得た上で、同意が自由に与えられたことを完全かつ正確に証明する文書を作成します。さらに、知識豊富な弁護士は、企業が誤解を招くような行為や、実質的に透明性を維持していないという容疑から守るための戦略を提供することができます。
ガンマ法律事務所は、サンフランシスコを拠点とし、最先端のビジネス分野で選ばれたクライアントをサポートする法律事務所です。複雑でダイナミックなビジネス環境で成功するために必要なサポートを提供し、イノベーションの限界を広げ、米国国内及び国際ビジネス目標を達成することを目指しています。あなたのビジネスニーズについて、今すぐお問い合わせください。
