筆者は2021月8月7 日blogで「ルクセンブルグのDPAであるCNPDがGDPR違反を理由に米Amazon LLCに対し過去最高額7億4600万ユーロの制裁金を科す旨公表」を取り上げた。
この段階で筆者の手元には関係機関の詳しい情報がなく、またその後のルクセンブルグの行政裁判所の決定問題やフランスCNILのAmazon に対する 3,500 万ユーロ(約50億4000万円)の罰金決定を巡る国務院の判断等多くの動きが見られた。
さらに、最近ではアイルランドの情報保護機関がfacebookの親会社Meta platform に対するGDPR違反による2 億 6,500 万ユーロ(約382億9000万円)の罰金とさまざまな是正措置を課した旨紹介した。
今回のブログはこれらの動向を総括すべく、その正確性を確保すべく、改めて書き直したものである。
1.Amazon EU本部のDOPR違反に関するルクセンブルグ国家データ保護委員会 (CNPD)のリリース文とOneTrust Data Guidanceの解説
(1) Amazon.com, Inc.は、2021年7月29日に、1934年米国証券取引法第15条第6項第13項に従って四半期報告書のなかでCNPD決定による高額罰金や実務慣行の修正命令を受けたことを公開
Amazon.com, Inc.は、2021 年7月29日に、1934年証券取引法第15条第6項、第13項に従って、四半期報告書を発行した。特に、13 ページの法的手続きに関するセクションで、Amazon は次のように概説している。
ルクセンブルグ国家データ保護委員会 (Commission nationale pour la protection des données :CNPD)は、2021年7月15日に、アマゾン・ヨーロッパ本社(Amazon Europe Core S.à.r.l)(注1)に対して、Amazon の個人データの処理が一般データ保護規則 (EU) 2016/679)(「GDPR」第60条に準拠していないと主張する決定を下した。
しかし、データ保護に関するルクセンブルグの国内法は、CNPD を職業上の秘密に拘束し(第42条)(注2)、個々のケースについてコメントすることを禁止している。さらに、CNPD の決定を完全かつ明確に公表することは、追加の制裁と見なされる (第52条)(注3)。したがって、上訴の期限が切れる前にCNPD決定を公開することはできない。
CNPD の決定に対する上訴は、訴訟の本案を裁定する行政裁判所に提出することができる。その控訴期限は3か月である。
具体的には、このCNPD決定により、7 億 4,600 万ユーロ(約1074億2400万円)の罰金とそれに対応する実務慣行の修正が課せられた。最後に、Amazonは、この件に関して積極的に弁護するつもりであると述べた。
さらに、フランスの人権擁護団体“La Quadrature du Net”は声明を発表し、この決定は2018 年 3 月に Amazon に対して開始された集団訴訟に続くものであることを明らかにし、このCNPD決定により、Amazonが使用するターゲット広告システムが自由に与えられた同意に基づいていないことが判明したことをさらに指摘した。また、この罰金額は、GDPR の下でこれまでに課された最大の金額であると述べている。
Amazonの四半期報告書はここで 、La Quadrature du Netの声明はここで読むことができる。
(2)フランスCNIL はCNPD決定を、確認、支援(One Trust Data Guidanceの追加情報 (2021年8月3日)
フランスのLa Commission Nationalede l'Informatiqueet des Libertés(情報処理と自由に関する国家委員会:CNIL)はCNPD決定を確認し、同時にCNPD の公開がないことを明確にした。
CNILは、2021年8月3日に、罰金に対処する声明を発表し、“La Quadrature du Net”によって提出された最初の訴状は CNIL に提出されたものであるが、Amazon Europe Core がその管轄内に設立されたため、ケースを処理する権限があり、CNPD は有能な機関であったことを明らかにした。さらに、CNIL は、訴訟手続き全体を通じて CNPD と協力しており、ルクセンブルグの法律では上訴の可能なすべての選択肢が尽きるまで同じことが許可されていないため、CNPD によって決定がまだ公開されていないことを示した。さらに、CNIL は、“La Quadrature du Net” が GDPR の要件に沿って通知を受け、最初の訴状を提出したと述べた。
2021.8.3 CNIL声明はフランス語でのみ読むことができる。
(3) CNPDはAmazonに問題がないことを確認(2021年8月6日)
CNPDは2021年8月6日に声明を発表し、2021年7月15日にGDPRの第60条によって提供される協力メカニズムの一部として Amazonに関する決定を下したことを確認した。さらに、CNPD は、専門家の秘密保持規則に拘束されているため、特定のケースに関する詳細を伝えることはできないと付け加え、決定の公開は追加の制裁と見なされることをさらに指摘した。
またCNPD は、控訴期間は 3 か月であると述べた。CNPD声明はフランス語でのみ読むことができる。
2.2021.10ルクセンブルク大公国: 行政裁判所の長官が、Amazon GDPR コンプライアンスのための CNPD の命令を一時停止の決定
Amazonは2021年10月に上訴し、Amazonは罰金に対して、「データ侵害はなく、顧客データが第三者に公開されたことはない」とコメントした。これは事実かもしれないが、GDPR 内に存在する規則に違反するために、企業がデータ侵害を被っている必要はない。Amazonはこの決定に対して控訴し、ルクセンブルグ行政裁判所に対し、2022年1月15日までに遵守命令を一時停止するよう求めた。
(1)ルクセンブルク大公国: 行政裁判所の長官決定
これを受け、行政裁判所の長官は、2021 年 12 月 17 日に決定(ORDONNANCE)を発表した。これにより、Amazon ヨーロッパ 本部(Amazon Europe Core S.à.r.l)に対するケース No.26/FR2021 における国家データ保護委員会 (「CNPD」)の決定が部分的に停止された。S.à.r.lは、そのターゲット広告システムに関して、具体的には、Amazon が一般データ保護規則 (Regulation (Regulation(EU)2016/679)(「GDPR」)から 6 か月以内が遵守期限である。
ルクセンブルグ大公国の裁判制度図から抜粋
GDPR違反問題(背景)
特に、CNPDの最初の決定は、AmazonがGDPRの第6条(1)、第12条、第13条、第14条、第15条、第16条、第17条、および第21条に違反していることを発見し、その結果、罰金を課し、Amazon にその遵守を要求した。 GDPRの前述の規定に従い、通知日から6か月以内に是正措置を実施しない場合、1日あたり 746,000 ユーロ(約1億742万円)の追加料金を支払う必要がある。より具体的には、そのような是正措置には以下が含まれる。
①行動ターゲティング広告の目的で実行される個人データの処理が、GDPR の第 6 条(1)に規定されている法的根拠に依存していることを確認する。
②GDPRの第12条、第13条、および第15条に規定されているように、行動広告の目的で実行される個人データの処理の透明性の原則を尊重する。
③アクセス、修正、または消去に対するデータ主体の要求への対応が、GDPR の第15条、第16条、および第17条に準拠していることを確認する。
④オプトアウトの同意メカニズムをGDPRの第21条に沿って導入し、ダイレクト マーケティングの目的で実行されるすべての処理活動をカバーするようにする。
したがって、長官の決定は、Amazonが欧州人権条約(The European Convention on Human Rights)第13条および欧州連合基本権憲章(CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION (2000/C 364/01))第47条 (注4)に基づきCNPDの決定の執行停止を要求したと説明している。
行政裁判所の認定
実務慣行の是正措置に関して、行政裁判所の長官は、Amazon にターゲット広告システムを GDPR に準拠させるように求めるCNPDの要求に従い、Amazonは、2022年1月15日より前に、これに準拠する必要があるとした。
最終結果からみた課題
その結果、行政裁判所の長官は、CNPD の決定の執行を停止するという Amazon の要求を部分的に認める命令を発行した。つまり、前述の実務慣行に関する是正措置を実施し、GDPR 条項を遵守するという CNPD の命令を部分的に認めたのである。しかし、行政裁判所の長官は、ルクセンブルグ国によって罰金が一時停止されたことを指摘し、長官の決定は罰金の問題に対処していないことを明らかにした。最後に、同法廷は、CNPD の決定に対するAmazonの控訴がまだ保留中であることを念を押した。
プレスリリースはこちらで、長官決定はここで読むことができるが、どちらもフランス語でのみ入手可能である。
(2)ルクセンブルグ法務省のリリース文
2021年12月17日、ルクセンブルグ大公国行政裁判所長官は、7億4600万ユーロ(約1074億2400万円)の行政罰金を科す国家データ保護委員会(CNPD)の2021年7月15日の決定の執行停止を求めるAmazon Europe Core S.à.r.l 社が提出した要求を部分的に認める命令を出した。 また、通知から6か月以内に、毎日746,000ユーロ(約1億742万円)の罰金を科せて是正措置を実施することを要求した。
行政裁判所の長は、広告システムを一般データ保護規則(GDPR)に準拠させるためにCNPDがAmazon Europe Core S.à.r.l 社に罰則の下で発行したさまざまな差し止め命令が明確な条件で策定されていないと正確で不確実性がなく、設定された期限内、つまり2022年1月15日までに満たすことができる条件の下で暫定的に判断した。
金額で7億4600万ユーロの罰金の問題は対処されておらず、この罰金の回収は現在国によって停止されている。
ただし、問題の命令には決定的な権限はない。実務慣行の修正のための訴訟は、無効ではないにしても、本案の裁判官として構成に座って、行政裁判所におけるその3つの部分で取られた同じ決定に対してまだ係属中である。
2021年7月15日、ルクセンブルクの国家データ保護委員会(CNPD)が科した7億4,600万ユーロ (7億3,500万ドル)の罰金に対するAmazonの控訴は、2024年1月にルクセンブルクの裁判所で審理される予定であると裁判所は12月17日発表した。
ルクセンブルグ行政裁判所は、2024年1月9日に公聴会を開く予定であると裁判所の書記官はLexisNexisのMLexに語った。
3.フランス国務院(Conseil d'Etat )が CNIL の Amazon に対する 3,500 万ユーロ(約50億4000万円)の罰金を確認
dataguidance解説記事およびhuntonprivacyblogの解説記事をあわせ仮訳する。
フランスのデータ保護機関(La Commission Nationalede l'Informatiqueet des Libertés(情報処理と自由に関する国家委員会:CNIL)は、2022年6月28日にフランス行政・行政裁判機関である国務院(Conseil d'Etat )が、2020年12月からのCNILの決定12/16(32)を2022年6月27日に確認したことを発表した。 Amazon Europe Core S.à.r.l 社のデータ処理、データファイルおよび個人の自由に関する 1978年1月6日の法律第78-17号 (フランスがGDPR を実施するために修正された法律) (以下、「法律」という) の第82条の違反に対し、(1)デバイスに広告Cookieを設定する前に、フランス語版の Google 検索エンジン(google.fr)のユーザーの同意を得る、(2)クッキーの使用に関する適切な情報をユーザーに提供する、(3)ユーザーがCookie を拒否できるように、完全に効果的なオプトアウト・メカニズムを実装するという要件に違反した。
同日、CNILは、(1)デバイス上で広告Cookieを設定する前にamazon.frサイトのユーザーの同意を得なかったとして、同じ規則に基づいて、Amazonヨーロッパ 本部に3,500万(約50億4000万円)の罰金を科す、(2)クッキーの使用に関する適切な情報を提供することとしたと発表した。・・」
事件の背景
特に、CNILは、事前の同意なしにユーザーのデバイスにCookieを配置し、それに関する情報提供義務を怠ったことに関連して、GDPR第82条の2つの違反の事実を発見した。
国務院の所見
国務院は、その決定の中で、EUの一般データ保護規則(規則(EU)2016/679)(「GDPR」)に基づくワンストップ・ショップ(注5)メカニズムの範囲外で、Cookieに関連して制裁を課す権限がCNILにあるとみなし、次のように述べている。CNILは、データ管理者がフランス国内に設立されていないが、フランス国内で活動を行っている場合でも、GDPR第82条の違反事案を認める可能性があり、この場合、Amazon Online France が販売するマーケティングおよび広告ツールに関連する責任を負う。
国務院の結論
その結果、国務院(Conseil Etat )は、Amazon が同法第 82 条の両方の違反を実行したことを確認し、課された罰金は、アマゾンの違反の深刻さ、処理活動の範囲および財政状態に関して不釣り合いではないと考える。
CNIL のプレスリリースはこちらで、Conseil d'Etat の決定原文はこちらで読むことができる。どちらもフランス語でのみ入手できる。
********************************************************************
(注1) Amazon Europe Core S.à rl (ウェブサイト amazon.de の技術的な運営):
Amazon Europe Core S.à rl (Société à responsabilité limitée), 38 avenue John F. Kennedy, L-1855 Luxemburg (資本金: 154.560 ユーロ; RCS ルクセンブルグに登録番号: B-180022; 事業許可番号: 10040783 ; VAT 登録番号: LU 26375245)。同社代表は、Sanjay Balakrishnan 氏。
Sanjay Balakrishnan氏
IX章 - 職業上の秘密
第42条 ルクセンブルグ刑事訴訟法第 23 条を害することなく、CNPD のために活動を行っている、または行っていたすべての者は、職務上守秘義務に拘束され、秘密が侵害された場合はルクセンブルグ刑法第 458 条に規定された罰則の対象となる。この秘密は、彼らの専門的活動の過程で受け取った秘密情報が、監督の対象となる人物を特定することを許可しない要約または集約された形式を除いて、秘密の違反の場合の法律により、いかなる人物または当局にも開示できないことを求める。
(注3)第XI 章 制裁
第 52条. CNPD は、制裁を受けた者の費用負担で、次の条件で、定期的な罰金支払いの賦課に関する決定を除き、その決定の全部または一部の公開を命じることができる。
第1号 決定に対する上訴のあらゆる手段が尽くされ、かつ
第2号 出版物は、関係者に不当な損害を与える危険性がないこと。
(注4)第47条の原文をあげる。
CHAPTER VI
JUSTICE
Article 47 Right to an effective remedy and to a fair trial
Everyone whose rights and freedoms guaranteed by the law of the Union are violated has the right to an effective remedy before a tribunal in compliance with the conditions laid down in this Article.
Everyone is entitled to a fair and public hearing within a reasonable time by an independent and impartial tribunal previously established by law. Everyone shall have the possibility of being advised,defended and represented.
Legal aid shall be made available to those who lack sufficient resources in so far as such aid is necessary to ensure effective access to justice.
(注5)ワンストップ・ショップとは、ある分野において、関連するあらゆる商品を取り揃える販売形態のことである。そこに1度立ち寄るだけで、商品の販売から各種手続き、アフターサービスまでが一手にまかなえるような商店の形容である。
************************************************************************
Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
コメント
コメントを投稿