ピーター・セイヤー CNILのイザベル・ファルク・ピエロタン議長、2016年2月3日ブリュッセルでの記者会見にて。
フランスのデータ保護当局は、Facebookに対し、ユーザーの個人データの米国への転送の一部を停止し、同社ウェブサイトを訪問するユーザーと非ユーザーのデータの取り扱い方法を変更するよう命じた。
月曜日遅くに発表された、国家情報自由委員会(CNIL)の命令は、欧州連合司法裁判所が昨年10月に下した命令を想起させるものである。同裁判所は、データが米国政府機関によるスパイ行為から保護されていないとして、欧州連合と米国間の個人データ移転を規定する「セーフハーバー」協定を無効と宣言した。
米国とEUは今月、セーフハーバーに代わるものとしてEU・米国間プライバシーシールドと呼ばれる取り決めに合意したが、欧州各国のデータ保護当局がまず個人データが適切に保護されるか評価する必要があるため、まだ運用されていない。
CNILは、Facebookのデータポリシーを指摘し、同社は「米国商務省が定めた、欧州連合およびスイスからの情報の収集、使用、保管に関する米国・EU間および米国・スイス間のセーフハーバー枠組みに準拠している」と述べている。
しかし、Facebookの問題はセーフハーバーに限ったことではない。アカウントを持たないユーザーがサイトを訪問した際にCookieを埋め込むなど、同社のデータ収集慣行もCNILの調査対象となっている。
Facebookがプライバシーポリシーの改訂に関する声明を発表したことを受け、昨年3月にフランス、ベルギー、オランダ、スペイン、ドイツのデータ保護当局によるワーキンググループが設立されました。他の国々による調査は継続中です。
例えば、CNILはFacebookに対し、法的根拠なく広告目的でアカウント保有者のデータを収集することをやめるよう要請した。1月26日付の命令書によると、CNILはデータ収集は、インターネットユーザーがウェブサイトに登録する際に締結する契約の主目的ではないと述べている。
CNILのイザベル・ファルク・ピエロタン委員長は判決文の中で、データ収集は、その性質、規模、量から判断して、アカウント保有者の利益や基本的なプライバシー権と相容れない可能性が高いと記した。
ソーシャルネットワーキング企業であるFacebookは、アカウント保有者に対し、ターゲティング広告をブロックするためのツールのみを提供しており、個人データの収集を阻止するオプションは提供していない。また、アカウント保有者以外へのCookieの使用をめぐって、CNILと問題を抱えている。
同社は昨年、ベルギーのプライバシー委員会から「datr」と呼ばれる特殊なCookieの使用停止命令を受けた。同社はこのCookieが、ウェブサイトへの正当なアクセスと不正なアクセスを区別するのに役立つと主張している。ベルギーのプライバシー委員会を支援する技術専門家は、Facebookにサインオンしていないユーザーがウェブサイトにアクセスした場合、「datr」Cookieの有効期限が2年に設定されていることを発見した。その後、ユーザーがFacebookのソーシャルプラグインを含むウェブサイトにアクセスした場合、その情報はFacebookに送り返されていたと専門家は述べている。
Facebookは、「datr」はウェブサイトへの正当なアクセスと不正なアクセスを区別するために使用しており、個人ではなく閲覧者を識別すると主張している。この目的は正当なように思えるかもしれないが、CNILによると、Facebookはアカウントを持たないユーザーがFacebookウェブサイトに一度しかアクセスしていない場合でも、そのユーザーの過去10日間の閲覧履歴の大部分を、本人に通知されることなく把握できる可能性があるという。
Facebookは、フランス当局の指示に3ヶ月以内に従わなければ、フランスのデータ保護法に基づく制裁を受けることになる。同社にコメントを求めたが、すぐには連絡が取れなかった。
ベルギーの命令を受けて、同社は「datr」クッキーの使用を停止することに同意したが、同時にウェブサイト上の公開ページやその他のコンテンツをアカウントを持たないユーザーがアクセスできないようにした。
