ドイツ政府機関が2021年中のフェイスブックページ削除を要請される

今回は「ドイツ政府機関が2021年中のフェイスブックページ削除を要請される」についてご紹介します。

関連ワード （EU、Facebook、SNS、ドイツ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

ドイツ連邦情報監督機関はFacebook（フェイスブック）に対して遂に堪忍袋の尾が切れたようだ。

Facebookが継続的にデータ保護コンプライアンスに違反しており、同問題に対する修正も行っていないため、Ulrich Kelber（ウルリッヒ・ケルバー）氏は2021年6月、政府機関に対して、公式Facebookページを閉鎖するよう強く推奨すると書いている。

この書簡で、ケルバー氏は、各政府機関に対して、2022年1月より、強制執行を開始する意向だと警告しており、事実上2021年中にFacebookからページを削除するよう求めている。

したがって、今後数カ月で独政府機関の公式Facebookページは見られなくなると思ったほうがよい。

Ein Hinweis auf das Rundschreiben des BfDI zu den Facebook-Auftritten von Bundesbehörden https://t.co/tDi5iIES1c

— Ulrich Kelber (@UlrichKelber) June 25, 2021

ケルバー氏自身の機関BfDiは、Facebookページを作成していないようだが（ただし、Facebookのアルゴリズムでは、存在しないページを検索するとこのような人工的なスタブが生成されるようだ）、ドイツの他の多くの連邦機関はFacebookページを作成している（例えば厚生省の公開ページのフォロワーは76万人以上にもなる）。

これらのページがクリスマスまでにFacebookのプラットフォームから消滅する（あるいは2022年初めにケルバー氏によってページ削除の命令を受ける）のを防ぐためには、Facebookが同社のプラットフォームの運営方法に関してこれまでにない大幅な変更を実施して、EUの法律を遵守する形でドイツでFacebookページを運用できるようにするしかないようだ。

しかし、Facebookには、長年に渡ってプライバシーやデータ保護関連の法律を無視してきたという悪い評判がある。

同社はごく最近も、ユーザーが利用可能な情報の質を低下させることがビジネス上の利益になるなら喜んでそうするという本性を表した（例えばオーストラリアのユーザーが証言しているように、メディアコード法に反対するロビー活動を行っている）。

関連記事
・フェイスブックが豪州ユーザーのニュースリンク共有・閲覧を禁止へ
・EU諸機関によるAWSとマイクロソフトの各クラウドサービス利用について同プライバシー責任者が調査を開始

このため、独の各政府機関は何も言わずにFacebookページを閉鎖することになりそうだ。

ケルバー氏によると、Facebookページは市民と連絡をとるための重要な方法であると各公的機関が主張しているため、各機関のFacebookページ削除の強制執行を行うのを避けてきたという。

とはいえ、同氏の書簡には、政府機関は法令順守の模範となる必要があるため、データ保護法を順守する「特別な義務」があると指摘されている（欧州データ保護監督庁［EDPS］も、EUの機関による米国クラウドサービス大手のサービス利用の見直しに際して、同じような方針を採っている）。

ケルバー氏の評価によると、Facebookが2019年に提示した「補遺」では法令違反の問題が是正されておらず、同社はページ運営者がEUの一般データ保護規則に規定されている要件を順守できるようにデータ処理業務を改善していないと結論づけている。

この点に関連して、2018年6月の欧州の最高裁判所の判決では、Facebookのファンページ（企業や有名人が作る、ファンとの交流ページ）の管理者も、ページ訪問者のデータの処理に関して、Facebookと共同責任を負うべきだと考えている。

つまり、こうしたページの運営者もデータ保護法順守の義務に直面しており、Facebookの利用規約によって、同社が行うデータ処理に関してページ運営者が法的に擁護されると単純に考えることはできないということだ。

問題は、簡潔にいうと、Facebookはページ運営者に、ユーザーデータの処理方法に関して十分な情報と保証を提供していないという点にある。このため、ページ運営者は、Facebookページのフォロワーに、彼らの個人データがどのように処理されているのかを十分に伝えることができず、そのためGDPRの説明責任と透明性の原則に準拠することができない。

しかも、Facebookページの運営者には、ページフォロワーの個人データのFacebookによる利用を無効にする（またはブロックする）方法も用意されていない。ページ運営者が、Facebookによって提供されている分析機能をまったく使用していないくても、である。

いずれにしてもFacebookによるユーザーデータの利用は行われるのだ。

これは、Facebookが、広告ターゲット絞り込みエンジンにデータを与えるために、交渉の余地のない「データ最大化」モデルに基づいて運営されているからだ。

関連記事：GDPR施行、「同意の強制」でさっそくFacebookとGoogleに対し初の提訴

しかし、このアプローチは裏目に出る可能性がある。主要サービスをFacebookのプラットフォームから他社プラットフォームへ移行するという大きな動きがあるため、Facebookのネットワークで利用可能な情報の質が永久に低下してしまう可能性があるからだ。実際、EUのすべての政府機関はFacebookページを削除している。

この件に関するBfDiウェブサイトのブログ投稿では、Facebookがもたらした法令遵守の空白状態から「データ保護順守型ソーシャルネットワーク」が生まれる可能性に期待を寄せている。

当然、ユーザーの権利に基づくサービスを販売しようとする代替プラットフォームには競争の機会がもたらされるだろう。

ドイル連邦厚生省の公式Facebookページ（画像クレジット：TechCrunch / Natasha Lomas）

BfDi（ドイツ連邦共和国データ保護機関）の介入に関して、オスロにあるResearch Center for Computers and Law（コンピューターと法律に関するノルウェー研究センター）の主任研究員Luca Tosoni（ルカ・トソニ）氏はTechCrunchに次のように語った。「こうした法令遵守型SNSの誕生は、共同管理権に関する最近のCJEU（欧州連合司法裁判所）の判例法と密接な関係があります。同判例法では、ページの訪問者の個人データの処理に関して、Facebookページの管理者はFacebookの共同管理者とみなされるべきであるとする、欧州で事業展開するビジネスアカデミー「Wirtschaftsakademie」の判例を考慮しています」。

「これは、ページ管理者とFacebookが、Facebookページへのユーザーのアクセスに紐付いたデータ処理行為のすべての段階について平等に責任を負うという意味ではありません。ただし、両者は、役割と責任の明確な分担について同意している必要があります。ドイツのデータ保護と情報の自由に関する連邦監督機関によると、Facebookの現在のデータ保護『補遺』は、後者の要件を満たすには不十分であるように思われます」。

「CJEUが、Fashion ID判例で、共同管理者のGDPR遵守義務は、彼らが管理を行使するデータ処理ステージに見合ったものであるべきという見方をしていることは注目に値します」とトソニ氏は付け加えた。「つまり、Facebookページ管理者のデータ保護義務は通常、極めて限定的なものになる傾向があるということです」。

この法令遵守の問題はドイツのFacebookに影響を及ぼしており、その他のEU市場にも影響を及ぼす可能性がある。Facebook以外のソーシャルメディアサービスも同様の問題に直面する可能性がある。

例えばケルバー氏の書簡では、Instagram（インスタグラム）、TikTok（ティクトック）、Clubhouse（クラブハウス）についても継続的に監査を行うことを強調しており、これらの企業が提供しているデータ保護レベルの欠点について警鐘を鳴らしている。

また、同氏は、政府機関がビジネスデバイス上で使用を避けるべき3つのアプリも挙げている。

政府機関によるソーシャルメディアサービスの利用に関する2019年の評価では、BfDiは、Twitterの使用は対照的にデータ保護規則を遵守している可能性があることを示唆した。ただし、少なくとも、プライバシー設定をすべて有効にして分析を無効にした場合という条件付きではあるが。

当時、BfDiはFacebook所有のインスタグラムもFacebookと同様の法令違反の問題に直面しており、グループ全体で同意に対する強権的なアプローチをとっていると警告している。

ケルバー氏が提示した最新の推奨事項に対してFacebookにコメントを求めたところ、同社は特定の質問に答えることはせず、代わりに次のような包括的な回答を返してきた。

「2019年末に、当社はPage Insights補遺を更新し、データ処理の透明性に関する質問を考慮して、Facebookとページ管理者の責任を明確にしました。当社にとって、連邦機関がFacebookページを通じて当社プラットフォームを利用している市民とプライバシーを遵守した形で連絡をとることができるようにすることは重要です」。

CJEUによる2020年夏のSchrems II判決の後、法的に不確定な状態が続いたため、Facebookにとって事態は複雑化の度を増すことになった。

企業が自社のデータ保護レベルが十分であると自己証明できるとする、EU米国間のプライバシーシールド協定を欧州の最高司法府が無効としたため、EUユーザーの個人データを米国に転送する最も簡単な経路が削除された。裁判所は、EUユーザーの個人データの国外転送を完全に違法としたわけではないが、情報が危険にさらされる場所に、または危険にさらされるような方法で転送されている疑いがある場合、データ保護局は、データフローに介入して停止する必要があることを明確化した。

Schrems II判決の後、米国への転送は明らかに問題があるとされるようになった。米国では、FISA 702の対象となる米国企業（Facebookなど）によってデータが処理されているからだ。

実際、FacebookのEU米国間データ転送はSchrems II裁判の原告の当初の攻撃目標だった（Max Schrems［マックス・シュレムス］氏の自身の名前を冠した文書による）。EUのFacebook担当主任データ保護監督官が2020年の同社に対する仮命令を継続して、対EUデータフローを停止すべきかどうかの判断は今後数カ月の間に下される予定だ。

関連記事：フェイスブックのEU米国間データ転送問題の決着が近い

アイルランドで長きに渡って期待されている決着に先立って、他のEU DPAは一歩踏み出して具体的な措置を開始しており、ケルバー氏の書簡では、もう1つの懸念事項としてSchrems II判決に触れている。

トソニ氏は、 GDPRの執行部隊が遂に本腰を入れていることに同意する。と同時に同氏は、Schrems II判決に準拠するといっても、各データフローをケースごとに評価する必要があることを踏まえ、さまざまな微妙な違いがあることを示唆し、管理者が適用可能な補助的手段も幅広いことを指摘した。

「こうした展開は、欧州のデータ保護当局が、Schrems II判決でのCJEUの解釈に基づいてGDPRデータ転送要件を強制執行することについて真剣に検討していることも示しています。独のデータ保護と情報の自由に関する連邦監督機関はこの点をもう1つの課題として挙げています」と同氏はいう。

「ただし、独連邦監督官がFacebookページの使用についての書簡を送付した数日後に、EDPB（欧州データ保護会議）は、CJEUのSchrems II判決に従って、異国間データ転送の補助的手段に関する推奨事項の最終版を採択しています。このため、独のデータ保護当局がこれらの新しい推奨事項を、独公的機関のFacebookページがGDPRに準拠しているかどうかの今後の判断で検討するかどうかはまだわかりません」。

関連記事：EUが第三国へのデータ移転に関する最終ガイダンスを発表

「このような推奨事項によって米国に対するデータ転送の全面禁止が確立されることはありませんが、厳しい制限措置が課されることになり、Facebookページに対するドイツ人訪問者の個人データの米国への転送を継続するには、この制限に従うことが求められることになります」。

CJEUによる最近のもう1つの判断では、EUのデータ保護機関は、GDPRのワンストップショップメカニズムの下では特定の企業のデータ監督機関ではない場合でも、状況に応じて、措置を講じることができるとしている。これにより、あるメンバー国の機関が緊急に対策を講じる必要があると確信した場合は、そのメンバー国の監督機関によって訴訟が起こされる可能性が大きくなる。

とはいえ、独政府機関によるFacebookページの使用に関して、共同監督権に関するCJEUの以前の判決では、これらの機関のFacebookページは、BfDiの明確な管轄対象であるという判断がすでに下されている。

画像クレジット：Jakub Porzycki/NurPhoto / Getty Images

【原文】

Germany’s federal information commissioner has run out of patience with Facebook.

Last month, Ulrich Kelber wrote to government agencies “strongly recommend[ing]” they to close down their official Facebook Pages because of ongoing data protection compliance problems and the tech giant’s failure to fix the issue.

In the letter, Kelber warns the government bodies that he intends to start taking enforcement action from January 2022 — essentially giving them a deadline of next year to pull their pages from Facebook.

So expect not to see official Facebook Pages of German government bodies in the coming months.

While Kelber’s own agency, the BfDi, does not appear to have a Facebook Page (although Facebook’s algorithms appear to generate this artificial stub if you try searching for one) plenty of other German federal bodies do — such as the Ministry of Health, whose public page has more than 760,000 followers.

The only alternative to such pages vanishing from Facebook’s platform by Christmas — or else being ordered to be taken down early next year by Kelber — seems to be for the tech giant to make more substantial changes to how its platform operators than it has offered so far, allowing the Pages to be run in Germany in a way that complies with EU law.

However Facebook has a long history of ignoring privacy expectations and data protection laws.

It has also, very recently, shown itself more than willing to reduce the quality of information available to users — if doing so further its business interests (such as to lobby against a media code law, as users in Australia can attest).

So it looks rather more likely that German government agencies will be the ones having to quietly bow off the platform soon…

Kelber says he’s avoided taking action over the ministries’ Facebook Pages until now on account of the public bodies arguing that their Facebook Pages are an important way for them to reach citizens.

However his letter points out that government bodies must be “role models” in matters of legal compliance — and therefore have “a particular duty” to comply with data protection law. (The EDPS is taking a similar tack by reviewing EU institutions’ use of US cloud services giants.)

Per his assessment, an “addendum” provided by Facebook in 2019 does not rectify the compliance problem and he concludes that Facebook has made no changes to its data processing operations to enable Page operators to comply with requirements set out in the EU’s General Data Protection Regulation.

A ruling by Europe’s top court, back in June 2018, is especially relevant here — as it held that the administrator of a fan page on Facebook is jointly responsible with Facebook for the processing of the data of visitors to the page.

That means that the operators of such pages also face data protection compliance obligations, and cannot simply assume that Facebook’s T&Cs provide them with legal cover for the data processing the tech giant undertakes.

The problem, in a nutshell, is that Facebook does not provide Pages operates with enough information or assurances about how it processes users’ data — meaning they’re unable to comply with GDPR principles of accountability and transparency because, for example, they’re unable to adequately inform followers of their Facebook Page what is being done with their data.

There is also no way for Facebook Page operators to switch off (or otherwise block) wider processing of their Page followers by Facebook. Even if they don’t make use of any of the analytics features Facebook provides to Page operators.

The processing still happens.

This is because Facebook operates a take-it-or-leave it ‘data maximizing’ model — to feed its ad-targeting engines.

But it’s an approach that could backfire if it ends up permanently reducing the quality of the information available on its network because there’s a mass migration of key services off its platform. Such as, for example, every government agency in the EU deleted its Facebook Page.

A related blog post on the BfDi’s website also holds out the hope that “data protection-compliant social networks” might develop in the Facebook compliance vacuum.

Certainly there could be a competitive opportunity for alternative platforms that seek to sell services based on respecting users’ rights.

The German Federal Ministry of Health’s verified Facebook Page (Screengrab: TechCrunch/Natasha Lomas)

Discussing the BfDis intervention, Luca Tosoni, a research fellow at the University of Oslo’s Norwegian Research Center for Computers and Law, told TechCrunch: “This development is strictly connected to recent CJEU case law on joint controllership. In particular, it takes into account the Wirtschaftsakademie ruling, which found that the administrator of a Facebook page should be considered a joint controller with Facebook in respect of processing the personal data of the visitors of the page.

“This does not mean that the page administrator and Facebook share equal responsibility for all stages of the data processing activities linked to the use of the Facebook page. However, they must have an agreement in place with a clear allocation of roles and responsibilities. According to the German Federal Commissioner for Data Protection and Freedom of Information, Facebook’s current data protection ‘Addendum’ would not seem to be sufficient to meet the latter requirement.”

“It is worth noting that, in its Fashion ID ruling, the CJEU has taken the view that the GDPR’s obligations for joint controllers are commensurate with those data processing stages in which they actually exercise control,” Tosoni added. “This means that the data protection obligations a Facebook page administrator would normally tend to be quite limited.”

Warnings for other social media services

This particular compliance issue affects Facebook in Germany — and potentially any other EU market. But other social media services may face similar problems too.

For example, Kelber’s letter flags an ongoing audit of Instagram, TikTok and Clubhouse — warning of “deficits” in the level of data protection they offer too.

He goes on to recommend that agencies avoid using the three apps on business devices.  

In an earlier, 2019 assessment of government bodies’ use of social media services, the BfDi suggested usage of Twitter could — by contrast — be compliant with data protection rules. At least if privacy settings were fully enabled and analytics disabled, for example.

At the time the BfDi also warned that Facebook-owned Instagram faced similar compliance problems to Facebook, being subject to the same “abusive” approach to consent he said was taken by the whole group.

Reached for comment on Kelber’s latest recommendations to government agencies, Facebook did not engage with our specific questions — sending us this generic statement instead:

“At the end of 2019, we updated the Page Insights addendum and clarified the responsibilities of Facebook and Page administrators, for which we took questions regarding transparency of data processing into account. It is important to us that also federal agencies can use Facebook Pages to communicate with people on our platform in a privacy-compliant manner.”

An additional complication for Facebook has arisen in the wake of the legal uncertainty following last summer’s Schrems II ruling by the CJEU.

Europe’s top court invalidated the EU-US Privacy Shield arrangement, which had allowed companies to self-certify an adequate level of data protection, removing the easiest route for transferring EU users’ personal data over to the US. And while the court did not outlaw international transfers of EU users’ personal data altogether it made it clear that data protection agencies must intervene and suspend data flows if they suspect information is being moved to a place, and in in such a way, that it’s put at risk.

Following Schrems II, transfers to the US are clearly problematic where the data is being processed by a US company that’s subject to FISA 702, as is the case with Facebook.

Indeed, Facebook’s EU-to-US data transfers were the original target of the complainant in the Schrems II case (by the eponymous Max Schrems). And a decision remains pending on whether the tech giant’s lead EU data supervisor will follow through on a preliminary order last year to it should suspend its EU data flows — due in the coming months.

Even ahead of that long-anticipated reckoning in Ireland, other EU DPAs are now stepping in to take action — and Kelber’s letter references the Schrems II ruling as another issue of concern.

Tosoni agrees that GDPR enforcement is finally stepping up a gear. But he also suggested that compliance with the Schrems II ruling comes with plenty of nuance, given that each data flow must be assessed on a case by case basis — with a range of supplementary measures that controllers may be able to apply.

“This development also shows that European data protection authorities are getting serious about enforcing the GDPR data transfer requirements as interpreted by the CJEU in Schrems II, as the German Federal Commissioner for Data Protection and Freedom flagged this as another pain point,” he said.

“However, the German Federal Commissioner sent out his letter on the use of Facebook pages a few days before the EDPB adopted the final version its recommendations on supplementary measures for international data transfers following the CJEU Schrems II ruling. Therefore, it remains to be seen how German data protection authorities will take these new recommendations into account in the context of their future assessment of the GDPR compliance of the use of Facebook pages by German public authorities.

“Such recommendations do not establish a blanket ban on data transfers to the US but impose the adoption of stringent safeguards, which will need to be followed to keep on transferring the data of German visitors of Facebook pages to the US.”

Another recent judgment by the CJEU reaffirmed that EU data protection agencies can, in certain circumstances, take action when they are not the lead data supervisor for a specific company under the GDPR’s one-stop-shop mechanism — expanding the possibility for litigation by watchdogs in Member States if a local agency believes there’s an urgent need to act.

Although, in the case of the German government bodies’ use of Facebook Pages, the earlier CJEU ruling finding on joint law controllership means the BfDi already has clear jurisdiction to target these agencies’ Facebook Pages itself.

（文：Natasha Lomas、翻訳：Dragonfly）

Facebook - Log In or Sign Up

Facebookアカウントを作成するか、ログインしてください。友達や家族と写真や動画、近況をシェアしたり、メッセージをやり取りしましょう。 ... Facebookを使うと、友達や同僚、同級生、仲間たちとつながりを深められます。ケータイ ...