ドイツ当局がFacebookに対し物議を醸している「WhatsApp」の利用規約を適用しないよう命令

今回は「ドイツ当局がFacebookに対し物議を醸している「WhatsApp」の利用規約を適用しないよう命令」についてご紹介します。

関連ワード（Facebook、GDPR、WhatsApp、ドイツ、プライバシー等）についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

ハンブルグのデータ保護機関（DPA）はFacebookに対し、WhatsAppの利用規約の強制的な更新に基づいて同社が自らにアクセスを許可しようとしている、WhatsAppの追加的なユーザーデータに関する処理を禁止した。

物議を醸しているWhatsAppのプライバシーポリシーのアップデートは、公表されて以来、世界中で広範な混乱を引き起こしてきた。Facebookはユーザーから大きな反発を受け、競合のメッセージングアプリが憤慨するユーザーの流入で恩恵を享受することに直面した。同社はすでにその施行を数カ月延期している。

インド政府もまた、WhatAppの利用規約の変更を法廷で阻止しようとしており、同国の反トラスト当局が調査を進めている。

関連記事
・ユーザーの反発を受けWhatsAppがプライバシー規約の施行を3カ月延期
・インド政府がWhatsAppの新プライバシーポリシーを法律違反として裁判所に差し止めを申請
・インドの独占禁止監視機関がWhatsAppのプライバシーポリシー変更に対する調査を命じる

全世界のWhatsAppユーザーは、5月15日までに新しい規約に同意しなければならない（WhatsAppのFAQによると、その後も利用規約の更新への同意を求めるリマインダーは継続されるという）。

Facebookは、同規約を求められたユーザーの大多数はすでにこれに同意したとしているが、そのユーザーの割合は公表されていない。

しかし、ハンブルグのDPAの介入により、少なくともドイツ国内ではFacebookによる利用規約の施行がさらに遅れる可能性がある。当局は欧州連合（EU）の一般データ保護規則（GDPR）で認められている緊急措置を採用し、同社に対し3カ月間データを共有しないよう命じた。

WhatsAppの広報担当者は、ハンブルグ当局の命令の法的有効性に異議を唱え、これを「WhatsAppのアップデートの目的と影響に対する根本的な誤解」だとし「したがって合法的な根拠はない」と主張した。

「今回のアップデートは、ユーザーがWhatsApp上の企業にメッセージを送る際のオプションを明白にして、私たちがデータをどのように収集し、利用しているかについての透明性をさらに高めるものです。ハンブルグのDPAの主張は誤りであり、その命令は今回のアップデートの継続的展開に影響を与えるものとはならないでしょう。私たちは引き続き、すべての人に安全でプライベートなコミュニケーションを提供することに注力していきます」と広報担当者は付け加え、Facebook傘下のWhatsAppがこの命令を黙殺することを意図している可能性を示唆した。

TechCrunchでは、Facebookがハンブルクの手続きを訴える選択肢を検討していると認識している。

ハンブルグが採用している緊急措置権限は3カ月を超えて延長することはできないが、当局は欧州データ保護評議会（EDPB）に対し介入を求め、27の加盟国ブロックに及ぶ「拘束力のある決定」を下すよう圧力をかけている。

TechCrunchはEDPBに連絡を取り、ハンブルグのDPAの要請に応えるためにどのような措置を取り得るかについて尋ねた。

EUのDPAは通常、特定の苦情に関連する拘束力を有するGDPRの決定には関与しない。ただし、国境を越えた案件を処理するためのワンストップショップ制度の下で、主任監督機関による審査のために提出されたGDPRの決定草案についてEUのDPAが合意できない場合は、この限りではない。

こうしたシナリオでは、EDPBが自ら拘束力のある判断を採択できるが、それが緊急性の高い手続きに適しているかどうかは不透明だ。

【更新】DPAが暫定措置を延長または最終的なものとすることを希望する場合のように、第66条に基づく暫定措置を採択する決定を通知した監督機関が、EDPBに対して緊急の意見あるいは緊急の拘束力のある決定を要請することをGDPRが認めていることについて、EDPBが確認した。

「第66条は、GDPRのワンストップショップ制度（第60条）および一貫性制度（第63条）の例外規定です」とEDPBの広報担当者はTechCrunchに語った。「これは、監督機関がその管轄内のデータ主体の権利および自由を保護するために行動する緊急の必要性があると考える場合に利用できる、補完的な手続きです」。

「ハンブルグ当局はEDPBに対し、暫定措置を採用する決定を通知済みです」と同担当者は言い添えた。

ドイツのDPAは、FacebookがEUのデータ保護規則を軽視しているとして同社を厳しく批判するだけでなく、同地域の統括データ監督機関であるアイルランドのデータ保護委員会（DPC）に対しても、WhatsAppの新しい利用規約に付随する非常に広範な懸念を調査していないとして遺憾の意を表明した。

（「データ共有の事実上の慣行を調査する主任監督機関への我々の要請は、今のところ尊重されていない」というのが、ハンブルグのプレスリリースにおけるこの批判に関する丁寧な表現である）。

TechCrunchはDPCの所見を照会しており、入手次第、本記事を更新する。

【更新】DPCの広報担当者は次のように語った。「ハンブルグはワンストップショップの例外としてこのプロセスを開始しており、ハンブルグのDPAにとって、緊急手続きを開始するためのしきい値をどのように満たすかについて対応することが重要です。WhatsAppに関するアイルランドのDPA草案の決定は、DPA間の合意に達することができなかったため、GDPRの第65条紛争解決手続を通して処理されます。したがって、そのコンテキストにおいてハンブルグのDPAは、すでに進行中であるワンストップショップ手続きの例外としての第66条の下で、自らの行動を適格化する必要があります」。

アイルランドのデータ監視機関は、GDPRの施行に関して創造的な規制措置を怠っていると批判されている（批判者たちは、委員長のHelen Dixon［ヘレン・ディクソン］氏と同氏が率いるチームに対し、多くの苦情の調査を実施せず、調査を開始した場合にはその調査に数年を要したことについて非難している）。

DPCが大手テック企業に対してこれまでに下した唯一のGDPRの決定（Twitterに対するもので、データ漏えいに関連している）は、他のEUのDPAとの論争に発展した。DPA側は、最終的にアイルランドが科した55万ドル（約6000万円）の罰金よりもはるかに厳しい罰則を求めている。

FacebookとWhatsAppに対するGDPR関連の調査について、DPCは依然として積み残したままである。WhatsAppのデータ共有の透明性に関する決定書の草案が2021年1月に他のEUのDPAに送られて審査に入っているが、この規制が適用されてから3年近く経った今もなお決議案は日の目を見ていない。

つまり、最大の大手テック企業に対するGDPRの施行が欠如していることに対する不満が、他のEUのDPAの間でも高まっている。DPAの中には、アイルランドを通じて多くの苦情を集めるワンストップショップ（OSS）制度のボトルネックを回避するために、創造的な規制措置を取っているところもある。

イタリアのDPAも2021年1月にWhatsAppの利用規約の変更について警告を発しており、変更内容についての明確な情報が不足していることを懸念してEDPBに連絡したと述べている。

EDPBはその時点で、監督当局間の協力を促進することがEDPBの役割であることを強調した。さらに「その権限に従ってEU全体でデータ保護法の一貫した適用を確保するため」、DPA間の情報交換を引き続き促進すると付言した。しかし、EUのDPA間の合意は常に脆弱であり、執行上のボトルネックや、OSSのフォーラムショッピングにより規制が維持されていないという認識をめぐる懸念が広がっている。

このことは、行き詰まりを打開して広範な規制の崩壊を回避する何らかの解決策、すなわちより多くの加盟国機関が一方的な「緊急」措置に訴える場合の対処に向けた対策を講じるようEDPBに求める圧力を高めることになるだろう。

ハンブルグのDPAは、WhatsAppの規約が更新されたことで、WhatsAppのユーザーの位置情報をFacebookに渡したり、企業がFacebookのホスティングサービスを利用した場合にWhatsAppユーザーの通信データを第三者に譲渡できるようにするなど、WhatsApp自体の目的（広告やマーケティングを含む）のために「Facebookとデータを共有する広範囲な権限」がWhatsAppに与えられるとしている。

FacebookはEU法の下でデータ共有を拡大する法的基盤としての合法的な利益に依存することはできない、と同局は判断している。

また、大手テック企業がユーザーの同意に依存しようとしている場合、変更が明確に説明されていないことや、ユーザーが同意に関する自由な選択（これはGDPRで要求されている基準である）を提供されていないことから、基準を満たしていないことになる。

「新しい規約に関する調査により、FacebookがWhatsAppユーザーのデータをいつでも自分たちの目的のために利用できるようにするために、両社の密接な関係をさらに拡大しようとしていることが明らかになりました」とハンブルグ当局は続けた。「プロダクトの改善と広告の領域に関して、WhatsAppはデータ主体のさらなる同意を要求することなく、データをFacebook企業に渡す権利を留保しています。その他の領域については、現時点ですでにプライバシーポリシーに則った自社利用が想定されています」。

「WhatsAppとそのFAQによって提示されたプライバシーポリシーには、例えば、電話番号やデバイスIDなどのWhatsAppユーザーのデータが、ネットワークセキュリティやスパムの送信防止などの共同目的のために、すでに企業間で交換されていることが記述されています」。

ハンブルグをはじめとする各DPAは、当時TechCrunchが報じたように、EUの最高裁判所のアドバイザーによる最近の意見を参考にして、GDPRの施行に関する問題を自らの手で解決しようとしているのかもしれない。Bobek（ボベック）法務官は、EU法は「緊急措置」を採用するため、または「事案を処理しないことを決定した主要データ保護当局に従って」介入するためなど、特定の状況において各機関が独自の手続きを取ることを認めているとの見解を示した。

この件に関するCJEU（欧州司法裁判所）の裁定はまだ係争中だが、法廷はアドバイザーの見解に同調する傾向が強くなっている。

関連記事：フェイスブックのEU米国間データ転送問題の決着が近い

画像クレジット：Justin Sullivan / Getty Images

【原文】

The Hamburg data protection agency has banned Facebook from processing the additional WhatsApp user data that the tech giant is granting itself access to under a mandatory update to WhatsApp’s terms of service.

The controversial WhatsApp privacy policy update has caused widespread confusion around the world since being announced — and already been delayed by Facebook for several months after a major user backlash saw rivals messaging apps benefitting from an influx of angry users.

The Indian government has also sought to block the changes to WhatApp’s T&Cs in court — and the country’s antitrust authority is investigating.

Globally, WhatsApp users have until May 15 to accept the new terms (after which the requirement to accept the T&Cs update will become persistent, per a WhatsApp FAQ).

The majority of users who have had the terms pushed on them have already accepted them, according to Facebook, although it hasn’t disclosed what proportion of users that is.

But the intervention by Hamburg’s DPA could further delay Facebook’s rollout of the T&Cs — at least in Germany — as the agency has used an urgency procedure, allowed for under the European Union’s General Data Protection Regulation (GDPR), to order the tech giant not to share the data for three months.

A WhatsApp spokesperson disputed the legal validity of Hamburg’s order — calling it “a fundamental misunderstanding of the purpose and effect of WhatsApp’s update” and arguing that it “therefore has no legitimate basis”.

“Our recent update explains the options people have to message a business on WhatsApp and provides further transparency about how we collect and use data. As the Hamburg DPA’s claims are wrong, the order will not impact the continued roll-out of the update. We remain fully committed to delivering secure and private communications for everyone,” the spokesperson added, suggesting that Facebook-owned WhatsApp may be intending to ignore the order.

We understand that Facebook is considering its options to appeal Hamburg’s procedure.

The emergency powers Hamburg is using can’t extend beyond three months but the agency is also applying pressure to the European Data Protection Board (EDPB) to step in and make what it calls “a binding decision” for the 27 Member State bloc.

We’ve reached out to the EDPB to ask what action, if any, it could take in response to the Hamburg DPA’s call.

The body is not usually involved in making binding GDPR decisions related to specific complaints — unless EU DPAs cannot agree over a draft GDPR decision brought to them for review by a lead supervisory authority under the one-stop-shop mechanism for handling cross-border cases.

In such a scenario the EDPB can cast a deciding vote — but it’s not clear that an urgency procedure would qualify.

Update: The EDPB confirmed the GDPR allows for a supervisory authority that’s notified it of a decision to adopt provisional measures under Article 66 to request an urgent opinion or urgent binding decision from the Board — such as in the event that the DPA wants to extend the measures or make them final.

“Art. 66 is a derogation of the GDPR’s One-Stop-Shop mechanism (Art. 60) & the consistency mechanism (Art. 63),” an EDPB spokeswoman told us. “It is a complementary procedure that can be used when a supervisory authority considers that there is an urgent need to act in order to protect the rights and freedoms of data subjects within its territory.”

“The Hamburg SA has indeed notified the EDPB of its decision to adopt provisional measures,” she added.

In taking the emergency action, the German DPA is not only attacking Facebook for continuing to thumb its nose at EU data protection rules but throwing shade at its lead data supervisor in the region, Ireland’s Data Protection Commission (DPC) — accusing the latter of failing to investigate the very widespread concerns attached to the incoming WhatsApp T&Cs.

(“Our request to the lead supervisory authority for an investigation into the actual practice of data sharing was not honoured so far,” is the polite framing of this shade in Hamburg’s press release).

We’ve reached out to the DPC for a response and will update this report if we get one.

Update: A DPC spokeswoman told us: “As Hamburg has initiated this process as a derogation to the One Stop Shop, it is a matter for the Hamburg DPA to respond as to how it meets the threshold to initiate an urgency procedure. The Irish DPA draft decision in relation to WhatsApp will be dealt with through the Art 65 dispute resolution procedure under GDPR, since it was not possible to reach consensus among DPAs. Therefore it is for the Hamburg DPA in that latter context to qualify its own actions under Article 66 as a derogation to the OSS procedure already underway.”

Ireland’s data watchdog is no stranger to criticism that it indulges in creative regulatory inaction when it comes to enforcing the GDPR — with critics charging commissioner Helen Dixon and her team of failing to investigate scores of complaints and, in the instances when it has opened probes, taking years to investigate — and opting for weak enforcements at the last.

The only GDPR decision the DPC has issued to date against a tech giant (against Twitter, in relation to a data breach) was disputed by other EU DPAs — which wanted a far tougher penalty than the $550k fine eventually handed down by Ireland.

GDPR investigations into Facebook and WhatsApp remain on the DPC’s desk. Although a draft decision in one WhatsApp data-sharing transparency case was sent to other EU DPAs in January for review — but a resolution has still yet to see the light of day almost three years after the regulation begun being applied.

In short, frustrations about the lack of GDPR enforcement against the biggest tech giants are riding high among other EU DPAs — some of whom are now resorting to creative regulatory actions to try to sidestep the bottleneck created by the one-stop-shop (OSS) mechanism which funnels so many complaints through Ireland.

The Italian DPA also issued a warning over the WhatsApp T&Cs change, back in January — saying it had contacted the EDPB to raise concerns about a lack of clear information over what’s changing.

At that point the EDPB emphasized that its role is to promote cooperation between supervisory authorities. It added that it will continue to facilitate exchanges between DPAs “in order to ensure a consistent application of data protection law across the EU in accordance with its mandate”. But the always fragile consensus between EU DPAs is becoming increasingly fraught over enforcement bottlenecks and the perception that the regulation is failing to be upheld because of OSS forum shopping.

That will increase pressure on the EDPB to find some way to resolve the impasse and avoid a wider break down of the regulation — i.e. if more and more Member State agencies resort to unilateral ’emergency’ action.

The Hamburg DPA writes that the update to WhatsApp’s terms grant the messaging platform “far-reaching powers to share data with Facebook” for the company’s own purposes (including for advertising and marketing) — such as by passing WhatApp users’ location data to Facebook and allowing for the communication data of WhatsApp users to be transferred to third-parties if businesses make use of Facebook’s hosting services.

Its assessment is that Facebook cannot rely on legitimate interests as a legal base for the expanded data sharing under EU law.

And if the tech giant is intending to rely on user consent it’s not meeting the bar either because the changes are not clearly explained nor are users offered a free choice to consent or not (which is the required standard under GDPR).

“The investigation of the new provisions has shown that they aim to further expand the close connection between the two companies in order for Facebook to be able to use the data of WhatsApp users for their own purposes at any time,” Hamburg goes on. “For the areas of product improvement and advertising, WhatsApp reserves the right to pass on data to Facebook companies without requiring any further consent from data subjects. In other areas, use for the company’s own purposes in accordance to the privacy policy can already be assumed at present.

“The privacy policy submitted by WhatsApp and the FAQ describe, for example, that WhatsApp users’ data, such as phone numbers and device identifiers, are already being exchanged between the companies for joint purposes such as network security and to prevent spam from being sent.”

DPAs like Hamburg may be feeling buoyed to take matters into their own hands on GDPR enforcement by a recent opinion by an advisor to the EU’s top court, as we suggested in our coverage at the time. Advocate General Bobek took the view that EU law allows agencies to bring their own proceedings in certain situations, including in order to adopt “urgent measures” or to intervene “following the lead data protection authority having decided not to handle a case.”

The CJEU ruling on that case is still pending — but the court tends to align with the position of its advisors.

（文：Natasha Lomas、翻訳：Dragonfly）

Facebook - Log In or Sign Up

Facebookアカウントを作成するか、ログインしてください。友達や家族と写真や動画、近況をシェアしたり、メッセージをやり取りしましょう。 ... Facebookを使うと、友達や同僚、同級生、仲間たちとつながりを深められます。ケータイ ...

https://ja-jp.facebook.com/

Markiplier - Facebook

Markiplier. 3,291,959 likes · 38,489 talking about this. Welcome to the official Facebook Page of Markiplier! Here you'll find up-to-date information on...

https://www.facebook.com/markiplier

Facebook

http://facebook.com.vn/

Eminem - Facebook

Eminem. 87,937,979 likes · 217,290 talking about this. www.eminem.com www.twitter.com/eminem www.instagram.com/eminem www.eminem.tumblr.com

https://www.facebook.com/eminem

Facebook - Log In or Sign Up

Connect with friends and the world around you on Facebook. Log In Forgot Password? Create New Account Create a Page for a celebrity, band or business. Suggested Languages English (US) Español Português (Brasil) ...

http://lite.facebook.com/

Facebook

Facebook Lite Watch People Pages Page Categories Places Games Locations Marketplace Facebook Pay Groups Oculus Portal Instagram Local Fundraisers Services Voting Information Center About Create Ad Create Page ...

http://connect.facebook.com/