筆者の手元に2022.10.26付けのSquire Patton Boggs (US) LLP blog「第3巡回区はEn Bancの再審理を否定し、インターネット第三者マーケティングに関するペンシルベニア州の主要な盗聴事件の意見を修正」が届いた。
共同筆者はパートナー Kristin Bryan氏、事務所の弁護士James M.Brennan氏である。また、本裁判の第一審は2021年6月17日、ペンシルベニア州西部地区連邦地裁であり、当時ピッツバーグ大学ロースクールの法学部学生(現在はWestin Researchの Fellowである)Anokhy Desai氏が解説している。
以下、2つのレポートを内容を補足しながら、仮訳する。
Kristin Bryan氏
James M.Brennan
10月18日、米国第3巡回区連邦控訴裁判所は、 ペンシルベニア州の「盗聴および電子監視管理法(Wiretapping and Electronic Surveillance Control Act:WESCA」)18 Pa. C.S. § 5701 et seq.」の適用に関する訴訟で、再審理を否定した。そして、被告(オンライン小売業者とインターネットマーケティング会社Harriet Carter Gifts, Inc.)によって「提起された問題を明確にする」ために修正意見を発表した。
この命令は、原告(Popa)である消費者に有利な第3巡回区の2022年8月の判決を残しており、さらなる事実認定に応じて、被告は小売業者自身のウェブサイトとの消費者の相互作用を「傍受」したとしてWESCAの下で責任を負う可能性があると主張した。
Popa v. Harriet Carter Gifts, Inc., No. 21-2203, 2022 U.S. App. LEXIS 28799 (3d Cir. Oct. 18, 2022)事件で 原告Popa は被告たる小売業者ハリエット・カーター(Harriet Carter Gifts, Inc.)のウェブサイトを訪問し、交流した。ハリエット・カーターのウェブサイトには、被告の第三者マーケティング担当者NaviStone(オハイオ州 シンシナティのソフトウェア企業)にHTTP GETリクエストを送信するJavaScriptコードが含まれており、NaviStoneは原告のブラウザにクッキーとコードをロードし、原告のウェブサイトのやりとりの詳細をバージニア州のNaviStoneのサーバーに送信した。原告は、被告がWESCAの下で、原告の電子通信(NaviStone)を「傍受」するか、または通信を「傍受」するために別のものを「調達」した(ハリエット・カーター)責任があると主張した。
第一審である連邦地方裁判所は、(ⅰ)NaviStoneは通信の直接の受信者であったため、WESCAの下で通信を「傍受」することはできない、および(ii)NaviStoneはペンシルベニア州ではなく、サーバーが置かれているバージニア州で通信を取得したと判断し、被告に有利な略式判決を下した。
しかし、第3巡回区連邦控訴裁判所(以下、「第3巡回区」という)は、地方裁判所の略式判決の付与を無効とし、差し戻した。
今回のブログは、この裁判の経緯や争点の解説を試みるものである。
1.ペンシルベニア州WESCA判決の下で「傍受」とは見なされない第三者によるウェブサイト訪問者データの収集に関する連邦地裁判決
著者は当時ピッツバーグ大学ロースクールの法学部学生(現在はWestin Researchの Fellowである)Anokhy Desai氏がペンシルベニア州弁護士会サイバーセキュリティおよびデータプライバシー委員会サイトへの投稿文(2021.7.14)を以下、仮訳する。
Anokhy Desai氏
2021年6月17日、ペンシルベニア州西部地区連邦地裁のウィリアム・スティックマンIV判事は、第三者企業が別のWebサイトにアクセスしたときにユーザーのブラウザからデータを収集した場合、ペンシルベニア州の「盗聴および電子監視管理法(WESCA)」に従って通信の傍受はなかったと判断した。
この裁判は、間違いなく個人や団体がペンシルベニア州のWebプラットフォーム間で情報を収集および送信する方法と方法に広く影響を与える可能性があるといえる。
(1)裁判の背景
2018年、原告アシュリー・ポパ(Ashley Popa)はギフトWebサイトのハリエット・カーターを検索し、カートにいくつかのアイテムを追加し、サイトにメールアドレスを提供した。Popa は、ハリエット・カーターが、企業が「ダイレクトメール」を通じてサイト訪問者にリーチできるようにする広告および分析グループであるNaviStoneを保持して、違法、自動的かつ密かにハリエット・カーターのウェブサイト訪問者をスパイ、傍受し、両社はWESCAに違反したと主張した。
WESCAは、有線、電子、または口頭での通信の意図的な傍受行為を第三級重罪重罪(注1)とする。これには、そのような行為を行うために第三者のサービスを調達することが含まれる。 ハリエット・カーターは、NaviStoneのサービス、主にJavaScriptコードを使用してサイト訪問者データを収集し、それをナビストーンと共有して分析を提供した。サイト訪問者が「ショッピングカートに追加」をクリックしたり、メールアドレスを尋ねるような空のフィールドに入力したり、アイテムをクリックして表示したりするたびに、コードはGETリクエストとこの生データをNavistoneのサーバーに送信した。技術的に聞こえますが、このプロセスは本質的に、店長が買い物客の習慣を理解し、将来よりよく準備するために、特定のアイテムが購入またはカートに入れられた回数を確認することと同じである。特定のブランドとサイズのグラハム・クラッカーが夏に最も多く購入された場合、店長は店の前にアイテムを配置して、とにかく購入する予定の顧客が簡単にアクセスできるようにし、購入しなかった顧客にインセンティブを与えることができる。
Popa は、NaviStoneのコードが彼女のコンピューターとハリエット・カーターのコンピューター間の通信を傍受すると主張しているが、カーターとナビストーンは、通信は一度に2つの当事者間で別々に行われ、必ずしも第三者が盗聴していないため、傍受はなかったと主張した。ハリエット・カーターのサーバーとPopaのコンピューター間の通信は、Navistoneとカーター、NavistoneとPopa の間の通信回線とは別のものであった。
他のいくつかのペンシルベニア州の事件は、歴史的に「傍受」を狭く解釈してきた。州政府対ディシルビオ事件(Commonwealth v. DiSilvio)では、上級裁判所は、警官が簿記係の家に強制的に侵入し、鳴っている電話を取り、「実際には彼ら自身が電話の当事者であった」ため、「[電話]を介して直接通信を受信した」場合、WESCAの傍受はなかったと判断した。
また、州政府対プロエット事件(Commonwealth v. Proetto, Aplt (Per Curiam Order))では、上級裁判所は、探偵がオンラインで未成年者を装い、架空の未成年者と捕食者の間のチャット・ログを収集した場合、探偵は通信の直接の当事者であったため、情報の傍受はなかったと判断した。
州政府対クルッテンデン事件(COMMONWEALTH v. CRUTTENDEN)では、州最高裁判所(Supreme Court of Pennsylvania)は、個人が通信の直接の当事者である場合、たとえその人、この場合は役員が彼らの本当の身元を明らかにしたとしても、傍受は行われないと判断した。電子通信傍受のより直接的な比較のために、裁判所は、ユーザーのウェブブラウザとサードパーティの広告会社のサーバーがGETリクエストとユーザーのブラウザに配置されたサードパーティのCookieの両方を介して直接通信していたため、傍受はなかったと判断したInre Googleを検討した。これらすべての場合において、当事者Aが当事者Bと直接通信したため、当事者Aがそれらの通信を提供するつもりがなかったとしても、傍受はなかった。
同地方裁判所は、DiSilvio、Proetto、Cruttenden、およびIn re Googleのように、関係するすべての当事者が通信の直接の当事者であったため、このシナリオでは18 Pa. C.S. §5703に基づく傍受はなかったと判断した。さらに、傍受があったとしても、通信はペンシルベニア州外のNavistoneのサーバーによって受信されたため、WESCAの範囲外であると判断した。
(2)この裁判所判決はペンシルベニア州の企業にとって何を意味するのか
今のところ、この結果は、ペンシルベニア州で分析を提供するか、そのようなサービスを購入する企業が通常どおりビジネスを継続できることを意味する。この場合、裁判所で考慮されなかった問題は、主体の同意に関する誤解であった。原告Popaは、プライマリー企業が雇用したサードパーティの分析会社が、プライマリー企業が商品やサービスに基づいて行動し、より適切に販売するための使用可能なデータを提供するために、プライマリー企業のWebサイトでユーザーデータとサイト・アクティビティを収集する必要があることを知らなかったこと、およびプライマリー企業がCookieバナーを通じてこのデータ収集を開示していることを暗示している。
カリフォルニア州消費者プライバシー法(CCPA)などのプライバシー法案のおかげで、サイトはCookieの同意バナーをより見やすくユーザーフレンドリーにし、ユーザーがオプトインしたくないCookieの選択を解除できるようにしている。これにより、ユーザーのブラウザからプライマリ企業のサードパーティ分析サービスに送信される情報の量は減少するが、それがなくなるわけではない。
サードパーティの広告および分析サービスを使用している企業は、データ収集とCookieポリシーを平易な言葉で記述し、ユーザーが同意していることを明確にし、それらのポリシーを明確かつ目立つようにし、ユーザーがサイトが機能するために必要のないCookieをオプトアウトできるようにすることで、同様の訴訟を回避するための措置を講じることができるといえる。
2.第3巡回区連邦控訴裁判所(以下、「第3巡回区」という)は、地方裁判所の略式判決の付与を無効とし、差し戻した
修正意見書でより完全に述べられているように、第3巡回区は、2012年のWESCAの法改正(「傍受」の定義に「意図された受領者」の例外を追加したが、法執行官のみを対象としていた)は、被告が「[原告]が無意識のうちにNaviStoneのサーバーと直接通信したことを示すだけで責任を回避できない」ことを意味すると判示した。
また第3巡回区は、WESCAの下でのオンライン「傍受」のその場は、サーバーが置かれている場所ではなく、「[被告]が通信を自身のサーバーにルーティングした地点」であると判示した。
NaviStoneのコードがロードされたときに原告のブラウザがどこにあったかについての証拠が記録になかったため、第3巡回区はさらなる事実認定のために差し戻し、 連邦地方裁判所の判決の根拠を棄却したが、ハリエット・カーターのプライバシー・ポリシーが、WESCAに基づく傍受に対する「事前の同意」を構成するように、傍受について原告に十分に警告した(したがって被告の責任を免除する)可能性を差し戻したままにした。(注2)
被告の再審理ブリーフィングが指摘したように、原告Popa はすでにペンシルベニア州の原告の弁護士にとって重要な事件であることが証明されている。
2022年8月に第3巡回区が当初の意見を述べて以来、同様のWESCA違反を主張する10件以上の訴訟がペンシルベニア州の連邦裁判所に提訴されている。Defendants' Fed. R. App. P. 28(j) Letter, Popa v. Harriet Carter Gifts, Inc.を参照。、第21-2203号(2022年9月23日3日Cir.)、ECF第82-1号(症例の収集)。最も注目すべきは、この決定が、新たなプライバシー訴訟分野であるセッション再生ソフトウェア(session replay software)の使用に関するより多くの裁判苦情を引き起こしたことである。
このセッション再生ソフトウェアは、商用Webサイトの運営者がWebサイト訪問者のエクスペリエンス(注3)を向上させるために頻繁に使用するため、業界全体で広く使用されており、多くの人が請求の増加とそれに伴う訴訟リスクに注意を払っている。
***************************************************
(注1) 第三級重罪(a felony of the third degree )は一種の犯罪である。テキサス州では、重罪の中で 2 番目に軽いタイプである。とはいえ、どんな軽罪よりも重い。第三 級重罪の有罪判決は、2 年から 10 年の懲役刑となる。また、最高 10,000 ドルの罰金も科せられる。それらの一部は、第 二 級の重罪に昇格することもある。その場合、罰則はさらに重くなる。
テキサス州における第 三 級重罪の例としては、次のようなものがある。
・違法監禁(Unlawful Restraint)(Texas Penal Code:刑法 20.03)
・30,000 ドル以上 150,000 ドル未満の窃盗 (Theft)(刑法 31.03)
・物的証拠の改ざんまたは捏造(Tampering with or Fabricating Physical Evidence) (刑法 37.09)
(https://www.shouselaw.com/tx/defense/felony/3rd-degree/から一部抜粋、補足の上で仮訳)
(注2)ハリエット・カーター(Harriet Carter Gifts, Inc.)のプライバシーポリシーを一部抜粋、仮訳する。
サードパーティによる Cookie およびその他の追跡技術の使用
ウェブサイト上の広告を含む一部のコンテンツまたはアプリケーションは、広告主、広告ネットワークおよびサーバー、コンテンツ プロバイダー、およびアプリケーション プロバイダーを含む第三者によって提供されます。 これらの第三者は、Cookie を単独で、または Web ビーコンやその他の追跡技術と組み合わせて使用して、お客様が当社の Web サイトを使用する際にお客様に関する情報を収集する場合があります。 彼らが収集する情報は、お客様の個人情報に関連付けられている場合や、個人情報を含む情報を収集する場合があり、時間の経過とともに、さまざまな Web サイトやその他のオンライン サービスでのオンライン活動に関する情報が収集される場合があります。 この情報を使用して、興味に基づく (行動) 広告またはその他のターゲットを絞ったコンテンツを提供する場合があります。
第三者のウェブサイトへのリンク
当社のサービス、ニュースレター、電子メールの更新、およびその他のコミュニケーションには、当社のパートナー ネットワーク、小売パートナー、広告主、および関連会社を含む、他者の Web サイトへのリンクおよびそれらの Web サイトからのリンクが含まれる場合があります。 これらの Web サイトのいずれかへのリンクをたどる場合、これらの Web サイトには独自のプライバシー ポリシーがあり、当社はこれらのポリシーについて一切の責任を負わないことに注意してください。
(注3) エクスペリエンスとは、経験、体験という意味の英単語。ITやビジネスの用語としては、人間がある特定の対象物(機器やシステム、サービス、組織などの場合がある)との関わりを通じて得られる体験の総体、およびそこから生じる印象や認識のことをエクスペリエンスという。(IT 用語辞典から抜粋)
*******************************************************************
Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
コメント
コメントを投稿