お客様にとってもっとも関心のある知財や独禁法・金融・労使関係などの最新の話題をお届けします。
御社の法務・経営戦略にお役立てください。
-
フェイスブック、クッキーとデータプライバシー
今まさに転換期か。 (20/07/22)
データプライバシーの問題は新聞の見出しを飾り続けている。昨今ではフェイスブックによるユーザーらが第三者のウェブサイトを訪れた際のブラウジング履歴を追跡するプラグインの使用に関することが問題となった。これらのブラウジング履歴は個人プロファイルへと集約され、フェイスブックはこうした個人プロファイルを広告主へ販売している。2020年4月9日のIn re Facebook, Inc. Internet Tracking Litigation (20 Cal. Daily Op. Serv. 3227)において第9巡回裁判所は、ユーザーがフェイスブックからログアウトした後にフェイスブックがユーザーらのブラウジング履歴を追跡していたことから、コモンローと法定のプライバシーが侵害されたとするユーザーらの申し立てを支持し、ユーザーらにフェイスブックに対して暫定的なクラスアクションを提起することを認めた。
第9巡回裁判所の判断は2つ観点から注目に値する。まず裁判所がプライバシー侵害は確かな損害であるという前提を補強したことで、他のデータプライバシークラスアクションの実行にゴーサインを与えたということ。2つ目に、ある特定のユーザーの追跡テクニックを通信傍受法(18 U.S.C., §2510)の「当事者免責」から排除することで、これらのテクニックを用いるインターネット会社らは通信傍受法のもと法的責任を問われるという。
背景
フェイスブックのクッキーはユーザーがフェイスブックのプラグインを備えた第三者のウェブサイトを訪問する際にユーザーのブラウザに付帯している。フェイスブックの「ライク」ボタンのようなプラグインには追跡を促進するために第三者ウェブサイトに埋め込まれたコードが含まれている。フェイスブックユーザーがフェイスブックのプラグインがある第三者ウェブサイトを訪問すると、コードは複製することができ、ユーザーのデータをフェイスブックに、別ではあるがユーザーからは検出できない同時の通信で送り返すことができる。
個別の検出不可能な通信内の情報には統一資源位置指定子(URL)が含まれる。URLはユーザーアイデンティティ、ウェブサーバー、ウェブ名とページを探し当てるのに使われる検索語を提供することができる。URLは一度集められると、「リファラヘッダー」として言及される。
ユーザーのブラウザ上のクッキーは集められた個人のヘッダーを個人ユーザープロファイルとして編集されることを可能にする。フェイスブックはその後、その情報を広告者に収益を生み出すために販売する。申し立てによると2010年5月27日から2011年9月26日の間にフェイスブックのクッキーはこのような方法でユーザーを彼らがフェイスブックのアプリからログアウトしていた際に追跡し続けていたという。
原告らは自らと、問題となっている機関にフェイスブックアカウントを持っていた想定上の人々に代わって連結の申し立てを提起し、連邦法のfederal Stored Communications Act (SCA) (18 U.S.C. § 2701)、通信傍受法とカリフォルニアプライバシー侵害法(CIPA)(Cal. Pen. Code § 631(a))の侵害をコモンローのプライバシー侵害の申し立てとその他の申し立てとともに主張した。
一連の修正答弁ののち、地方裁判所は最終的にフェイスブックの却下申し立てを認可した。根拠は1つ目に原告らに当事者適格が欠けていたこと、2つ目に申し立てを言明することに失敗したことだ。
第9巡回裁判所の判断
部分的に地方裁判所の判決を覆したことで第九巡回裁判所は原告らに第3条(U.S. Const. art. III)の下すべての申し立てを提起する当事者適格があったと判断した。しかし、裁判所は通信傍受法とCIPAとコモンロープライバシーの申し立てのみがフェイスブックのルール12(b)(6)の棄却の申し立てに打ち勝つに十分であると結論付けた。(Fed. R. Civ. P. 12(b)(6)).
第3条当事者適格(スタンディング)
Spokeo v Robins訴訟によると第3条の当事者適格は原告らに「(1)事実として損害を被ったこと(2)問題がある被告の行為が比較的追跡可能で(3)好ましい判決によって補償されるであろう」 ことを要求する。(136 S. Ct. 1540 (2016))
プライバシーの主張にまず立ち戻って、第九巡回裁判所は原告らが「抽象的」、もしくは「抽象的」な損害とは対照的なものであり、一般に経済的、もしくは身体的な損害によって特徴づけられる「確か」で「特異的な」損害を被ったのか否かに焦点をおいた。経済的、もしくは身体的な害がないことはデータプライバシー訴訟でよくみられる特徴である。
しかし、第9巡回裁判所は「歴史的なコモンロー上の権利に類似の」確固とした利権を保護する立法趣旨があった法律の侵害があった場合に、Spokeo訴訟テストの最初の分点もまだ満たすことができると結論付けた。
ここで第9巡回裁判所はプライバシーの侵害の主張は第3条の当事者適格のための確たるものであるとし、特定のものに向けられた損害を構成したと判断した。これは第9巡回裁判所の2019年8月のin Patel v. Facebook訴訟での判決が既にプライバシー権への歴史的なコモンロー上の権利を認識しており、また立法経緯が通信傍受法とCIPAが「これらの歴史的プライバシー権を保護することが意図されている」ものであると示唆していたためである。
次に第9巡回裁判所は他の詐欺、窃盗、動産への不法侵入とカリフォルニア州のコンピュータ・データ・アクセスと詐欺法の申し立てに移った。特に原告らはフェイスブックが収益を得るために彼らの個人のプロファイルを広告者らに販売した際に「不当に利得を得た」と主張した。そして、フェイスブックはこれらのプロファイルは3条の当事者適格を意図した実体的な原告への損害を生じさせないと主張した。
この問題に関して第9巡回裁判所は最初に「州法は連邦裁判所での原告適格を支持する利権を作りうる」との原則を強調した。そしてカリフォルニア州法の参照による不当利得による利得の吐き出しの概念を使って、第9巡回裁判所はこのケースには原告ら自身が経済的な損害を被っていないにもかかわらず、不当な利得は確たる損害を構成すると判断し、したがって原告らには彼らの申し立てに当事者適格があると判断した。
クレームの不記載ールール12(b)(6)
申し立ての言明に失敗したことによる棄却の申し立てにおいて勝ち抜くためには、事実が救済を得る資格を生じさせるようなものであると裁判所に納得させなければならない。
この文脈では第9巡回裁判所は原告らが契約の違反とSCAの申し立てを含むプライバシー関連でない申し立てに関してその申し立てを言明することに失敗したとしたものの、コモンローのプライバシー、CIPAと通信傍受法の申し立てはフェイスブックのルール12(b)(6)の棄却の申し立てを乗り切るのに十分であるとした地方裁判所の判断を支持した。
契約に関する申し立ては、第9巡回裁判所が当事者間に契約はなかったと判断したため不成立となった。また、裁判所は原告らのフェイスブックの2011年データ使用ポリシーに「ログアウトしたユーザーらの履歴を追跡しないとした明白な約束」が含まれているとする主張を却下した。
原告らのURLに基づいたSCAの主張も裁判所によって却下された。裁判所はURLが電子的に格納された「送信に付随する」(電子メールのような)「通信」ではないために、URLはSCAの範囲内にはないと結論付けた。第九巡回裁判所はさらにURLが「通信」であったとしてもフェイスブックは原告らの「格納された」ブラウジング履歴にアクセスしていないという点を指摘した。
原告らのプライバシー侵害の申し立てに関してカリフォルニア法は原告らに「プライバシーへの合理的な期待」があって、フェイスブックによる侵害が「非常に攻撃的」であったことを要求する。ここで第9巡回裁判所は原告らにプライバシーの合理的な期待があったと結論付けた。これはフェイスブックがユーザーらがフェイスブックからログアウトしている際にはデータの収集をしないとする「断言的な声明」をその権利と責任とデータ利用ポリシーで表明していたからだ。ここでは、原告らは主張されている侵害の際にはフェイスブックから「ログアウト」していた。第9巡回裁判所は訴答段階後に地方裁判所がフェイスブックの侵害が「非常に攻撃的」であったのか否かについて判断することがより適当であったとした。なぜなら分析に社会的規範とより広範なポリシーの検討がかかわっていたからだ。
最後にフェイスブックは原告らのCIPAと通信傍受法の請求を棄却する申立てを支持し、「当事者(パーティー)」免責を主張した。しかし、「パーティー」という言葉はいずれの制定法でも定義されておらず、巡回裁判所らは通信傍受法での免責において誰が通信での「当事者」として適格するのかについて意見が分かれている。最終的には第9巡回裁判所は第1と第7巡回裁判所の解釈に与して、フェイスブックが、ユーザーの検出不能な通信のコピーを作成し、自らに送り返した際の通信では「当事者」ではなかったとの判断を下した。そうすることで、第9巡回裁判所は第3巡回裁判所のこれらの追跡の実態が、インターネット追跡企業が意図された「当事者」である2つ目の離散通信路を作っているとする見解を否定した。 (参照In re Google Cookies, 806 F.3d 125 (2015)). 第3巡回裁判所の解釈はこの種の追跡技術を単純な「盗聴」と区別して通信傍受法の範囲外に置く。
結論
インターネットと広告会社は彼らがいかにしてユーザーらのデータを集めるのかについて慎重に検討するべきであり、特にクッキーに基づいたブラウザ追跡を行う会社は慎重に検討すべきである。最高裁判所が通信傍受法の「当事者免責」の範囲に関する第9巡回裁判所の意見の分断を解決するまでは、企業らはターゲット広告のトラッキング技術を変更する必要があるかもしれない。さらに、ユーザーデータの販売により利益を得ている企業らはIn re Facebook, Inc. Internet Tracking Litigation訴訟での判断がこの領域でのデータプライバシー訴訟の重要な分岐点となる可能性に留意すべきである。
クイン・エマニュエル・アークハート・サリバン
外国法事務弁護士事務所
東京オフィス代表 ライアン・ゴールドスティン
この件につきましてのお問い合わせ先
マーケティング・ディレクター 外川智恵(とがわちえ)
chietogawa@quinnemanuel.com