「いいね！」ボタン設置者にもデータ保護責任、CJEU法務官が意見書

EU司法裁判所（CJEU）は12月19日、ウェブサイト閲覧者の個人データを取得・送信し得る第三者が提供するプラグイン（ウェブ閲覧用ソフトの機能を拡張するためのプログラム）をサイト運営者がウェブサイトに埋め込んだ場合、その運営者もデータの取得・送信に関する共同責任を負うとする法務官の意見書を公表した。今後発表されるCJEUの裁定に対する拘束力はないが、法的な見地から解決策を提案するものとなる。

合意が必要な場合はサイト運営者が取得

この意見書は、ドイツの消費者団体がアパレル通販サイト運営企業に対して、ソーシャル・ネットワーキング・サービス（SNS）大手フェイスブックの「いいね！」ボタンの利用禁止を求めたことに端を発する。この通販サイトにアクセスする（land on）と「いいね！」ボタンをクリックしたか否か、フェイスブックに登録しているか否かにかかわらず、閲覧者のIPアドレスとブラウザ情報がフェイスブックに送信される仕組みになっていた。

CJEU法務官は、「いいね！」プラグインを設置した通販サイト運営企業とフェイスブックはデータの共同管理者と見なされると指摘。個人データの取得と送信において、目的と手段を共同で決定していた可能性があると指摘し、運営企業もそのデータ処理活動の共同責任を負っていると判断した。一方、目的と手段の決定に関わらないプロセスについては、責任を問うことはできないとした。

このほか、データ処理の適法性については、データの共同管理者の正当な利益とウェブサイトの閲覧者の権利を共に考慮することを提案。また、閲覧者のデータ提供の合意が必要となる場合は、サイト運営者がそれを取得し、データ取得に関する情報提供の義務も運営者にあるとした。

この意見書は、現行の「一般データ保護規則（GDPR）」の先行法令であるデータ保護指令95／46を根拠とするものだが、プラグインを組み込んだサイト運営者にも責任を認めた点で注意が必要だ。

（村岡有）