お客様にとってもっとも関心のある知財や独禁法・金融・労使関係などの最新の話題をお届けします。
御社の法務・経営戦略にお役立てください。

-
チャットボットとプライバシーの主張 (23/05/26)
2022年、カリフォルニア州プライバシー侵害法(CIPA)など、盗聴に関する州法に基づいて、チャット機能やセッション・リプレイのソフトウェアを使用するウェブサイトの運営者に対して、集団訴訟の波が起こった。 例えば、Claburn事件、Thomas事件、 Intelが自社サイト、「The Register」上でキーボードの操作やマウスの動きを追跡するためにアナリティクスを使用しているため、盗聴で告発されている件( Intel accused of wiretapping because it uses analytics to track keystrokes, mouse movements on its website • The Registerで閲覧可能)を参照。 この種の訴訟は、フロリダ州やペンシルベニア州など他州でも存在する。 集団訴訟を専門とする多くの原告らの弁護士が、CIPA第631条の主張を取り上げている。 事実上同一の「お決まりな」主張をしている、このような訴訟の数は爆発的に増加している。
こうした動きは、Javier v. Assurance IQ, LLCという第9巡回区裁判所の最近かつ未公表の決定によって、一部で拍車がかかっている。 Javier事件判決では、第9巡回区裁判所が、連邦地裁によるCIPA法の主張に関する却下を取り消し、遡及的な同意は有効な抗弁にはならないと判示した。 しかし、Javier事件判決は、申立てに基づくCIPA法違反の存在を認めたものではなく、被告が主張する他の抗弁についても触れていない。
チャット機能やセッション・リプレイの技術を利用するウェブサイト運営者は、増加する訴訟に直面している。 しかし、多くの抗弁や選択肢を利用することができる。 本稿では、セッションリプレイのソフトウェアやチャットボット技術の文脈におけるCIPAの主張に関する法的状況、及びリスクを軽減し、そのような主張に対応するための戦略について説明する。
CIPAとは何か、そして請求の根拠は何か? CIPA(第630条以下参照)は、1967年に制定され、私的な通信の録音や盗聴を禁止している。 その目的は、"プライバシーの権利を保護すること、とりわけ全ての当事者が会話の録音に同意することを要求することによって"である。 Flanagan v. Flanagan, 27 Cal. 4th 766, 769 (2002)参照。 カリフォルニア州刑法631条(a)は、「盗聴」に対する刑事責任に加えて民事責任も定めており、以下のように規定する:
(a)[1]機械、器具、若しくは装置の使用又はその他の方法で、物理的、電気的、音響的、誘導的、またはそれ以外かを問わず、電信または電話線、回線、ケーブル、機器(内部電話通信システムの電線、回線、ケーブル、機器を含む)を意図的に盗聴したり、不正に接続したりした者、 若しくは[2]故意に、通信の全当事者の同意なしに、又は許可されていない方法で、メッセージ、報告、又は通信が電線、回線、又はケーブルを通信中若しくは通過中、又は州内の任意の場所から送信若しくは受信されている間に、その内容または意味を読み、又は読み取ろうとする者; [3]そのようにして得た情報を、方法又は目的を問わず、使用し若しくは使用しようとし、又は何らかの形で伝達する者、又は[4]本節で上記に規定した行為又は事柄を不法に行い若しくは許可し、又は行わせるために、他の個人又は複数人を援助し、同意し、雇用し又は共謀する者. . .
カリフォルニア州最高裁判所は、これを「意図的な盗聴、有線通信の内容や意味を故意に知ろうとする行為、上記2つの行為のいずれかに従事した結果得られた情報を使用又は伝達しようとする行為という、3つの明確かつ相互に独立したパターンの行為」に要約している。 Tavernetti v. Superior Court of San Diego Cty., 583 P.2d 737, 741 (Cal. 1978)。 第631条(a)の下では、ある人が他人の会話を密かに聞いた場合、その人は責任を負う。Ribas v. Clark, 38 Cal. 3d 355, 359 (1985). 勝訴した原告は、1回の違反につき5,000ドル、または実際の損害額がある場合はその3倍のいずれか大きい額を回収する権利がある。 カリフォルニア州刑法第637.2条(a)。裁判所は、同法は実際の損害の証明を要しないと判断している。
In re Facebook, Inc. Internet Tracking Litig., 956 F.3d 589 (9th Cir. 2020)において、Facebookが不適切にプラグインを使用して、ログアウトしたユーザーが第三者のウェブサイトを訪れた際の閲覧履歴を追跡し、その閲覧履歴を広告主に販売するために収集したとする原告の申立てについて、第9巡回区裁判所は、CIPA第631条(a)を適用した。 第9巡回区裁判所は、フェイスブックのサーバーへの「GETを使用したリクエスト」の転送と複製という文脈では、フェイスブックは「当事者免責」(すなわち、コミュニケーションの当事者である人物がCIPA上の責任から免責されること)を受ける資格がない、とした。 同上(引用:Warden v. Kahn, 99 Cal. App. 3d 805 (1979)). 第9巡回区裁判所は、盗聴の責任を負うのは(当該通信の実際の当事者ではなく)第三者だけであることを強調する一方で、ある企業が二者間の通信を密かに複製した場合、免責の対象にはならないと結論づけた。
どのような技術が問題になっているのか? ウェブサイト上で一般的に使用されている技術を中心に、盗聴事件の新しい潮流が起こっている。 セッション・リプレイ技術は、クリック、スクロール、スワイプ、タイピングなど、ウェブサイト上でのキーボードの操作やマウスの動きに関するデータを収集する。 そして、ウェブサイト訪問者のウェブサイトとのやりとりの動画が作成される。 訪問日時、IPアドレス、ブラウザ及びオペレーティングシステム、並びに地理的な場所などの訪問者のデータが記録されることがある。 訪問者が個人を特定できる情報を入力した場合―例えば、クレジットカードを使用して製品を購入する場合―、その情報も記録されることがある。 通常、ウェブサイト運営者は、ソフトウェアのベンダーのコードを使用してウェブサイトのやりとりを保存し、ウェブサイトの相互作用の「ビデオ」を見ることによって確認することができる。
より最近の訴訟の潮流では、訪問者がバーチャル・アシスタントや顧客サービス担当者とテキストで会話できるバーチャル・チャットボットをウェブサイトが使用したことに基づく違反が主張されている。 こうした訴訟の原告らは、ウェブサイト運営者である被告らが、会話の「トランスクリプト」を記録するコードを「密かに」埋め込み、第三者のベンダーがこれらのチャットのやり取りを入手し保存できるようにしたと主張する。このことは、チャットサービスやビデオ録画の提供に第三者のベンダーを関与させたという点で、州の盗聴法違反にあたると原告らは主張する。 さらに、原告は、ウェブサイト運営者らが第三者である技術ベンダーを使用したことから、違反を幇助したとも主張する。第631条(a)の第1項は、電信又は電話の申し立てにのみ適用されると考えられており、(Mastel v. Miniclip SA, 549 F. Supp. 3d 1129, 1135 (E.D. Cal. 2021)参照) (同項を「電信又は電話」の盗聴にのみ適用するという解釈を採用する「圧倒的多数の権威」に注目)、第3項は原告が情報を使用又は通信しようとしたと主張する場合のみ適用される。
この文脈で盗聴法を適用することは奇妙に思われるかもしれない。というのも、原告らは、公共のウェブサイトを利用する人のやりとりに同法を適用しようとしている。盗聴法が禁止している、私的な電話の会話を秘密裏に盗み聞きすることと比較してほしい。例えば、Ribas, 38 Cal. 3d at 359(「立法府は、第631条(a)が、夫と前妻との私的な会話を第三者が聴取するような、私的な会話の密かな聴取を禁止することを想定していたと合理的に推測される」)を参照。 また、現代のウェブサイトの典型的なユーザーは、ウェブサイトが第三者によって提供されたアナリティクスを使用していることを本当に知らないかにも疑問がある。
Javier 判決 Javier v. Assurance IQ, LLC, 2022 WL 1744107, at *1 (第9巡回区裁判所。2022年5月31日)事件では、原告が生命保険見積もりのオンライン・プラットフォームAssurance IQ, LLCとその「パートナー」ActiveProspectを被告らとして、CIPA違反で提訴した。原告は、 ActiveProspectがAssuranceをはじめとするウェブサイトに「TrustedForm」と呼ばれる製品を提供し、フォームページに貼り付けることで、キーボード操作、マウスクリック、その他のウェブサイト訪問者からのウェブサイトへのコミュニケーションを記録し、これによってウェブサイトのオーナーは、訪問者が連絡を受けることへの同意を含め、ウェブサイトとユーザーのやり取りを動画に記録できるようにしていると主張した。 原告は、Assurance社のウェブサイトを訪問した際、TrustedFormがウェブサイトとのやり取りをリアルタイムで捉え、そのやり取りを記録した動画を作成したと主張した。一方で原告は、ウェブサイト上で保険の見積もりアンケートに答えた後、「見積もりを見る」ボタンをクリックし、「ウェブサイトのプライバシーポリシーに同意する」という意思表示を暗示していた。 Javier v. Assurance IQ, LLC, No. 20-CV-02860-JSW, 2021 WL 3669343, at *1 (N.D. Cal. Aug. 6, 2021)。原告は、ウェブサイトとのやりとりが記録された後まで、プライバシーポリシーに同意するよう求められなかった。 被告は、原告がAssuranceのプライバシーポリシーに同意することで、記録されることに遡及的に同意していたことを根拠に、棄却させることに成功した。 未公表の決定で、第9巡回区裁判所はこれを覆した。
第9巡回区裁判所はまず、第631条は「盗聴の観点から書かれている」が、「インターネット通信に」広く適用されるとした;同法は「通信の全ての当事者の同意なしに通信の『内容を読む、または読もうとする、または内容を知ろうとする』者に責任を課す」。 Javier, 2022 WL 1744107, at *1 (引用省略)。 その上で、裁判所は、CIPAでは「通信の全当事者の事前の同意」が必要であり、遡及的な同意では不十分であると判示した。 原告は、問題となっている録音前に同意を与えなかったと主張していたため、第9巡回区は、連邦地裁の棄却命令を取り消した。 しかし、第9巡回区裁判所は、その判示が同意の問題に限定的に適用されることを明示し、「Javierがデータ収集に黙示的に同意したか、ActiveProspectが第631条(a)の第三者に該当するか、時効が成立しているかなど、被告らの他の主張には及ばない」とした。
訴訟リスク 第631条(a)は、チャットボットやセッション・リプライの技術をウェブサイトで使用する企業にとって、訴訟リスクをもたらす。 たとえ正当な抗弁が存在する場合でも、訴訟の脅威は依然としてあり、訴訟に付随する費用や手数料(却下の申立てが停止されている間に、原告が求める訴状やディスカバリなどについて対応するためにかかるもの)が発生する可能性がある。ただし、Zarnesky v. Adidas Am., Inc., No. 6:21-CV-540-PGB-GJK, 2021 WL 3729230, at *1 (M.D. Fla. June 10, 2021) (セッション・リプレイの事例において、「稀なこと」であると認識しつつ、裁判所が被告の却下の申立てを判断するまでディスカバリを停止するという被告の申立てを許可した)を参照。
この訴訟の脅威に対して、ウェブサイト運営者が取ることのできる行動はいくつかある。まず、ウェブサイト運営者は、セッション・リプレイ技術やチャットボットの利用を開始する前に、明示的な事前の同意を得る仕組みを導入することができる。例えば、ウェブサイト訪問者に対し、録画を開始する前に、プライバシーポリシーに同意をすることを求めるなどである。また、考え得る防衛策の実行可能性を評価するためには、運営者のウェブサイトとの訪問者のやり取りを収集、監視又は記録するために使用されるあらゆる技術の機能を十分に理解することが重要である。
このような盗聴訴訟に直面した被告については、明示的な事前の承諾を得る以外にも、いくつかの抗弁が可能である。
黙示の同意。 第9巡回区裁判所は、Javier事件において、黙示の同意が差戻し後の抗弁となり得るかどうかを明確に留保している。この議論の外延は、何が十分な黙示の同意として認められるかを含め、まだ訴訟されていない。 第631条(a)は「......同意がない」行為を禁止するものである。 第9巡回区の少なくとも1つの裁判所は、同意は「明示的または黙示的」である可能性があると見解を示している。Calhoun v. Google LLC, 526 F. Supp. 3d 605, 620 (N.D. Cal. 2021); 以下の事例を参照。 Cal. Prac. Guide Civ. Pro. Trial Claims and Def. Ch. 4(VII)-B (横領の文脈で、「原告の行動または不作為から同意が暗示されることがある」とした。); Jones v. Corbis Corp., 815 F. Supp. 2d 1108, 1113-1114 (C.D. Cal. 2011) (女優が、写真が撮影されること、及び、そのような写真を広く使用し拡散することがエンタテインメント業界の慣習であることを知っていた場合、被告の販売用ウェブサイトに「レッドカーペット」の写真を掲載することに黙示に同意したと認められた。) (カリフォルニア州法を適用); Hill v. Nat’l Collegiate Athletic Assn., 7 Cal. 4th 1, 26 (1994) (「プライバシー侵害事件の原告は、プライバシーに対する実際の期待に一致した方法で自分自身が行動していた必要がある。すなわち、被告の侵害行為に対する自発的な同意を自分の行動によって示してはならない」。); Adler v. Community.com, Inc., No. 2:21-CV-02416-SB-JPR, 2021 WL 4805435, at *5 (C.D. Cal. Aug. 2, 2021) (CIPAの文脈で、「同意を判断するための『重要な問題』は、問題となる当事者が監視されていることを『適切に通知していた』かどうかである」); しかし、 Javier v. Assurance IQ, LLC, No. 20-CV-02860-CRB, 2023 WL 114225, at *3 (N.D. Cal. Jan. 5, 2023) (差戻し審において、被告は、原告が通信が傍受される可能性があるという積極的な通知を受けた後も、ウェブサイトを利用し続けたことを立証していないと結論づけた。)も参照 。したがって、具体的な申し立てに基づき、ユーザーがウェブサイトを訪問し、ユーザーが入力した情報が第三者のベンダーによって収集、記録又は処理されることを認識しながら、ウェブサイトの使用を継続する場合、やりとりした情報の収集、記録又は処理に対する黙示の同意として十分であると考えられる。 他の文脈と同様に、同意の抗弁が可能かどうかは、提供された通知、その通知の内容、通知が目立つかどうかなど、実際の事実関係に依存すると思われる。
当事者の例外。 原告は、CIPA違反を主張するためには、通信を傍受した者が第三者であり、通信の当事者ではなかったことを主張しなければならない。In re Facebook, Inc. Internet Tracking Litig., 956 F.3d at 607 (CIPAが「通信の 『当事者』である者の責任の免除を含む」と説明している。); Ribas, 38 Cal. 3d at 359 (「第631条は、...盗聴、つまり第三者が会話を秘密裏に監視することを対象としていた。」)。 セッション・リプレイのソフトウェアのCIPAに関する請求を検討したカリフォルニア州の多くの連邦地方裁判所は、当事者免責に基づく主張を棄却した。 逆に、裁判所は、これらのソフトウェア・ベンダーは、ウェブサイト運営者が自身のデータを分析するためのサービスを提供していると結論付けた。 以下の事例を参照 Graham v. Noom, Inc., 533 F. Supp. 3d 823, 833 (N.D. Cal. 2021) (ベンダーは、「(ウェブサイト運営者が)自らのデータを記録し、分析することができるツールを提供した」); Yale v. Clicktale, Inc., No. 20-CV-07575-LB, 2021 WL 1428400, at *3 (N.D. Cal. Apr. 15, 2021) (「Clicktale は第三者の盗聴者ではない。顧客が自分のウェブサイトのやりとりを監視できるソフトウェアサービスを提供するベンダーである。」); Johnson v. Blue Nile, Inc., No. 20-CV-08183-LB, 2021 WL 1312771, at *2 (N.D. Cal. Apr. 8, 2021) (同上); Williams v. What if Holdings, LLC, No. C 22-03780 WHA, 2022 WL 17869275, at *3 (N.D. Cal. Dec. 22, 2022) (同上)。 しかし、他の裁判所は、反対の結論に達している。以下の事例を参照 Revitch v. New Moosejaw, LLC, No. 18-cv-06827-VC, 2019 WL 5485330, at *1 (N.D. Cal. Oct. 23, 2019) (eコマースサイトと提携し、訪問者のデータを傍受して消費者情報のマーケティング・データベースを作成していたマーケティング会社に関するもの。); Saleh v. Nike, Inc., 562 F. Supp. 3d 503, 521 (C.D. Cal. 2021) (第三者のベンダーがウェブサイトの通信に同時にアクセスしていた場合、当事者免責は適用されない); Yoon v. Lululemon United States, 549 F. Supp. 3d 1073, 1077 (C.D. Cal. 2021) (「[原告]は、[第三者]が、彼女のリアルタイムのデータをキャプチャし、保存し、解釈していると主張している―それはテープレコーダーの通常の機能を超えている。したがって、当該主張は当事者の例外の抗弁により妨げられない」); Javier, 2023 WL 114225, at *5 (原告は、「ActiveProspectがAssuranceのウェブサイトへの訪問に関する情報を監視、分析及び保存し、並びにActive Prospectがその情報を他の目的のために使用できると主張しており、Javierが本件でそうしたと主張していないとしても、[テープレコーダーの通常の機能を超えている。」したがって、第三者免責は適用されない。しかし時効を理由に請求は棄却された) (引用及び引用符省略)。ある裁判所がこの問題を言い表したように、「[ベンダー]が[ウェブサイト運営者]の通信を盗聴するために雇われた独立した第三者なのか、[ベンダー]のソフトウェアが[ウェブサイト運営者]が原告との通信を記録するために使ったツールにすぎないのかに帰着する」のである。ある裁判所がこの問題を言い表したように、「[ベンダー]が[ウェブサイト運営者]の通信を盗聴するために雇われた独立した第三者なのか、又は[ベンダー]のソフトウェアが[ウェブサイト運営者]が原告との通信を記録するために使ったツールにすぎないのかに帰着する」のである。 Williams v. What if Holdings, LLC, No. C 22-03780 WHA, 2022 WL 17869275, at *3 (N.D. Cal. Dec. 22, 2022); see also Yoon, 549 F. Supp. 3d at 1081 (「アナログな言い方をすれば、問題はこのようになる:量子力学はルルレモンが持っているテープレコーダーなのか、それともドアの外に立っている盗聴器なのか?」)。
セッション再生ソフトウェアの文脈では、CIPA違反がなかったと判断した裁判所は、申立てが後者に相当すると結論付けている:すなわち、ベンダーは、ウェブサイト運営者自身が情報を収集するために「レコーダーとして機能するものであり、盗聴器ではない」製品を提供したものであると。 Williams, 2022 WL 17869275, at *3 を参照。 しかし、チャットボットの申立てを含む苦情は、第三者ベンダー自身が、ウェブサイト運営者に対して行われている通信を収集・記録していると主張することで、この議論を回避しようとする可能性がある。「当事者」性の議論がこのような主張に対する防御に成功するかどうかは、訴状の申立てと特定の技術-例えば、ベンダーがチャットボット機能用のウェブサイトに埋め込まれたコードであるソフトウェアを提供しているか、ベンダー自身がデータを収集、保存、使用しているか、など-に左右される可能性がある。例えば、Revitch, 2019 WL 5485330 at *1-*2。一部の訴状は、第三者ベンダーによるチャット通信へのリアルタイムの同時アクセスを主張することで、この議論を回避しているようである。さらに、この法領域は依然として進化を続けている。 Javier, 2023 WL 114225, at *5 (summarizing split)を参照。
内容。 セッション・リプレイのソフトウェアの使用を前提とした事件の却下申立てを検討したいくつかの裁判所は、コンテンツ以外の情報を前提とした範囲において、請求または請求の一部を却下している。 第631条(a)は、あらゆる通信の内容への不正アクセスを禁止している。 連邦盗聴法の分析において、第9巡回区裁判所は、「内容」には、「氏名、住所、契約者番号又は契約者若しくは顧客の身元 などの「通信の過程で発生するメッセージの特性に関する記録情報」は含まれないと説明する。 In re Zynga Priv. Litig., 750 F.3d 1098, 1106 (9th Cir. 2014)を参照。一部の裁判所は、セッション・リプレイの文脈では、取得したとされる情報が発信元、日付及び時間の情報などのメッセージの特性のみである場合、CIPAの請求は却下の対象となり得ると判示した。 例えば、Graham, 533 F. Supp. 3d at 833; Yale, 2021 WL 1428400, at *3; Johnson, 2021 WL 1312771, at *2 を参照。対照的に、チャットボット技術の使用に基づく第631条(a)の請求を検討した、少なくとも1つの連邦地方裁判所は、原告が「センシティブな個人情報」を共有したと主張した場合、これは会話が「単なる記録情報以上」を含むと主張するのに十分であり、したがって第631条(a)に基づき請求を行うのに十分であると結論付けた。 Byars v. The Goodyear Tire and Rubber Co., Case No. 5:22-cv-01358-SSS-KK, Dkt. 175 (C.D. Cal. February 3, 2023)参照。同裁判所は、原告が弁論の段階で「通信の正確な内容を主張する」必要はないと結論づけた。同上。
伝達中。 第631条(a)の第 2 項は、通信が「電線、回線若しくはケーブルを伝達中若しくは通過中、又は(カリフォルニア)内の任意の場所から送信中、または受信中」に被告が通信の内容を知ろうとすることを要件とする。 すなわち、通信が「伝達中」又は通信が「送信中」若しくは「受信中」に行われることと、その行為がカリフォルニア州内で行われることの両方を必要とする。ある地方裁判所は、iPhone上のアプリが他のアプリから内容を複製した場合、そのコンテンツは「以前に送信され又は以前に受信した通信」から得られたものであるため、この行為は「伝達中」の要件を満たさないとした。すなわち、アプリが「過去において、通信が伝達中、又は送信若しくは受信の過程で通信内容を読んだり知得したことがある」という主張はなかったということである。 Mastel, 549 F. Supp. 3d at 1132(強調付加); 以下の事例も参照Adler v. Community.com, Inc., No. 2:21-CV-02416-SB-JPR, 2021 WL 4805435, at *4 (C.D. Cal. Aug. 2, 2021); Quigley v. Yelp, Inc., No. 17-CV-03771-RS, 2018 WL 7204066, at *4 (N.D. Cal. Jan. 22, 2018) (「『傍受』は、通信が「電子的に保存されている状態ではなく伝達中に取得される」場合にのみ起こりうる。」) 。 この抗弁がチャットボット技術に適用されるかどうかは、技術の正確な機能とあらゆる訴状の申立てに左右されるだろう。ある連邦地裁は、最近、原告は、第三者が提供するサービスが「ウェブサイト訪問者のチャット会話を『リアルタイムで傍受した』」と主張したことで、弁論段階で第631条(a)の請求を十分に満たしたと結論付けた。 Byars v. The Goodyear Tire and Rubber Co., Case No. 5:22-cv-01358-SSS-KK, Dkt. 175 (C.D. Cal. February 3, 2023。
第3条の損害。 原告がセッション・リプレイのソフトウェアを利用したウェブサイトで個人情報を入力したと主張していない場合において、少なくとも1つの裁判所は、閲覧活動を記録するだけでは、連邦裁判所において第3条違反を主張するために必要な具体的な損害としては不十分であると判断している。Massie v. Gen. Motors LLC, 2022 WL 534468, at *2 (D. Del. Feb. 17, 2022) (「原告は、本件で問題となるセッション・リプレイのソフトウェアによって取得された、匿名化されたデータに関して、プライバシーに対する合理的な期待を抱くものではない」とし、こうした状況下で原告の「個人情報をコントロールする利益」に対する具体的損害があったという主張を退けた)を参照; 一方で In re Facebook, Inc. Internet Tracking Litig., 956 F.3d at 597-98 (原告がプライバシー侵害を主張した場合、CIPA請求が成立する。)も参照。この特定の主張が他の事例に適用できるかどうかは、問題となる情報の内容に関する実際の主張、そしてもちろん訴訟が行われる場所によって左右されるだろう。
その他の抗弁の可能性。 時効の抗弁など、事例によってはその他の抗弁も可能な場合がある。 Javier, 2022 WL 1744107, at *2を参照。
まとめ。 企業は、自社のウェブサイトで使用されている技術を十分に理解することを含め、盗聴法令の遵守を徹底してこの訴訟に先手を打つべきであり、そして明示的な同意を得るための手続きの実施を検討すべきである。
クイン・エマニュエル・アークハート・サリバン外国法事務弁護士事務所
東京オフィス代表 ライアン・ゴールドスティン
この件につきましてのお問い合わせ先
マーケティング・ディレクター 外川智恵(とがわちえ)
chietogawa@quinnemanuel.com