ヴィンセント・イソア/IP3/ゲッティイメージズ
月曜日、 Googleが英国のiPhoneユーザー440万人の閲覧データを本人に無断で追跡していたとして、「画期的な」32億ポンドの訴訟に直面していると広く報じられました。Googleは2011年7月から2012年8月にかけて、AppleのSafariブラウザのプライバシー設定を回避し(「Safari Workaround」と呼ばれる)、個人データを収集し、個々のユーザーのプロファイルを作成していたとされています。
しかし、この歴史的な集団訴訟(代表訴訟とも呼ばれ、代表者がより大きなグループの利益を代表する)は、実際に認められるのだろうか?それはまだ不透明だ。現在、消費者擁護団体で元Which?のディレクター、リチャード・ロイド氏が率いるキャンペーン団体「Google You Owe Us」は、この訴訟の立証に多くの課題に直面している。
英国において、データ保護に関する問題で損害賠償を求める集団訴訟が提起されたのは今回が初めてです。現在高等法院で審理中のこの訴訟は、Appleがここ数日、より重大な法的問題を複数提起したことから、昨日で3日目に突入しました。最初の審理は、この訴訟が英国の管轄権内で審理可能かどうかを検討することが目的でした。
主たる原告であるロイド氏によると、グーグルは昨日、判例がないことを理由に訴訟の却下を求め、個人は自ら賠償を求めるべきだと主張した。しかしロイド氏は、数百ポンド程度の少額訴訟だと認めている個人消費者が、グーグルのような巨大企業を相手取って訴訟を起こす可能性は低いと指摘する。特に英国の法制度では、敗訴者が相手方の費用を負担しなければならないことを考えるとなおさらだ。
しかし、まさにこれこそが、この事件を集団訴訟として審理するのに適したものにしている。「これらの侵害は、おそらく多くの人々にある種の苦痛と不便をもたらすでしょう」と、データ保護の専門家であり、集団訴訟を専門とする法律事務所リー・デイのパートナーであるショーン・ハンバー氏は述べている。人生を変えるような結果にはならないかもしれないが、データ侵害がより一般的で話題になる世界では、このような代表訴訟には十分な根拠があり、明らかに個別に争われることはないと彼は言う。
ハンバー氏によると、世界の他の地域では、このような訴訟は既に定着しているという。英国の代表訴訟の伝統は英国ほど十分には実証されていないものの、「他の法域ではすでに一般的であり、事態は悪化していない」と彼は言う。この種の訴訟は、現実的な問題に取り組んでいると彼は言う。「明らかに法律違反があり、人々は補償を受ける権利があるものの、率直に言って、おそらく少額で、そうでなければ訴訟を起こすのが難しい場合、どうすれば良いのでしょうか?」
課題は何でしょうか?
では、訴訟は実際に進むのだろうか?そのためには、原告は440万人のiPhoneユーザー全員が消費者として同じ問題に直面していることを証明し、訴訟が一括して審理される必要がある。Googleはユーザーの損害が一律だったことに異議を唱えているが、訴訟を起こした側は、プライバシー権の侵害という事実がリトマス試験紙となり、関係者全員が損害賠償を請求できるはずだと主張している。「私たちが言いたいのは、データ権利が侵害されたという点で、誰もが根本的に同じように影響を受けたということです」とロイド氏は言う。
プライバシーの観点から「損失」をどのように定量化すべきかは明確ではありませんが、過去の類似訴訟の原告は、限定的な苦痛は少額の賠償の根拠となると主張しました。今回の訴訟において、Google You Owe Usは、個人データの管理権の喪失自体が、限定的な賠償を求める意義ある請求に相当すると主張しています。ロイド氏はまた、データ侵害は消費者が気付くまで、あるいは全く気付かないままに発生することがあり、実際に発生することもしばしばあると強調しています。それでもなお、権利の喪失は発生します。
請求が成立するためには、原告は440万人全員に連絡を取り、理論上の損害賠償にアクセスできるようにする現実的な計画があることを裁判官に納得させる必要がある。キャンペーン団体は、ソーシャルメディアを通じて個人に連絡を取るためのプログラムを立ち上げ、GoogleやAppleなどの企業が保有する個人データを活用して、被害を受けたことを確認できるようにすると述べている。これにより、例えば、当時Apple IDを所有していたかどうかが明確に示されることになる。
ロイド氏によると、提示されている32億ポンドという数字は、実際にはApple自身の計算に基づくもので、1人あたり約727ポンドとされている。これは、両社が合意した修正推定値によると、影響を受けた人は440万人に上る。この数字は、2013年にHalliday対Creation Consumer Finance Ltd.の訴訟で定められた補償上限額750ポンドと関連している可能性が高い。金曜日から施行される新しいGDPR規則により、請求者は金銭以外の損失に対する補償を求めることがはるかに容易になる。
Googleは何と言っていますか?
Googleのコミュニケーション責任者であるトム・プライス氏は、米国の「集団訴訟」に類似するこの「代表訴訟」には「根拠がなく、却下されるべきだ」と述べている。さらに、この訴訟は「6年以上前に発生した出来事に関連しており、当時すでに対応済みだ」と付け加えている。Googleは、カリフォルニア州に本社を置き、デラウェア州に本社を置いているため、この訴訟は英国で審理されるべきではないと主張してきた。しかし、弁護士らは、同社が英国で事業を展開しており、データ漏洩が英国の消費者に影響を与えたため、英国で審理する十分な理由があると主張している。
法律専門家は、この訴訟は、2015年のヴィダル・ホール対グーグルという、非常に類似した事実を伴う小規模な訴訟で既に法的根拠が確立されていることから、成立する可能性が高いと示唆している。この訴訟は最終的に法廷外で和解し、グーグルは最高裁まで持ち込まれる前に控訴を取り下げたが、裁判所は本格的な裁判を行うべきと判断し、また、データ保護訴訟において、苦痛および非金銭的損失に対する損害賠償が認められる可能性があるとした。
ロンドン・スクール・オブ・エコノミクスでデータ保護を専門とする法学助教授、オーラ・リンスキー氏は、この訴訟の真に興味深い点は、「データ保護の執行における今後の動向を示唆している点です。これまで、データ保護法は、個人が十分に組織化されておらず、規制当局もデータ巨大企業の力に対抗するための十分なリソースを投入していなかったため、十分に執行されてきませんでした」と述べています。
GDPRに基づき規制当局が科す可能性のある罰金に注目が集まっているが、「同様に重要な進展」として、個人がNGOや市民社会団体に対し、自分たちに代わってこのような代表行動を取るよう指示できる可能性が出てきたとリンスキー氏は指摘する。「したがって、Googleなどの企業は、個人がこのような形で説明責任を追求することに慣れる必要があるだろう」とリンスキー氏は言う。
米国では最近、民主党の上院議員2名が連邦取引委員会(FTC)に対し、位置情報サービスがオフになっている場合でも位置情報データを追跡することで「Googleが米国の消費者を追跡し、商品化するために利用している潜在的な欺瞞行為および慣行」について調査するよう要請した。2012年、FTCはAppleのSafariブラウザでCookieを使用し、これらのユーザーにターゲティング広告を配信しないという委員会の命令に違反したとして、Googleに2,250万ドルの罰金を科した。これは当時、FTCが科した罰金としては過去最高額だった。
「裁判所は、データ漏洩の影響を受けた膨大な数の人々が企業に責任を負わせ、何らかの救済を求めるには、文字通り他に方法はないことを認識する必要がある」とロイド氏は言う。「現実的に、裁判所ができることは他に何もないのだ」。この訴訟が審理されれば、人々に巨大企業に対抗する力を与える画期的な一歩となるだろう。
この記事はWIRED UKで最初に公開されました。
