はじめに

この「知っておきたいGDPRの重要判例」（以下「本連載」という）とは、EUのデータ保護法であるGDPR（General Data Protection Regulation^注1：一般データ保護規則）の理解に資する重要な判例を紹介する連載記事である。

この記事では、本連載の第3回として、自社のウェブサイトに「いいね！」ボタンを埋め込むことによって、ウェブサイトの訪問者（以下「訪問者」という）のデータの処理についてSNS事業者と共同管理者の関係になるかについての判断が示されたFashion ID事件^注2を解説する。この判決は、複数の主体が個人データの処理にかかわる場合に、GDPRに基づく責任をどのように分配するか考える上で参考になると考えられるため、本稿では特にこの点に関する判示を取り上げる。

概要

Fashion ID事件における欧州司法裁判所判決の概要は、以下のとおりである。

事案

衣料品通販サイトの運営会社であるFashion IDは、そのウェブサイトにFacebook（以下「SNS事業者」という）の「いいね！」ボタンのソーシャルプラグイン^注3（以下「「いいね！」ボタン」という）を埋め込んでいた。この「いいね！」ボタンが埋め込まれていることによって、訪問者がFashion IDのウェブサイトを閲覧する際、訪問者の個人データがSNS事業者に送信される。その送信は、訪問者がSNS事業者のソーシャルネットワークのメンバーであるかどうか、「いいね！」ボタンをクリックしたかどうかにかかわらず行われる。

消費者の利益保護を目的とする公益団体であるVerbraucherzentrale NRWは、Fashion IDがSNS事業者に訪問者の個人データを送信したことについて問題視し、デュッセルドルフ地方裁判所（Landgericht Düsseldorf）に対して、Fashion IDにその行為を止めさせるために差止請求の法的手続をとった。同地方裁判所は、その請求を一部認容したため、Fashion IDは、デュッセルドルフ高等裁判所（Oberlandesgericht Düsseldorf）に対して、上訴を提起した。

同高等裁判所は、ソーシャルプラグインを埋め込んだウェブサイトの運営者が、送信される個人データを制御できないのにもかかわらず、データ保護指令^注4の管理者とみなされるのかが不明であるため、訴訟手続を停止し、ウェブサイト運営者の管理者該当性などについて欧州司法裁判所に付託して先決判決（preliminary ruling）を得ることとした。

判決要旨

Fashion ID事件の欧州司法裁判所の判断は、大要、以下のようなものであった。

＊　　　　　＊

データ保護指令の2条（d）号は、「管理者」の概念を、単独でまたは他者と共同で個人データの処理の目的および手段を決定する自然人または法人、公的機関、代理店、またはその他の団体として広く定義していることに留意すべきである（判決文65項。以下、単に項数のみを表記する）。

裁判所が以前に判示したように、この規定の目的は、「管理者」の概念の広範な定義を通じて、データ対象者の効果的かつ完全な保護を確保することである（66項）。もっとも、共同責任の存在は、個人データの処理に関与するさまざまな事業者の責任が等しいことを必ずしも意味せず、それどころか、事業者は、個人データの処理の異なる段階で、異なる程度に関与することがあり、その結果、各事業者の責任の程度は、具体的な事案のすべての関連する状況を考慮して評価されなければならない（70項）。

個人データの処理は、一つまたは複数の業務で構成される可能性があり、各業務は、個人データの処理に関わる可能性のあるさまざまな段階の一つに関連する（72項）。また、複数の事業者が個人データの処理の目的と手段を共同で決定する場合、それらの事業者は管理者としてその処理に参加することになる（73項）。したがって、自然人または法人は、目的および手段を共同で決定する個人データの処理に関わる業務に関してのみ、他者と共同で管理者になることができるものと思われる（74項）。これに対して、自然人または法人は、全体的な処理の一連の流れの中で、自らが目的も手段も決定していない処理に先行するまたは後続する業務に関しては、管理者であるとはみなされない（74項）。

個人データを収集し、送信により開示する目的で使用される手段に関しては、Fashion IDは、訪問者の個人データを収集し、送信により開示するためのツールであるという事実を十分に認識しながら、「いいね！」ボタンをそのウェブサイトに埋め込んでいる（77項）。また、Fashion IDはそのソーシャルプラグインをウェブサイトに埋め込むことにより、訪問者の個人データがそのプラグインの提供者に収集・送信されることに決定的な影響を及ぼしている（78項）。このような状況において、SNS事業者とFashion IDは、訪問者の個人データの収集と送信による開示に関わる業務の起点となる手段を共同で決定すると結論づけなければならない（79項）。

これらの業務の目的に関しては、Fashion IDが「いいね！」ボタンを埋め込むことにより、商品の宣伝の最適化ができるようになることにあると思われる（80項）。Fashion IDが訪問者の個人データを収集し、送信により開示することに同意したと思われる理由は、商品の宣伝効果を高めるという商業的利益を得るためである（80項）。これらの処理は、Fashion IDとSNS事業者の経済的利益のために行われる（80項）。SNS事業者にとっては、自らの商業目的のためにこれらのデータを使用できるという事実が、Fashion ID への利益の対価となる（80項）。このような状況において、Fashion IDとSNS事業者は、個人データの収集と送信による開示に関わる業務の目的を共同で決定すると結論づけることができる（81項）。

したがって、Fashion IDとSNS事業者は、訪問者の個人データの収集と送信による開示に関わる業務に関して、共同で管理者とみなされる（84項）。ただし、この責任は、実際に目的と手段を決定した個人データの処理に関わる業務または一連の業務、すなわち、問題となっているデータの収集と送信による開示に限定される（85項）。

解説

本判決の意義

この判決（以下、「本判決」という）は、共同管理者に該当する基準およびその範囲の解釈を示したものである。

データ保護指令では、「管理者」とは、単独で、または他者と共同で、個人データの処理の目的および手段を決定する自然人、法人、公的機関、代理店またはその他の団体を意味するものされており（データ保護指令2条（d）号）、管理者の定義の中で、共同管理者の存在が想定されていた。データ保護指令の新法であるGDPRでは、管理者の定義とは別に、二者以上の管理者が共同して個人データの取扱いの目的および方法を決定する場合、それらの者は、共同管理者となるという規定が置かれ、共同管理者は、GDPRに基づく義務を遵守するための管理者それぞれの責任について、透明性のある態様で合意によって定めなければならないとされた（GDPR 26条1項）。この規定の目的は、複数の関係者が関与する場合に、個人データの保護が低下したり、権限のネガティブな対立により、処理に関与する当事者のいずれかが一部の義務を遵守しない抜け穴が生じたりすることを避けるために、GDPRの遵守に対する責任が明確に配分されるようにすることにある^注5。

本判決の意義としては、まず、本判決は、共同して目的および手段を決定した個人データの処理に関わる業務についてのみ共同管理者の責任を負うという解釈を示したことが挙げられる。データ保護指令とGDPRは、いずれも共同で個人データの処理および目的を決定する場合に共同管理者になるという基準は示しているが、共同管理者になった場合に、どのような範囲でその責任を負うのかについては明確に述べてはいない（データ保護指令2条（d）号、GDPR 26条1項）。本判決は、共同管理者になった場合でも、すべての個人データの処理について責任を負うものではなく、あくまでも共同して目的および手段を決定した個人データの処理に関わる業務についてのみ責任を負うということを明確にした（74項）。

また、本判決は、ウェブサイトの運営者とソーシャルプラグインの提供者が、訪問者の個人データの収集と送信による開示について共同管理者に該当するという事例を示した点にも意義がある。本判決以前には、ファンページの運営者とサードパーティクッキーの発行者（Facebook fan page事件^注6)）および宗教団体とその会員（Jehovan todistajat事件^注7)）について共同管理者に該当すると判断した事例があったが、ウェブサイトの運営者とソーシャルプラグインの提供者について判断した事例は、本判決が初めてである。また、これらの本判決以前の事例では、どのような範囲で共同管理者としての責任を負うかについて判断が示されていなかったが、本判決は、個人データの収集と送信による開示について共同管理者としての責任を負うと初めて判断した。

欧州司法裁判所の先例との関係

欧州司法裁判所の先例（Facebook fan page事件およびJehovan todistajat事件）では、一般論として、個人データの処理に関与するさまざまな事業者は、個人データ処理の異なる段階に、異なる程度で関与する可能性があり、各事業者の責任の程度は、具体的なケースのすべての関連する状況を考慮して評価されなければならないと判示していた^注8。この議論を踏まえ、本判決は、共同して目的および手段を決定した個人データの処理に関わる業務についてのみ共同管理者の責任を負うという解釈を示し（74項）、共同管理者が責任を負うべき範囲の判断基準を明確にした。

また、欧州司法裁判所の先例（Facebook fan page事件）では、ウェブサイトの運営者が、ターゲットとするオーディエンスとその活動を管理・促進する目的に応じ、パラメータを定義することにより、サードパーティクッキーの発行者と共同管理者になると判示していた^注9。これに対して、本判決は、ウェブサイトの運営者において、パラメータを定義するといった程度の関与までは要求せず、単にソーシャルプラグインを埋め込むことにより、訪問者の個人データの収集・送信に決定的な影響を及ぼしていると判示し（78項）、共同管理者であると認定した。

EDPBのガイドラインとの関係

本判決以前において、データ保護指令に基づくEUの諮問機関である29条データ保護作業部会（Article 29 Data Protection Working Party）は、共同管理の評価において、目的と手段が複数の当事者によって決定されているかどうかに着目し、実質的かつ機能的なアプローチをとるべきであると提唱しており^注10、ウェブサイト運営者は、アドネットワークの提供者に訪問者に関する個人データを収集および送信する場合、当該提供者と共同管理者になると述べていた^注11。

本判決以降に、欧州データ保護委員会（European Data Protection Board (EDPB)）は、欧州司法裁判所の判決を踏まえ、改めて共同管理者の考え方を整理した。同委員会のガイドラインによれば、共同管理者が存在するための包括的な基準は、処理の目的と手段の決定に二つ以上の主体が共同で参加することである^注12。このような共同参加は、たとえば、二つ以上の主体による共通の決定（common decision）という形をとることも、二つ以上の主体による集合する決定（converging decisions）の結果として生じることもある^注13。後者の「集合する決定」を判別するための重要な基準は、両当事者の目的および手段への参加なしには処理が不可能であるかどうか、つまり、各当事者による処理が不可分かどうかである^注14。

処理の目的への共同参加については、欧州データ保護委員会は、事業者が目的を同一にしていない場合でも、密接に関連した目的または補完的な目的を追求する場合には成立しうると説明している^注15。本判決の事案では、ウェブサイト運営者とSNS事業者の処理の目的は必ずしも同一ではないが、問題となっている処理作業が双方の経済的利益のために行われているとされ、処理の目的の共同参加が認められた（80・81項）。

処理の手段への共同参加については、欧州データ保護委員会は、事業者の一つが処理手段を提供し、他の事業者による個人データの処理活動に利用できるようにする場合も成立しうると説明している^注16。本判決の事案では、ウェブサイト運営者は、SNS事業者の提供する「いいね！」ボタンを埋め込むことにより、個人データの収集および送信に決定的な影響を及ぼしたとされ、処理の手段の共同参加が認められた（77～79項）。

なお、共同管理者となる範囲については、欧州データ保護委員会は、データ処理の手段および目的を他の事業者と共同で決定する業務に関してのみであり、処理の連鎖において先行するまたは後続する処理の目的および手段を単独で決定する主体が存在する場合、この主体は、その限りで単独管理者とみなされなければならないと説明している^注17。

本判決の影響

本判決は、GDPRではなく、その旧法であるデータ保護指令について示された判断である。本判決とGDPRの正確な関連性は不明なままであるという見解もあるが^注18、共同管理者を判断する要素が変わらないことを踏まえると、本判決の判示は、GDPRにおいても妥当すると考えるべきである^注19。

本判決は、ほとんどの追跡・分析ツールにも影響を与える可能性があり、たとえば、ソーシャルネットワークやプラットフォーム（X（旧Twitter）、Instagram、YouTube）から地図、天気予報、同様のプラグインに至るまで、その影響範囲は非常に広い^注20。もっとも、本判決の法的評価は、他のシナリオに無批判に転用されるべきではなく、複数当事者間に共同管理の状況が成立するかどうかは常に個別に判断されなければならないという指摘もある^注21。

本判決が複数の主体間で広く共同管理者性を認めたことについては、さまざまな批判がある。たとえば、「共同管理者」というラベルが関係性の希薄な事業者間にも適用されることで、責任と管理の本質的な結びつきが損なわれる危険性があるという指摘がある^注22。また、サービスプロバイダーが多数の共同管理を規律するために一方的な取り決めをすることを招き、共同管理という特徴になじまない結果になるという指摘もある^注23。

また、本判決が訪問者の個人データの収集および送信による開示についてのみ共同管理者性を認めたことについてもさまざまな批判がある。たとえば、本判決は、個人データの収集および開示に限らず、その後のデータ処理についても共同管理者性を認めるべきであったという指摘がある^注24。また、処理活動の一部についてのみ共同管理者性を認めることによって、データ対象者に与えられる保護のレベルが下がる可能性があるという指摘もある^注25。さらに、欧州のデータ保護法では、処理活動を段階的に分析することが想定されておらず、本判決の解釈は法的不確実性をもたらすという指摘もある^注26。

→この連載を「まとめて読む」

1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)[↩]
2. Case C-40/17, Fashion ID GmbH & Co.KG v Verbraucherzentrale NRW eV, ECLI:EU:C:2019:629[↩]
3. 「ソーシャルプラグイン」とは、ソーシャル・ネットワーキング・サービス（SNS）が、企業のサイト等に設置できるように提供している機能、プログラムのことをいう。[↩]
4. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data[↩]
5. EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (‘Controller and Processor Guidelines’), para 163[↩]
6. Case C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH, ECLI:EU:C:2018:388 (‘Facebook fan page judgment’[↩]
7. Case C-25/17, Tietosuojavaltuutettu v Jehovan todistajat, ECLI:EU:C:2018:551 (‘Jehovan todistajat judgment’[↩]
8. Facebook fan page judgment, para 43 ; Jehovan todistajat judgment, para 66[↩]
9. Facebook fan page judgment, paras 36 and 39[↩]
10. Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of "controller" and "processor" (WP169, 2010), page 18[↩]
11. Article 29 Data Protection Working Party, Opinion 2/2010 on online behavioural advertising (WP171, 2010), page 12[↩]
12. Controller and Processor Guidelines, para 53[↩]
13. Controller and Processor Guidelines, para 54[↩]
14. Controller and Processor Guidelines, para 55[↩]
15. Controller and Processor Guidelines, para 60[↩]
16. Controller and Processor Guidelines, para 64[↩]
17. Controller and Processor Guidelines, para 57[↩]
18. Monika Zalnieriute, Genna Churches, ‘When a ‘Like’ Is Not a ‘Like’: A New Fragmented Approach to Data Controllership’ (2020) Modern Law Review, Volume83, Issue 4, page 869, available at: https://onlinelibrary.wiley.com/doi/10.1111/1468-2230.12537[↩]
19. Controller and Processor Guidelines, footnote 18; Jure Globocnik, ‘On Joint Controllership for Social Plugins and Other Third-Party Content - a Case Note on the CJEU Decision in Fashion ID’ (2019) IIC 50, page 1034, available at https://link.springer.com/article/10.1007/s40319-019-00871-4[↩]
20. Globocnik (2019), op. cit., page 1043[↩]
21. Tobias Rothkegel and Laurenz Strassemeyer, ‘Joint Control in European Data Protection Law – How to make Sense of the CJEU’s Holy Trinity - A case study on the recent CJEU rulings (Facebook Fanpages; Jehovah’s Witnesses; Fashion ID)’ (2019) Computer Law Review International, vol. 20, no. 6, 2019, page 168, available at https://www.degruyter.com/document/doi/10.9785/cri-2019-200602/html?lang=en[↩]
22. Christopher Millard, ‘At this rate, everyone will be a [joint] controller of personal data!’ (2020) International Data Privacy Law, Volume 9, Issue 4, November 2019, page 217, available at https://academic.oup.com/idpl/article/9/4/217/5771498[↩]
23. Millard (2020), op. cit., pages 218-219[↩]
24. Globocnik (2019), op. cit., page 1034[↩]
25. Globocnik (2019), op. cit., page 1038; Lilian Edwards, Michèle Finck, Michael Veale, Nicolo Zingales, ‘Data subjects as data controllers: a Fashion(able) concept?’ (2019) Internet Policy Review, available at https://policyreview.info/articles/news/data-subjects-data-controllers-fashionable-concept/1400; Michèle Finck, ‘Cobwebs of control: the two imaginations of the data controller in EU law’ (2021) International Data Privacy Law, 2021, Vol. 11, No. 4, page 338, available at https://academic.oup.com/idpl/article/11/4/333/6355992; Millard (2020), op. cit., page 219; Zalnieriute and Churches (2020), op. cit., page 874[↩]
26. Rene Mahieu and Joris van Hoboken, ‘Fashion-ID: Introducing a Phase-Oriented Approach to Data Protection?‘ (2019) European Law Blog, 2019 , page 3, available at SSRN: https://ssrn.com/abstract=3548487; Zalnieriute and Churches (2020), op. cit., page 872[↩]