昨年、欧州連合(EU)加盟国のデータ保護機関の代表者で構成される第29条作業部会(WP29)は、WhatsAppとFacebookのデータ共有をめぐり、WhatsAppの調査を開始しました。調査後、同作業部会はFacebookに対し書簡を送付し、WhatsAppが依然として欧州連合(EU)のプライバシー法を遵守していないことを通告しました。
Facebookのデータ保護法違反
WP29は書簡の中で、Facebook社は依然として、古いデータ保護指令(EU加盟国が適切と思われる方法で実施できる、より一般的な法律)にも、昨年可決され2018年半ばまでに発効される新しい一般データ保護規則(すべてのEU加盟国が同様に実施しなければならない法律)にも準拠していないと指摘した。
Facebook社は、EU本部がアイルランドにあるため、それらの国はFacebook社に対して管轄権を持たないといった技術的な理由で、EU内の一部のデータ保護当局の目を逃れることに成功している。
しかし、Facebookがこの件を長く逃れられるとは限らない。最近、欧州連合司法裁判所(CJEU)の首席顧問が、ある訴訟に関する意見を発表し、EU内のどのデータ保護当局も、EUのプライバシー法違反を理由にFacebookに対して訴訟を起こすことができると述べた。CJEUは概ねこの顧問の意見と同様の判決を下しているため、複数のデータ保護当局が近いうちにFacebookに対し、法律違反を理由に罰金を科すことができるようになるかもしれない。
WhatsAppの同意メカニズムは欠陥がある
WhatsAppは、Facebookとのデータ共有をユーザーの同意に基づく法的根拠に基づいて行うよう提案している。しかし、WP29は、WhatsAppの同意取得メカニズムに欠陥があると指摘した。
WP29は、同意を「明確で、具体的で、十分な情報に基づいた、自由意志に基づくもの」と定義しています。2016年には、新しいデータ保護規則が同意についてより詳細に規定しました。同規則では、同意は「明確な表明または肯定的な行動で構成され、実証可能で、明確に区別でき、理解可能で、容易にアクセスでき、明確な言葉が用いられ、撤回可能である必要がある」と規定されています。
情報提供
WhatsAppは、Facebookとのデータ共有についてユーザーへの通知に関して、かなり的外れだったようだ。ユーザーには今年初め、以下の通知が表示されただけだった。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
WhatsAppは、WhatsApp通話などの新機能に対応するため、利用規約とプライバシーポリシーを更新しています。利用規約とプライバシーポリシーをお読みになり、ご利用いただける選択肢についてご確認ください。引き続きWhatsAppをご利用いただくには、利用規約とプライバシーポリシーにご同意ください。ご同意いただけない場合は、WhatsAppのご利用を中止してください。
WP29は、WhatsAppがユーザーにあまり多くのテキストを表示できないという事実は認めていると述べたが、少なくともボタンをクリックすることに同意するとユーザーのデータがFacebookと共有されることをWhatsAppはユーザーに伝えることができたはずだとも考えている。
その代わりに、WhatsApp はその段落の半分を、新しい利用規約に同意しない場合は WhatsApp を今後使用できなくなるというユーザーへの警告に重点的に使ったようだ。
さらに、WP29は、WhatsAppの段落では、新しいプライバシーポリシーの更新は新しい通話機能の実装によるものであるという印象をユーザーに与えているようだと指摘した。
プライバシー保護団体は、WhatsAppが「続きを読む」セクションでFacebookとのデータ共有について説明している内容にも不満を抱いている。WhatsAppは「アカウント情報」が共有され、電話番号とチャットは共有されないとのみ言及している。しかし、他にどのようなアカウント情報が共有される可能性があるかについては詳細に言及していない。
自由に与えられた&具体的な
現時点ではFacebookとWhatsAppはどちらも多くの欧州人の生活に深く根付いているため、WP29は、WhatsAppが新しい規約に同意するかサービスの利用を停止するかを選択できるとユーザーに伝えたとき、ユーザーに実際の選択肢を与えなかったと考えている。
WhatsAppは、ユーザーが自分のデータをFacebookと共有するかどうか、またいつ共有するかを決定できるような、よりきめ細かな制御を提供できたはずです。WP29は、ユーザーがFacebookと共有するデータについて、具体的な同意を与えるか拒否するかを選択できるべきであるにもかかわらず、同意が十分に具体的でなかったのもこのためだと考えています。
明確な
WP29によると、WhatsAppは「Facebookの広告と製品体験を改善する」目的で事前にチェックを入れたチェックボックスを使用した際、ユーザーから「明確な」同意を得ることができなかったという。
WP29は、データ処理は公正でなければならないと主張しました。しかし、WhatsAppがFacebookとのデータ共有に関して透明性を欠いているため、WP29はWhatsAppとFacebookのデータ処理はユーザーにとって不公平であると考えています。
EUのプライバシー保護団体はまた、WhatsAppに対し、法律で義務付けられている通り、ユーザーがFacebookとのデータ共有への同意をいつでも撤回できる機会を提供するよう求めた。
WP29がWhatsAppの代替案を提案
WP29は、WhatsAppに対し、同意に基づいてデータを収集することが困難であると判断した場合、必ずしも同意に基づいて収集する必要はないことを改めて示しました。代わりに、WhatsAppは「正当な利益」という法的根拠を主張することができ、これによりWhatsAppはユーザーの同意を得ずにデータを収集できるようになります。
しかし、落とし穴があります。WhatsAppがデータ収集の法的根拠としてこの方法を選択した場合、収集したデータがサービスの機能のみに使用されていることを証明する必要があります。つまり、ターゲット広告のためにユーザーデータをFacebookと共有したり、他の企業に販売したりすることはできません。
この正当な利益の法的根拠の下では、WhatsApp ははるかに厳しいデータ保護規則の対象となるため、Facebook と WhatsApp が急いでこの道を進まない理由が分かります。
WP29は、Facebookが同グループが提起した問題を解決するまで、WhatsAppとFacebookのデータ共有を一時停止することが「極めて重要」であると述べた。WP29は、近い将来開催される会合にWhatsAppとFacebookを招集し、すべての懸念事項への対応策を策定するよう求めた。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
