こんにちは。
お読みいただきありがとうございます。

本日のテーマは、いまデータプライバシー界隈で盛り上がっている"consent or pay"モデル（以下「c/pモデル」）(*1)です。

Meta社は、現在、FacebookやInstagramのEUのユーザーに対して、広告を表示しないようにするために、月額12.99ユーロ（ウェブ版では9.99ユーロ）を請求しています。

この広告は、いわゆるパーソナライズド広告の一種であり、ユーザーの個人データを利用します。そのため、ユーザーは、広告のための個人データの提供に同意するか、又は、利用料を支払うかの選択を迫られることになります。

c/pモデルとは、このような仕組みのことを指して呼ばれる個人データの処理に係る同意を取得する手法であり、これが果たして適法と言えるのか、議論を巻き起こしています。

そして、実は近いうちに、EUのデータ保護当局の総本山であるEDPB(*2)からc/pモデルの適法性について見解が示される可能性が高いです。

そこで、本日は、今後大きな動きがありそうなc/pモデルについて、現状を整理したいと思います。

なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。

きっかけは、Meta社への3.9億ユーロの制裁金

本題に入る前に、これまでの背景を押さえた方が分かりやすいと思うので、簡単に見ていきます。

GDPRの施行直後にFacebookについての苦情が申立てられる

2018年5月25日に施行されたGDPRですが、なんと施行当日に、Meta社（当時Facebook社）がEUの拠点を置くアイルランドのデータ保護当局に対して、Facebookの個人データの処理に関する苦情が提出されます(*3)。

苦情を提出したのは、データプライバシーの市民団体であるnoybです。Schremes I, II判決でお馴染みの、オーストリアの活動家Max Schremsが実質的な代表者を務めている団体ですね。

Schrems I, II判決については、こちらで紹介しています。

Facebookの個人データの処理の問題点

苦情は、何について出されたものなのでしょうか。

Facebookは、GDPR施行に先立ち利用規約を変更していました。もし、ユーザーが、GDPR施行後も引き続きFacebookの利用を継続したい場合には、新たな利用規約の内容に「同意する」をクリックすることが求められました。

今更ですが、個人データの処理は、GDPRが定める6つの法的根拠のいずれかに依拠できなければなりません。

じゃあ、Facebookは、同意（Art 6(1)(a)）に依拠しているのかというと、彼らはそう言っていません。契約の履行に必要であること（Art 6(1)(b)）に依拠していると主張していました。

これは、もし同意に依拠することになると、ユーザーがいつでも個人データの処理について撤回可能となってしまうからです（Art 7(3)）。

noybは、Facebookが依然として同意に依拠していると主張します。そして、この同意は、サービスの利用継続を餌にして得られた事実上強制されたものであり、GDPRに違反するとの論を展開しました。

アイルランド当局の草案

アイルランドのデータ保護当局は、Facebookにおける個人データの処理の合法性の根拠が不明確であること等を理由にしてGDPRの違反を認定して制裁金を課す草案を作成しました。

しかし、実際の合法性の根拠については、同意ではなく契約の履行であるとしたのです。

他のEU加盟国当局の反発

アイルランドのデータ保護当局が作成した草案は、他の関連するEU加盟国当局に回覧されます。

そして、草案に対して、複数の当局から、Facebookのパーソナライズド広告の使用は、ユーザーとの契約の中核的な要素を構成せず、契約の履行を処理の合法性の根拠とすることはできないと反発を受けます。

EDPBの決定とアイルランド当局による制裁金

当局間での協議がまとまらなかったため、事案はEUのデータ保護当局の総本山であるEDPBに付託されます。

EDPBは、Facebookでのユーザーの個人データの処理について、契約の履行に依拠することはできないとの見解を示します。

この見解を受けて、アイルランド当局は、2023年1月4日、Meta Ireland社に対して、3.9億ユーロの制裁金を課す決定をします。このうちFacebookが2.1億ユーロで、Instagramが1.8億ユーロです。

この制裁金に係る決定は、Facebookが契約の履行に依拠するものとして行ってきた個人データの処理が違法であるという所見も含むものです。

「同意」にしか依拠できなくなったFacebook

このアイルランド当局の決定により、Facebookでの個人データの処理について、「契約の履行」に依拠することはできなくなりました。

また、ここでは詳細を述べることはしませんが、「正当な利益」（Art 6(1)(f)）に依拠することも、この決定に至るまでの議論を踏まえると、無理であろうというのが一般的な見解です。

Art 6(1)の根拠は他にもありますが、Facebookで依拠できそうなものはありません。そのため、Facebookは、パーソナライズド広告を引き続き利用しようとする場合、ユーザーから同意を得るほかなくなったのです。

そこで、登場したのが、c/pモデルです。
（やっとここまで来ました）

Facebookのc/pモデルについての苦情申し立て

2023年11月28日、noybは、Facebookのc/pモデルについて、アイルランド当局に対して、苦情を申し立てます。

noybの言い分：自由に与えられた同意ではない

GDPR Art 4(11)は、データ主体の同意は、自由に与えられた（freely given）ものでなければならないと定めています。

EUのFacebookのユーザーは、個人データが利用されることを拒否するために、月額12.99ユーロを支払わなければなりません。これに対して、EUのユーザー1人当たりの平均収益は、noybの計算によれば、62.88ユーロであり、月額料金を大きく逸脱しています。

このような過大な金額を提示された上で、個人データの利用を許す同意は、自由に与えられた同意ではない、というのが上記の記事に書かれているnoybの主張の大筋です。

また、もしFacebookのc/pモデルを許容した場合、他のアプリ業者が追随してc/pモデルの採用に走り、個人データを利用されたくないと考えるEU市民は、過大な利用料の支払いを強いられる、という補足もなされていました。

意見がまとめられなかったデータ保護当局

こちらにあるとおり、noybによる苦情の申立てと並行して、アイルランドのデータ保護当局は、他のEU加盟国のデータ保護当局とともに、c/pモデルの評価について協議を行っていました。

しかし、2024年1月26日、ノルウェー、オランダ、ハンブルグ(*4)のデータ保護当局は、EDPBに対して、c/pモデルに関する意見を要請しました。

これは、GDPR Art 64(2)に基づく要請であり、GDPRの一般的な適用に関する事項等について、とりわけ各データ保護当局の意見が整わない場合に、EDPBに対して、意見を求めることが出来るものです。

EDPBの意見はいつ出るのか？

EDPBは各加盟国のデータ保護当局のいわば親玉的な存在であり、彼らがc/pモデルについて意見を述べた場合、その影響は極めて大きいはずです。

もし、EDPBがc/pモデルがGDPRに違反しているという意見を出そうものなら、Meta社も方針を転換せざるを得ないかもしれません。

皆さん気になるのは、その意見がいつ出るのかという話ですよね。

Art 64(3)によれば、要請から8週間以内、ただし、事案の複雑性を考慮して更に6週間延長（つまり合計14週間）することができます。意見の要請があったのが、1月26日なので、そこから8～14週間後となると、次のスケジュールですね。

追記：2024年4月17日に意見が出されました！こちらで解説しています。

イギリスでの動き

イギリスでは、もはやGDPRは適用されません。

もっとも、イギリスはBrexitに際して、UK GDPRと呼ばれるGDPRとほぼ同じ内容の法令を準備しています。そのため、実務家としては、EU GDPRとUK GDPRという非常によく似た法令が、それぞれの地域で同じように適用されている感覚でいます。

厳密に言えば、EDPBがどのような意見を出したところで、UK GDPRにおけるc/pモデルの有効性とは直接の関係は無いものの、実際には、EDPBの意見を重く受け止めざるを得ません。

そのような状況下で、イギリスのデータ保護当局であるICO(*5)も、c/pモデルに関するパブコメを出しました。

なかでも、"What do organisations need to consider?"に書かれている要素は、c/pモデルの合法性を考えるに当たり、参考になりそうです。

まとめ

いかがだったでしょうか。
本日は、c/pモデルを取り巻く現状を整理してみまました。

以下のとおり、まとめます。

EDPBの意見が出されたら、また記事を書きたいなと思っています。

ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。

【注釈】
*1　"pay or okay"モデルと呼ばれることもあります。
*2　European Data Protection Board
*3　同日に、Instagramでの個人データの処理についても、ベルギーのデータ保護当局に対して苦情が提出されています。もっとも、争点は基本的に同じなので、Facebookでの個人データの処理の問題に絞って、これ以降は書いていきます。
*4　ドイツのハンブルグ州のデータ保護当局だと思いますが、ドイツのデータ保護当局の組織割はよくわかりません。
*5　Information Commissioner's Office

免責事項：
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。

X（Twitter）もやっています。
こちらから、フォローお願いします！

このほかにも、データ法に関する解説を書いています。
よければご覧ください。