欧州議会は、欧州議会議員がコロナウイルス検査を予約するために設置したウェブサイトがデータ保護法に違反した可能性があるとの苦情を受け、EUの主要なデータ規制当局の調査を受けている。
この苦情は6人の欧州議会議員によって提出され、プライバシーキャンペーン団体noybによって支持されており、サードパーティのトラッカーが適切な同意なしに削除され、訪問者に表示されたクッキーバナーが紛らわしく欺瞞的なデザインであったと主張している。
また同社は、欧州最高裁判所が昨年夏に下した画期的な判決(シュレムスII)に言及し、正当な法的根拠なく個人データが米国に転送されたと主張している。
EU機関のデータ規則遵守を監視する欧州データ保護監督機関(EDPS)は、苦情を受け取ったことを確認し、調査を開始したと述べた。
また、苦情を受けて「訴訟用クッキー」は無効化されたと述べ、議会からはユーザーデータは実際にはEU外に転送されていないと報告されたと付け加えた。
「欧州議会のコロナウイルス検査ウェブサイトに関して、一部の欧州議会議員から苦情が申し立てられました。欧州議会データ保護局(EDPS)は、EU一般データ保護規則(EU機関向けGDPR)第57条(1)(e)に基づき調査を開始しました」と、欧州議会データ保護局(EDPS)の広報担当者はTechCrunchに語った。「この苦情を受けて、欧州議会データ保護局(EDPS)は、訴訟の対象となったCookieがウェブサイト上で無効化され、ユーザーデータがEU域外に送信されていないことを確認したことをEDPSに通知しました。」
「EDPSは現在、このウェブサイトがEUDPRの要件に準拠していることを確認するために評価を行っています。EDPSの調査結果は、適時、管理者と苦情申立人に通知されます」と付け加えました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
ドイツ緑の党の欧州議会議員アレクサンドラ・ギーゼ氏は、他の国会議員を代表してEDPSに最初の苦情を申し立てた。
苦情に加わり、氏名を公表している欧州議会議員のうち2人は、パトリック・ブレイヤー氏とミクラーシュ・ペクサ氏で、両者ともドイツとチェコ共和国の海賊党員である。
欧州議会と、検査ウェブサイトの提供元である企業にコメントを求めました。追記:欧州議会報道サービスから以下の声明が出されました。
議会とEcoLogの間で締結された契約には、データ保護に関する適切な規則が含まれています。これらの規則に基づき、議会に代わってEcoLogが行う個人データの処理は、欧州連合機関に適用されるデータ保護規則(規則番号2018/1725)の対象となります。EcoLogは、このデータ保護規則に由来するすべての義務を遵守することに同意します。
欧州議会(EP)は昨秋、一部の欧州議会議員の懸念を認識し、直ちにEcoLogに連絡を取り、データが規則に従って処理されているか再確認しました。議会による調査と同社から提供された情報に基づき、検査登録を行った欧州議会議員およびEP職員の個人データはEU域外に転送されていません。
欧州議会はEDPSによる調査について正式な通知を受けていない。
この苦情は、いくつかの理由から注目に値します。第一に、EU機関にとって、地域データ保護規則の遵守を怠ったという疑惑は、非常に恥ずべきものだからです。noyb氏が述べているように、「欧州議会の議員や職員のような政治的に重要な立場にある人々」にとって、データ保護は特に重要視される可能性があります。
2019年には、欧州議会も春の選挙を前に国民の有権者データを処理するために米国拠点のデジタルキャンペーン会社ネイションビルダーを利用したとして、欧州議会選挙管理委員会(EDPS)から制裁を受けている。これは、同委員会がEU機関に対してこのような強制措置を取った初めてのケースだ。
議会が第三者データ処理業者への細心の注意を巡り、批判を浴びるのは今回が初めてではない(議会のCOVID-19検査登録ウェブサイトは、Ecolog Deutschland GmbHというドイツ企業によって提供されている)。一度は見落としかもしれないが、二度目は杜撰に見えるようになる…
欧州議会のNationBuilder契約、データ規制当局が調査中
第二に、この苦情は、EDPSの決定に対して追加の異議申し立てがあった場合、EU外への個人データの移転に関与する何千もの企業に影響を与える判決であるSchrems IIの解釈をさらに明確にするために、EUの最高裁判所であるCJEUに比較的迅速に付託されるルートを提供する可能性がある。
「EDPSの決定は、EU司法裁判所に直接異議を申し立てることができます」とnoybはプレスリリースで述べています。「これは、EU法の統一的解釈を担うEU最高裁判所に直接上訴できることを意味します。noybは、各国のDPAにおいて同様の問題を提起している複数の訴訟に取り組んでいるため、これは特に興味深いことです。」
シュレムス II 以降のデータ保護法に準拠する方法 (または準拠できるかどうか) を理解しようとしている、EU 外へのデータ転送に携わる企業向けのガイダンスは、これまでのところ、EU 規制当局が発表したものに限られています。
CJEU によるさらなる解釈によって、より明確な光がもたらされる可能性があり、実際のところ、クッキーが崩れる状況次第では (しゃれを許していただければ)、ヨーロッパ人のデータを合法的に海を越えて運び続けたいと考えるデータ処理業者にとって、余裕がなくなることになるだろう。
さらに、noyb は、この苦情は EDPS に対して EU 法に違反する送金を禁止するよう求めていると指摘しています。
「公的機関、特にEU機関は、法遵守において模範を示さなければなりません」と、noybの名誉会長マックス・シュレムス氏は声明で述べた。「これはEU域外へのデータ移転についても当てはまります。欧州議会は米国のプロバイダーを利用することで、NSAが議会職員や構成員のデータにアクセスすることを可能にしたのです。」
訴状によると、サードパーティのトラッカーとデータ転送に関する懸念は、昨年10月に欧州議会議員がトラッカースキャンツールを使用してCOVID-19検査予約ウェブサイトを分析し、合計150件のサードパーティリクエストとCookieがブラウザに配置されていることを発見した後、最初に議会に提起された。
具体的には、EcoCareのCOVID-19検査登録ウェブサイトに、米国に拠点を置く企業StripeからのCookieが削除され、GoogleとStripeからのサードパーティリクエストが多数含まれていることが判明しました。
苦情ではまた、サイト上のデータ保護に関する通知で、Google Analyticsの使用によって生成されたユーザーの使用状況に関するデータは「米国のGoogleサーバーに送信され、保存される」とユーザーに通知されていたとも指摘されている。
同意に関する部分では、サイトはユーザーに2つの異なる矛盾するデータ保護通知を提供していることが判明しました。そのうちの1つには、ブリュッセル空港への参照(おそらくコピー&ペーストされたもの)が含まれていました。
ユーザーの地域に応じて異なる同意フローが提示され、一部の訪問者には明確なオプトアウトボタンが提供されませんでした。また、Cookieに関する通知には、「すべて承認」ボタン(明るい緑色)へと誘導する「ダークパターン」や、不明瞭な代替案を分かりにくくする文言が含まれていました。
EU では、(必須ではない)Cookie やその他のサードパーティ追跡テクノロジーに対する同意を(法的に)収集するための厳格な要件が設けられており、同意は明確に情報に基づいた、具体的な、自由な同意でなければならないと規定されています。
2019年、欧州の最高裁判所は、必須でないトラッカーを削除する前に同意を得る必要があることをさらに確認した。(健康関連データも一般的にEUで合法的に処理するにはより高い同意のハードルがあるが、この場合の個人情報は特別なカテゴリの医療データではなく、予約登録に関連するものである。)
苦情は、ウェブサイトが EU のクッキー同意要件を満たしていないと主張している。
米国ベースのサービスに対するリクエストの存在(および米国でのデータの保存に関する言及)は、Schrems II 判決に照らし合わせると法的問題となります。
欧州司法裁判所が欧州委員会が認めた適切性協定を破棄した(EU・米国間のプライバシーシールドの仕組みを無効化した)ため、米国はEUから個人データを法的にスムーズに流出させることができなくなった。つまり、EU市民のデータを米国に拠点を置く企業に転送することが複雑になっているということだ。
データ管理者は、個々の移転案を個別に評価する責任を負います。標準契約条項(SCC)と呼ばれるデータ移転メカニズムは、CJEUによって無効と判断されませんでした。しかし、CJEUは、SCCはデータ保護がEUで提供されている法的制度と実質的に同等である第三国への移転にのみ使用できることを明確にしました。同時に、米国は当該基準を満たしていないとも述べています。
この判決を受けて欧州データ保護委員会が発表したガイダンスによると、EUと米国間のデータ移転の一部は、欧州法に準拠して実施できる可能性がある。例えば、受信側の米国法人がアクセスできない暗号化データを含むデータ移転などがその例だ。
ただし、コンプライアンスの基準は、具体的な状況やケースによって異なります。
さらに、米国の監視法に確実に従わなければならない一部の企業(Google など)にとっては、コンプライアンスのハードルが信じられないほど高くなる可能性があります。これは、監視法が EU から米国への移転における主な法的障害となっているためです。
したがって、もう一度言いますが、議会のウェブサイトの COVID-19 検査ウェブサイトに、個人データが米国の Google サーバーに転送されるという通知が掲載されていたのは、良い印象を与えません (主張されているように、その機能が有効化されていなかったとしても)。
欧州は国際データ転送の修正に関するアドバイスを発表したが、これはフェイスブックにとってはあまり慰めにはならない
欧州議会に対するこの苦情が注目に値するもう一つの理由は、欧州内で利用されているウェブインフラの多くが、地域のデータ保護規則を遵守していないことで法的制裁を受けるリスクにさらされている可能性をさらに浮き彫りにしている点です。欧州議会が正しく対応できないのであれば、誰が対応できるのでしょうか?
実際、noybは昨年、EUのウェブサイトに対し多数の苦情を申し立てており、シュレムスII判決の直後から、これらのウェブサイトがGoogle AnalyticsやFacebook Connectとの連携を通じて依然として米国にデータを送信していることが判明していた。(これらの苦情はEU全体のDPAによって調査されている。)
FacebookのEUへのデータ移転も、この件で大きな問題となっている。今月初め、このテクノロジー大手に対するEUのデータ規制当局は、同社の移転に関する長年の苦情を「迅速に解決する」ことに同意した。
シュレムス氏は2013年にこの訴訟を起こしました。彼は、この訴訟は今年中、おそらく6~9ヶ月以内に解決すると予想していると述べました。つまり、最終決定は2021年に下されることになります。
彼は以前、Facebookがデータ転送問題を解決する唯一の方法は、サービスを統合し、欧州ユーザーのデータをローカルに保存することだと示唆していた。昨年、このテクノロジー大手は、EUの主要規制当局が転送停止の予備的命令を執行した場合、欧州でのサービスを停止することはないと主張していたが、アイルランドDPCの手続きに対する司法審査を申請することでこれを阻止した。
Facebookがロビー活動を展開してきた代替案は、EUと米国間のデータ移転を阻む法的不確実性に対する何らかの政治的解決である。しかし、欧州委員会は、即効性のある解決策はなく、米国の監視法の改革が必要だと警告している。
基準を定める欧州司法裁判所の判決や、今回のnoybが支援する訴状のような進行中の戦略的訴訟によって、米国の巨大テクノロジー企業に対するEUのデータ保護執行の継続的な凍結の選択肢が急速に薄れつつある中、プライバシー保護を重視した米国の監視法改革を求める圧力はますます高まるばかりだ。もっとも、FacebookはまだFISA改革を公然と支持しているわけではないが。
フェイスブックを二つに分ける可能性のあるEUの裁判所の判決についてマックス・シュレムスが語る
