スキップしてメイン コンテンツに移動

Amazon のEU本部のGDPR違反に関するルクセンブルグ国家データ保護委員会 (CNPD) の7億4,600万ユーロの罰金とそれに対応する実務慣行の修正決定とその後の動向

 

 筆者は2021月8月7 日blogで「ルクセンブルグのDPAであるCNPDがGDPR違反を理由に米Amazon LLCに対し過去最高額7億4600万ユーロの制裁金を科す旨公表」を取り上げた。

   この段階で筆者の手元には関係機関の詳しい情報がなく、またその後のルクセンブルグの行政裁判所の決定問題やフランスCNILのAmazon に対する 3,500 万ユーロ(約50億4000万円)の罰金決定を巡る国務院の判断等多くの動きが見られた。

 さらに、最近ではアイルランドの情報保護機関がfacebookの親会社Meta platform に対するGDPR違反による2 億 6,500 万ユーロ(約382億9000万円)の罰金とさまざまな是正措置を課した旨紹介した。

 今回のブログはこれらの動向を総括すべく、その正確性を確保すべく、改めて書き直したものである。

1.Amazon EU本部のDOPR違反に関するルクセンブルグ国家データ保護委員会 (CNPD)のリリース文とOneTrust Data Guidanceの解説

(1) Amazon.com, Inc.は、2021年7月29日に、1934年米国証券取引法第15条第6項第13項に従って四半期報告書のなかでCNPD決定による高額罰金や実務慣行の修正命令を受けたことを公開

 Amazon.com, Inc.は、2021 年7月29日に、1934年証券取引法第15条第6項、第13項に従って、四半期報告書を発行した。特に、13 ページの法的手続きに関するセクションで、Amazon は次のように概説している。

 ルクセンブルグ国家データ保護委員会 (Commission nationale pour la protection des données :CNPD)は、2021年7月15日に、アマゾン・ヨーロッパ本社(Amazon Europe Core S.à.r.l)(注1)に対して、Amazon の個人データの処理が一般データ保護規則 (EU) 2016/679)(「GDPR」第60条に準拠していないと主張する決定を下した。

 しかし、データ保護に関するルクセンブルグの国内法は、CNPD を職業上の秘密に拘束し(第42条)(注2)、個々のケースについてコメントすることを禁止している。さらに、CNPD の決定を完全かつ明確に公表することは、追加の制裁と見なされる (第52条)(注3)。したがって、上訴の期限が切れる前にCNPD決定を公開することはできない。

 CNPD の決定に対する上訴は、訴訟の本案を裁定する行政裁判所に提出することができる。その控訴期限は3か月である。

 具体的には、このCNPD決定により、7 億 4,600 万ユーロ(約1074億2400万円)の罰金とそれに対応する実務慣行の修正が課せられた。最後に、Amazonは、この件に関して積極的に弁護するつもりであると述べた。

 さらに、フランスの人権擁護団体“La Quadrature du Net”は声明を発表し、この決定は2018 年 3 月に Amazon に対して開始された集団訴訟に続くものであることを明らかにし、このCNPD決定により、Amazonが使用するターゲット広告システムが自由に与えられた同意に基づいていないことが判明したことをさらに指摘した。また、この罰金額は、GDPR の下でこれまでに課された最大の金額であると述べている。

 Amazonの四半期報告書はここで 、La Quadrature du Netの声明はここで読むことができる。

(2)フランスCNIL はCNPD決定を、確認、支援(One Trust Data Guidanceの追加情報 (2021年8月3日)

 フランスのLa Commission Nationalede l'Informatiqueet des Libertés(情報処理と自由に関する国家委員会:CNIL)はCNPD決定を確認し、同時にCNPD の公開がないことを明確にした。

 CNILは、2021年8月3日に、罰金に対処する声明を発表し、“La Quadrature du Net”によって提出された最初の訴状は CNIL に提出されたものであるが、Amazon Europe Core がその管轄内に設立されたため、ケースを処理する権限があり、CNPD は有能な機関であったことを明らかにした。さらに、CNIL は、訴訟手続き全体を通じて CNPD と協力しており、ルクセンブルグの法律では上訴の可能なすべての選択肢が尽きるまで同じことが許可されていないため、CNPD によって決定がまだ公開されていないことを示した。さらに、CNIL は、“La Quadrature du Net” が GDPR の要件に沿って通知を受け、最初の訴状を提出したと述べた。

 2021.8.3 CNIL声明はフランス語でのみ読むことができる。

(3) CNPDはAmazonに問題がないことを確認(2021年8月6日)

 CNPDは2021年8月6日に声明を発表し、2021年7月15日にGDPRの第60条によって提供される協力メカニズムの一部として Amazonに関する決定を下したことを確認した。さらに、CNPD は、専門家の秘密保持規則に拘束されているため、特定のケースに関する詳細を伝えることはできないと付け加え、決定の公開は追加の制裁と見なされることをさらに指摘した。

 またCNPD は、控訴期間は 3 か月であると述べた。CNPD声明はフランス語でのみ読むことができる。

2.2021.10ルクセンブルク大公国: 行政裁判所の長官が、Amazon GDPR コンプライアンスのための CNPD の命令を一時停止の決定

  Amazonは2021年10月に上訴し、Amazonは罰金に対して、「データ侵害はなく、顧客データが第三者に公開されたことはない」とコメントした。これは事実かもしれないが、GDPR 内に存在する規則に違反するために、企業がデータ侵害を被っている必要はない。Amazonはこの決定に対して控訴し、ルクセンブルグ行政裁判所に対し、2022年1月15日までに遵守命令を一時停止するよう求めた。

(1)ルクセンブルク大公国: 行政裁判所の長官決定

 これを受け、行政裁判所の長官は、2021 年 12 月 17 日に決定(ORDONNANCE)を発表した。これにより、Amazon ヨーロッパ 本部(Amazon Europe Core S.à.r.l)に対するケース No.26/FR2021 における国家データ保護委員会 (「CNPD」)の決定が部分的に停止された。S.à.r.lは、そのターゲット広告システムに関して、具体的には、Amazon が一般データ保護規則 (Regulation (Regulation(EU)2016/679)(「GDPR」)から 6 か月以内が遵守期限である。

ルクセンブルグ大公国の裁判制度図から抜粋

 

GDPR違反問題(背景)

 特に、CNPDの最初の決定は、AmazonがGDPRの第6条(1)、第12条、第13条、第14条、第15条、第16条、第17条、および第21条に違反していることを発見し、その結果、罰金を課し、Amazon にその遵守を要求した。 GDPRの前述の規定に従い、通知日から6か月以内に是正措置を実施しない場合、1日あたり 746,000 ユーロ(約1億742万円)の追加料金を支払う必要がある。より具体的には、そのような是正措置には以下が含まれる。

①行動ターゲティング広告の目的で実行される個人データの処理が、GDPR の第 6 条(1)に規定されている法的根拠に依存していることを確認する。

②GDPRの第12条、第13条、および第15条に規定されているように、行動広告の目的で実行される個人データの処理の透明性の原則を尊重する。

③アクセス、修正、または消去に対するデータ主体の要求への対応が、GDPR の第15条、第16条、および第17条に準拠していることを確認する。

④オプトアウトの同意メカニズムをGDPRの第21条に沿って導入し、ダイレクト マーケティングの目的で実行されるすべての処理活動をカバーするようにする。

 したがって、長官の決定は、Amazonが欧州人権条約(The European Convention on Human Rights)第13条および欧州連合基本権憲章(CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION (2000/C 364/01))第47条 (注4)に基づきCNPDの決定の執行停止を要求したと説明している。

行政裁判所の認定

 実務慣行の是正措置に関して、行政裁判所の長官は、Amazon にターゲット広告システムを GDPR に準拠させるように求めるCNPDの要求に従い、Amazonは、2022年1月15日より前に、これに準拠する必要があるとした。

最終結果からみた課題

 その結果、行政裁判所の長官は、CNPD の決定の執行を停止するという Amazon の要求を部分的に認める命令を発行した。つまり、前述の実務慣行に関する是正措置を実施し、GDPR 条項を遵守するという CNPD の命令を部分的に認めたのである。しかし、行政裁判所の長官は、ルクセンブルグ国によって罰金が一時停止されたことを指摘し、長官の決定は罰金の問題に対処していないことを明らかにした。最後に、同法廷は、CNPD の決定に対するAmazonの控訴がまだ保留中であることを念を押した。

 プレスリリースはこちらで、長官決定はここで読むことができるが、どちらもフランス語でのみ入手可能である。

(2)ルクセンブルグ法務省のリリース文

 2021年12月17日、ルクセンブルグ大公国行政裁判所長官は、7億4600万ユーロ(約1074億2400万円)の行政罰金を科す国家データ保護委員会(CNPD)の2021年7月15日の決定の執行停止を求めるAmazon Europe Core S.à.r.l 社が提出した要求を部分的に認める命令を出した。 また、通知から6か月以内に、毎日746,000ユーロ(約1億742万円)の罰金を科せて是正措置を実施することを要求した。

 行政裁判所の長は、広告システムを一般データ保護規則(GDPR)に準拠させるためにCNPDがAmazon Europe Core S.à.r.l 社に罰則の下で発行したさまざまな差し止め命令が明確な条件で策定されていないと正確で不確実性がなく、設定された期限内、つまり2022年1月15日までに満たすことができる条件の下で暫定的に判断した。

 金額で7億4600万ユーロの罰金の問題は対処されておらず、この罰金の回収は現在国によって停止されている。

 ただし、問題の命令には決定的な権限はない。実務慣行の修正のための訴訟は、無効ではないにしても、本案の裁判官として構成に座って、行政裁判所におけるその3つの部分で取られた同じ決定に対してまだ係属中である。

 2021年7月15日、ルクセンブルクの国家データ保護委員会(CNPD)が科した7億4,600万ユーロ (7億3,500万ドル)の罰金に対するAmazonの控訴は、2024年1月にルクセンブルクの裁判所で審理される予定であると裁判所は12月17日発表した。

 ルクセンブルグ行政裁判所は、2024年1月9日に公聴会を開く予定であると裁判所の書記官はLexisNexisのMLexに語った。

 3.フランス国務院(Conseil d'Etat )が CNIL の Amazon に対する 3,500 万ユーロ(約50億4000万円)の罰金を確認

 dataguidance解説記事およびhuntonprivacyblogの解説記事をあわせ仮訳する。

 フランスのデータ保護機関(La Commission Nationalede l'Informatiqueet des Libertés(情報処理と自由に関する国家委員会:CNIL)は、2022年6月28日にフランス行政・行政裁判機関である国務院(Conseil d'Etat )が、2020年12月からのCNILの決定12/16(32)を2022年6月27日に確認したことを発表した。 Amazon Europe Core S.à.r.l 社のデータ処理、データファイルおよび個人の自由に関する 1978年1月6日の法律第78-17号 (フランスがGDPR を実施するために修正された法律) (以下、「法律」という) の第82条の違反に対し、(1)デバイスに広告Cookieを設定する前に、フランス語版の Google 検索エンジン(google.fr)のユーザーの同意を得る、(2)クッキーの使用に関する適切な情報をユーザーに提供する、(3)ユーザーがCookie を拒否できるように、完全に効果的なオプトアウト・メカニズムを実装するという要件に違反した。

 同日、CNILは、(1)デバイス上で広告Cookieを設定する前にamazon.frサイトのユーザーの同意を得なかったとして、同じ規則に基づいて、Amazonヨーロッパ 本部に3,500万(約50億4000万円)の罰金を科す、(2)クッキーの使用に関する適切な情報を提供することとしたと発表した。・・」

 事件の背景

 特に、CNILは、事前の同意なしにユーザーのデバイスにCookieを配置し、それに関する情報提供義務を怠ったことに関連して、GDPR第82条の2つの違反の事実を発見した。

国務院の所見

 国務院は、その決定の中で、EUの一般データ保護規則(規則(EU)2016/679)(「GDPR」)に基づくワンストップ・ショップ(注5)メカニズムの範囲外で、Cookieに関連して制裁を課す権限がCNILにあるとみなし、次のように述べている。CNILは、データ管理者がフランス国内に設立されていないが、フランス国内で活動を行っている場合でも、GDPR第82条の違反事案を認める可能性があり、この場合、Amazon Online France が販売するマーケティングおよび広告ツールに関連する責任を負う。

国務院の結論

 その結果、国務院(Conseil Etat )は、Amazon が同法第 82 条の両方の違反を実行したことを確認し、課された罰金は、アマゾンの違反の深刻さ、処理活動の範囲および財政状態に関して不釣り合いではないと考える。

 CNIL のプレスリリースはこちらで、Conseil d'Etat の決定原文はこちらで読むことができる。どちらもフランス語でのみ入手できる。

 

********************************************************************

(注1) Amazon Europe Core S.à rl (ウェブサイト amazon.de の技術的な運営):

Amazon Europe Core S.à rl (Société à responsabilité limitée), 38 avenue John F. Kennedy, L-1855 Luxemburg (資本金: 154.560 ユーロ; RCS ルクセンブルグに登録番号: B-180022; 事業許可番号: 10040783 ; VAT 登録番号: LU 26375245)。同社代表は、Sanjay Balakrishnan 氏。

Sanjay Balakrishnan氏

(注2) 国家データ保護委員会の組織および一般データ保護フレームワークに関する 2018 年8月1日の法律(Act of 1 ugust 2018 on the organisation of the National Data Protection Commission and the general data protection framework)

IX章 - 職業上の秘密

第42条 ルクセンブルグ刑事訴訟法第 23 条を害することなく、CNPD のために活動を行っている、または行っていたすべての者は、職務上守秘義務に拘束され、秘密が侵害された場合はルクセンブルグ刑法第 458 条に規定された罰則の対象となる。この秘密は、彼らの専門的活動の過程で受け取った秘密情報が、監督の対象となる人物を特定することを許可しない要約または集約された形式を除いて、秘密の違反の場合の法律により、いかなる人物または当局にも開示できないことを求める。

(注3)第XI 章 制裁

第 52条. CNPD は、制裁を受けた者の費用負担で、次の条件で、定期的な罰金支払いの賦課に関する決定を除き、その決定の全部または一部の公開を命じることができる。

第1号 決定に対する上訴のあらゆる手段が尽くされ、かつ

第2号 出版物は、関係者に不当な損害を与える危険性がないこと。

(注4)第47条の原文をあげる。

CHAPTER VI

JUSTICE

Article 47 Right to an effective remedy and to a fair trial

Everyone whose rights and freedoms guaranteed by the law of the Union are violated has the right to an effective remedy before a tribunal in compliance with the conditions laid down in this Article.

Everyone is entitled to a fair and public hearing within a reasonable time by an independent and impartial tribunal previously established by law. Everyone shall have the possibility of being advised,defended and represented.

Legal aid shall be made available to those who lack sufficient resources in so far as such aid is necessary to ensure effective access to justice.

(注5)ワンストップ・ショップとは、ある分野において、関連するあらゆる商品を取り揃える販売形態のことである。そこに1度立ち寄るだけで、商品の販売から各種手続き、アフターサービスまでが一手にまかなえるような商店の形容である。

************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

ウクライナ共同捜査チームの国家当局が米国司法省との了解覚書(MoU)に署名:このMoU は、JIT 加盟国と米国の間のそれぞれの調査と起訴における調整を正式化、促進させる

  欧州司法協力機構(Eurojust) がウクライナを支援する共同捜査チーム (Ukraine joint investigation team : JIT) に参加している 7 か国の国家当局は、ウクライナで犯された疑いのある中核的な国際犯罪について、米国司法省との間で了解覚書 (以下、MoU) に署名した。この MoU は、ウクライナでの戦争に関連するそれぞれの調査において、JIT パートナー国と米国当局との間の調整を強化する。  このMoU は 3 月 3 日(金)に、7 つの JIT パートナー国の検察当局のハイレベル代表者と米国連邦司法長官メリック B. ガーランド(Merrick B. Garland)によって署名された。  筆者は 2022年9月23日のブログ 「ロシア連邦のウクライナ軍事進攻にかかる各国の制裁の内容、国際機関やEU機関の取組等から見た有効性を検証する!(その3完)」の中で国際刑事裁判所 (ICC)の主任検察官、Karim A.A. Khan QC氏 の声明内容等を紹介した。  以下で Eurojustのリリース文 を補足しながら仮訳する。 President Volodymyr Zelenskiy and ICC Prosecutor Karim A. A. Khan QC(ロイター通信から引用) 1.ウクライナでのJITメンバーと米国が覚書に署名  (ウクライナ)のICC検事総長室内の模様;MoU署名時   中央が米国ガーランド司法長官、右手がICCの主任検察官、Karim A.A. Khan QC氏  MoUの調印について、 Eurojust のラディスラフ・ハムラン(Ladislav Hamran)執行委員会・委員長 は次のように述べている。我々は野心のために団結する一方で、努力においても協調する必要がある。それこそまさに、この覚書が私たちの達成に役立つものである。JIT パートナー国と米国は、協力の恩恵を十分に享受するために、Eurojustの継続的な支援に頼ることができる。  米国司法長官のメリック B. ガーランド(Merrick B. Garland)氏は「米国が 7 つの JIT メンバー国全員と覚書に署名する最初の国になることを嬉しく思う。この歴史的な了解覚書は、ロシアのウクライナ侵攻に起

カリフォルニア州司法長官ハビア・バセラ氏の保健福祉省長官指名と議会上院における公聴会ならびに承認採決の僅差結果

 バイデン政権の今後を占ううえで欠かせない閣僚人事に関し、新たな動きがみられた。  すなわち、 AP通信 は(https://www.wtnh.com/news/health/becerra-confirmed-to-head-up-bidens-ambitious-health-agenda/)は次のとおり報じた。  「連邦議会上院 は3月18日木曜日、カリフォルニア州司法長官のハビア・バセラ(Xavier Becerra)氏(1958生まれ)をジョー・バイデン大統領がおす保健福祉省(U.S. Department of Health and Human Services (HHS) )(https://www.hhs.gov/about/index.html)長官として承認し、政府のコロナウイルス対応と、薬剤費の削減、保険適用範囲の拡大、医療における人種格差の解消という野心的な推進において重要な位置を占めることとなった。」 Xavier Becerra 氏  バイデン大統領はカマラ副大統領(元カリフォルニア州司法長官)に引き続き、バセラ長官を連邦政府の代表機関である保健福祉省の長官に指名する本当の理由はどこにあるのか。  確かに、閣僚人事をきめるうえで、多民族国家米国の統一化、結束を強く訴える大統領の考えは、理解できる。しかし、大統領の本音はそれだけではあるまい。長期民主党政権の維持野ための人事の若返り、世界的に見た知名度、行政手腕などの要素を踏まえれの判断かもしれない。  ところで、筆者は歴代のカリフィルニア州の司法長官とはメールのやり取りしており、両氏の今回の就任は”Congratulation”と言いたいだけでなく、わが国の対米戦略を考えるうえで両氏との率直な意見交換も行いたいという気持ちがある。  他方、筆者が強く興味があるのは、今回の人事の例にみられるとおり、民主、共和党が党員数が僅差な議会運営の難しさである。  その意味で、今回の議会上院公聴会でのバセラ氏の陳述内容、また反対議員の発言内容等につき直接確認したと考えていた。  これらの情報を探るうえで重要な公式動画情報源は上院の場合は”Floor Webcast”、下院では”House Live”である。 (注1)  また、米国ではこれらの情報は”youtube ”でも確認できるが

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)に具体的