ドイツ政府機関は来年までにFacebookページを削除するよう要請されている

ドイツ政府機関は来年までにFacebookページを削除するよう要請されている

ドイツの連邦情報コミッショナーはフェイスブックに対して我慢の限界を迎えた。

先月、ウルリッヒ・ケルバー氏は政府機関に対し、データ保護コンプライアンス問題が継続しており、この技術大手が問題を解決していないことを理由に、公式Facebookページを閉鎖するよう「強く勧告」する書簡を送った。

ケルバー氏は書簡の中で、政府機関に対し、2022年1月から強制措置を開始するつもりだと警告しており、実質的に来年までにFacebookからページを削除する期限を与えている。

したがって、今後数か月間はドイツ政府機関の公式 Facebook ページが表示されなくなると予想されます。

https://twitter.com/UlrichKelber/status/1408380956495450114

ケルバー氏の所属機関であるドイツ連邦産業省(BfDi)はFacebookページを持っていないようだが(検索しようとするとFacebookのアルゴリズムがこの人工的なスタブを生成するようだが)、保健省など他の多くのドイツ連邦機関はFacebookページを持っている。保健省の公開ページには76万人以上のフォロワーがいる。

クリスマスまでにフェイスブックのプラットフォームからこうしたページが消えてしまうこと、あるいは来年初めにケルバー長官から削除命令を受けることに対する唯一の代替案は、このテック大手がこれまで提案してきたものよりもプラットフォーム運営者のやり方を大幅に変更し、ドイツ国内でページがEU法に準拠した形で運営できるようにすることだと思われる。

テッククランチイベント

サンフランシスコ | 2025年10月27日~29日

しかし、Facebook はプライバシーに関する期待とデータ保護法を無視してきた長い歴史を持っています。

また、ごく最近では、Facebook は、それが自社のビジネス上の利益につながるのであれば(オーストラリアのユーザーが証言しているように、メディアコード法に反対するロビー活動など)、ユーザーが利用できる情報の質を低下させることをいとわない姿勢を示している。

そのため、近いうちにドイツ政府機関がプラットフォームからひっそりと撤退せざるを得なくなる可能性の方が高そうです…

Facebookは、オーストラリアの計画されているニュース再利用法に対抗するため、過度に広範なコンテンツブロックを適用している

ケルバー氏は、公的機関がフェイスブックページは国民に情報を伝える重要な手段であると主張しているため、これまで省庁のフェイスブックページに対して行動を起こすことを避けてきたと述べている。

しかし、彼の書簡は、政府機関は法令遵守において「模範となる」べきであり、したがってデータ保護法を遵守する「特別な義務」を負っていると指摘している。(EDPSも同様の姿勢で、EU機関による米国のクラウドサービス大手の利用状況を調査している。)

同氏の評価によれば、Facebookが2019年に提供した「補遺」ではコンプライアンスの問題が解決されておらず、Facebookはページ運営者がEUの一般データ保護規則に定められた要件を遵守できるようにデータ処理業務に変更を加えていないと結論付けている。

2018年6月に欧州最高裁判所が下した判決は、ここで特に関連性がある。Facebookのファンページの管理者は、そのページへの訪問者のデータの処理についてFacebookと共同で責任を負うと判決したのだ。

つまり、そのようなページの運営者もデータ保護の順守義務を負っており、このテクノロジー大手が行っているデータ処理について、Facebook の利用規約が法的保護を提供していると単純に想定することはできない。

一言で言えば、問題は Facebook がページ運営者に、ユーザーのデータをどのように処理するかについての十分な情報や保証を提供していないことです。つまり、たとえば Facebook ページのフォロワーにデータがどのように処理されるかを適切に伝えることができないため、GDPR の説明責任と透明性の原則に準拠できないということです。

Facebookページ運営者は、Facebookによるページフォロワーのより広範な処理を無効化(あるいはブロック)することはできません。たとえFacebookがページ運営者に提供する分析機能を一切利用していない場合でも、それは変わりません。

処理は引き続き実行されます。

これは、Facebook が広告ターゲティング エンジンにデータを供給するため、受け入れるか拒否するかの「データ最大化」モデルを運用しているためです。

しかし、主要サービスの大規模なプラットフォームからの移行によって、ネットワーク上で利用可能な情報の質が恒久的に低下してしまうようなことがあれば、このアプローチは逆効果になる可能性があります。例えば、EUのすべての政府機関がFacebookページを削除したように。

BfDi のウェブサイトの関連ブログ投稿でも、Facebook のコンプライアンスの空白地帯で「データ保護に準拠したソーシャル ネットワーク」が発展するかもしれないという期待が示されています。

確かに、ユーザーの権利を尊重した上でサービスを販売しようとする代替プラットフォームにとっては、競争上のチャンスとなる可能性がある。

ドイツ連邦保健省の認証済みFacebookページ(スクリーンショット:TechCrunch/Natasha Lomas)

BfDisの介入について、オスロ大学ノルウェーコンピューター・法研究センターの研究員であるルカ・トソーニ氏はTechCrunchに対し次のように語った。「この展開は、共同管理者に関する最近のCJEUの判例法と密接に関連しています。特に、Facebookページの管理者は、ページ訪問者の個人データの処理に関して、Facebookとの共同管理者とみなされるべきであるとするWirtschaftsakademie判決を考慮に入れています。」

これは、Facebookページの利用に関連するデータ処理活動のすべての段階において、ページ管理者とFacebookが同等の責任を負うことを意味するものではありません。しかし、両者は明確な役割と責任分担を定めた契約を締結する必要があります。ドイツ連邦データ保護・情報公開委員によると、Facebookの現在のデータ保護に関する「補足条項」は、後者の要件を満たすには不十分であるように思われます。

「ファッションIDに関する判決において、欧州司法裁判所(CJEU)が共同管理者に対するGDPRの義務は、彼らが実際に管理を行っているデータ処理段階に相応するものであるとの見解を示したことは注目に値する」とトソニ氏は付け加えた。「これは、Facebookページ管理者のデータ保護義務が通常、かなり限定的になる傾向があることを意味する」

他のソーシャルメディアサービスに関する警告

このコンプライアンス問題は、ドイツにおけるFacebook、そしておそらく他のEU市場にも影響を与えます。しかし、他のソーシャルメディアサービスも同様の問題に直面する可能性があります。

例えば、ケルバー氏の書簡は、インスタグラム、ティックトック、クラブハウスの進行中の監査について言及し、これらのサービスが提供するデータ保護のレベルにも「欠陥」があると警告している。

同氏はさらに、政府機関が業務用デバイス上でこれら3つのアプリを使用しないように推奨している。  

2019年に実施された政府機関によるソーシャルメディアサービスの利用状況に関する評価において、英国外務省(BfDi)は、Twitterの利用は対照的にデータ保護規則に準拠できる可能性があると示唆しました。少なくとも、プライバシー設定を完全に有効にし、アナリティクス機能を無効にすれば、データ保護規則に準拠できる可能性があります。

当時、BfDiは、フェイスブックが所有するインスタグラムもフェイスブックと同様のコンプライアンス問題に直面しており、グループ全体で取られているのと同じ「乱用的な」同意取得方法の対象になっていると警告した。

ケルバー氏の政府機関への最新の勧告についてコメントを求めたが、フェイスブックは具体的な質問には答えず、代わりに次のような一般的な声明を送ってきた。

2019年末に、Facebookページインサイトの補足条項を更新し、Facebookとページ管理者の責任を明確にしました。これは、データ処理の透明性に関する疑問を考慮したものです。連邦政府機関もFacebookページを利用して、プライバシーに準拠した方法でFacebookプラットフォーム上の人々とコミュニケーションをとることができるようにすることは、私たちにとって重要です。

昨年夏のCJEUによるSchrems II判決後の法的不確実性により、Facebookにとってさらなる複雑な事態が生じている。

欧州最高裁判所は、企業が適切なデータ保護レベルを自己証明することを可能にしていたEU・米国間のプライバシーシールド協定を無効とし、EUユーザーの個人データを米国に移転する最も容易な手段を奪った。また、同裁判所はEUユーザーの個人データの国際移転を全面的に禁止したわけではないものの、情報が危険にさらされるような場所や方法で移転されていると疑われる場合、データ保護機関が介入し、データフローを停止しなければならないことを明確にした。

Schrems II に従えば、Facebook の場合のように、データが FISA 702 の対象となる米国企業によって処理されている場合、米国への転送は明らかに問題となります。

実際、FacebookによるEUから米国へのデータ移転は、シュレムスII訴訟(マックス・シュレムス氏名義)の原告の当初の標的でした。この巨大IT企業に対するEUデータ監督機関の責任者が、昨年同社に対しEUへのデータ移転を停止するよう命じた予備命令を実行するかどうかは、まだ決定されていません。この命令は今後数ヶ月以内に発令される予定です。

アイルランドで長らく待ち望まれていた清算を前に、他のEUデータ保護機関も行動を起こし始めており、ケルバー氏の書簡ではシュレムスII判決がもう一つの懸念事項として言及されている。

トソーニ氏は、GDPRの執行がようやく強化されつつあることに同意する。しかし同時に、シュレムスII判決の遵守には、個々のデータフローをケースバイケースで評価する必要があること、そしてデータ管理者が適用できる可能性のある様々な補足措置を考慮すると、多くの微妙なニュアンスが伴うと指摘した。

「この展開は、欧州のデータ保護当局が、シュレムスIIでCJEUが解釈したGDPRデータ移転要件の施行に真剣に取り組んでいることを示している。ドイツ連邦データ保護・自由委員がこれを新たな問題点として指摘したからだ」と彼は述べた。

しかし、ドイツ連邦コミッショナーは、欧州司法裁判所(CJEU)のシュレムスII判決を受けて、欧州データ保護局(EDPB)が国際データ移転に関する補足措置に関する勧告の最終版を採択する数日前に、Facebookページの利用に関する書簡を送付しました。したがって、ドイツのデータ保護当局が、ドイツの公的機関によるFacebookページの利用に関するGDPR遵守状況を今後評価する際に、これらの新たな勧告をどのように考慮するかは、依然として不透明です。

「こうした勧告は、米国へのデータ転送を全面的に禁止するものではないが、厳格な安全対策の導入を義務付けるものであり、Facebookページを訪問したドイツ人のデータを米国に転送し続けるためには、この安全対策に従う必要がある。」

欧州司法裁判所による最近の別の判決では、EUのデータ保護機関は、GDPRのワンストップショップメカニズムの下で特定の企業の主任データ管理者ではない場合でも、一定の状況下で行動を起こすことができると再確認され、現地機関が緊急の対応が必要だと判断した場合、加盟国の監視機関による訴訟の可能性が拡大している。

しかし、ドイツ政府機関による Facebook ページの使用に関しては、共同法管理者に関する以前の CJEU の判決により、BfDi がすでにこれらの機関の Facebook ページ自体をターゲットとする明確な管轄権を持っていることが示されています。

https://twitter.com/maxschrems/status/1410528986338402306

欧州最高裁判所、漏洩リスクのあるソーシャルプラグインを使用するサイトへのガイドラインを強化

欧州最高裁判所は、プラットフォームに関するプライバシーの責任について幅広い見解を示している

欧州最高裁判所、EUと米国間のデータ移転の旗艦メカニズムを無効化