2024年10⽉21⽇ 公開
RIMS⽇本⽀部 × AIG損保
本連載シリーズは、リスクマネジメントのグローバルな⾮営利組織、RIMSの⽇本⽀部とAIG損保の共同編集により、これから海外進出を⽬指す、またはすでに海外進出している企業のリスクマネージャーのスキルセット向上を⽬指しています。⽇々の業務はもとよりビジネスの先を⾒据えた洞察‧推察にお役⽴ていただければ幸いです。
ここ数年、アメリカでは、データプライバシーに関する集団訴訟が爆発的に増加しています。どのような背景があり、どのような対策が考えられるのでしょうか。顧客ユーザーの個⼈データをマーケティング活動に活⽤している企業のご担当者の⽅はぜひご覧ください。
Index
なぜアメリカでデータプライバシーに関する集団訴訟が急増しているのか
データプライバシーの訴訟リスクを軽減させる5つのポイント
アメリカで急増しているデータプライバシーに関する集団訴訟の多くは、インターネットが誕⽣する前に制定された法律に基づいています。新しい技術に既存の法律を適⽤することで、新たな主張や責任追及がなされているのです。例えば、以下のようなケースです。
ビデオプライバシー保護法(Video Privacy Protection Act:VPPA)
VPPAは1988年に制定された法律で、オンラインで視聴したビデオも含め、視聴者の明⽰的な同意なしにレンタルビデオの視聴履歴を第三者に共有することを禁じています。
VPPAは、⼀般に「メタピクセル(Meta Pixel)」として知られるプラグインの使⽤をめぐる訴訟において争点になっています。ウェブサイトに組み込まれるメタピクセルのコードは、ユーザーのウェブ閲覧⾏動を追跡し、そのデータをメタ社に転送することで、より効率的なターゲティング広告の運⽤を⽀援しています。しかし、裁判所は、「メタピクセルを使ってユーザーのビデオ視聴履歴を転送することは、VPPA違反の可能性がある」という⾒解を⽰しています。
カリフォルニア州プライバシー侵害法(California Invasion of Privacy Act:CIPA)
CIPAは、私的な通信の録⾳や盗聴を禁じています。
ウェブサイトのチャット機能によるオンライン上の会話を録⾳したり⽂字に書き起こすことが盗聴にあたるとした判例は、CIPAに基づく賠償請求への⾨⼾を開きました。個⼈に訴訟を提起する権利を与え、最⾼5,000ドルの法定損害賠償額を定めるCIPAは、オンラインチャット機能を提供する企業にとって深刻な訴訟リスクをもたらしています。
企業は、データ保護やサイバーレジリエンスへの投資だけでなく、ウェブサイトの利⽤規約やプライバシーポリシーを⼊念に準備する必要があります。
個⼈データの共有に対するユーザーの同意は、訴訟リスクを軽減する重要な⼿段となります。しかし、ユーザーがウェブページを閲覧するだけで同意したとみなすのでは、法廷での精査に耐えられないことが多く、訴訟リスクの低減にはつながりにくいです。
裁判所は、「これらの規約に同意します」のボックスにチェックを⼊れるなど、ユーザーに積極的な⾏動を求めるポリシーを好みます。また、事後的な同意にならないよう、サイトでクッキー機能が開始される前に同意のボックスにチェックを⼊れてもらうことも重要です。ユーザーに同意を求める際は、能動的かつ⾃発的であるべきです。
データプライバシー訴訟では、原告の数が多いほど、和解⾦が⾼額になる傾向にあります。利⽤規約における集団訴訟放棄条項は、ユーザーが他のユーザーと共に集団で訴訟を提起する権利をあらかじめ放棄させる規定で、これによりユーザーは個別に(多くの場合、少額の損害賠償を求めて)訴訟を提起することになります。訴訟による経済的メリットを損なうことで個々のユーザーが訴訟提起を断念し、その結果として⾼額和解のリスクを減らすことにつながります。
個⼈データの共有に対する同意と同様に、ユーザーが⾃発的に利⽤規約に同意するとボックスにチェックを⼊れていれば、裁判所が集団訴訟放棄条項の効⼒を認める可能性が⾼くなります。
裁判地(フォーラム)選択条項は、訴訟費⽤を抑えながら、企業にとってなじみのある法律の下で、企業が希望する弁護⼠と訴訟を遂⾏することを可能にします。
裁判地(フォーラム)選択条項には、指定された裁判地で全ての訴訟を提起することを必須とする(義務付ける)ものと、企業にとって好ましい裁判地を指定しつつも他の裁判地での裁判も許容するものの2つの形式があります。⽂⾔が不⼗分な裁判地(フォーラム)選択条項は 法的拘束⼒が認められず、訴訟費⽤の増⼤や企業にとって不利な判決につながる可能性があるため、明確かつ緻密な⽂⾔にすることが重要です。
ユーザーとの間で紛争になった場合に裁判ではなく仲裁により解決することを義務付ける仲裁合意条項は、多くの業界において、訴訟リスクを管理し訴訟費⽤を抑制するための確⽴された有効⼿段となっています。カリフォルニア州、イリノイ州およびニューヨーク州の裁判所は、データプライバシー訴訟において仲裁合意条項の効⼒を認めています。
仲裁⼈は、多くの場合、データプライバシー分野の専⾨家であるため、紛争の争点を迅速に理解し、当事者を最終合意に導きます。仲裁には、費⽤の削減、解決の迅速化(これによる事業中断による損害の軽減)、守秘義務の維持(これによる⾵評被害の防⽌)などの利点があります。
サードパーティーのトラッカー、クッキー、プラグインなどのツールは、それらの利点が具体的に特定できる場合にのみ使⽤すべきです。データプライバシー訴訟の状況が常に変化している中、不必要にこれらのツールを使⽤したり、これらのツールによって収集した個⼈データを保持・転送することに伴うリスクが増加しています。
例えば、これまでに、マサチューセッツ州とカリフォルニア州の原告は、企業による盗聴だと申し⽴てた訴訟で数百万ドルの和解⾦を獲得しています。原告らは、メタピクセル、セッション・リプレイ(Session Replay)、ヒートマップス(Heatmaps)など、ウェブサイト上でユーザーの個⼈データを収集したり、ユーザーの⾏動を観測したりするツールの使⽤が、「有線通信の内容を第三者に不正に送信していることに該当する」と主張しました。このような訴訟がマサチューセッツ州とカリフォルニア州だけで起こるとは考えにくいです。50州すべてに盗聴禁⽌法があり、その中には数百万ドル規模の賠償責任につながりうる法定損害賠償額が定められている州法もあります。
こうした訴訟リスクを減らす第⼀歩は、ツールの使⽤を制限することですが、そのためには組織全体の協⼒が必要です。ビジネスの観点からツールを完全に排除することは⾮現実的かもしれませんが、その使⽤を必要な範囲に限定することで、関連するリスクを軽減することができます。そして、利⽤規約やプライバシーポリシーに個⼈データの追跡に関連する開⽰を含めることで、ツールによる個⼈データの追跡についてユーザーの同意を求めることができ、リスクの軽減につながります。
また、保有する個⼈データを最⼩化することは、効果的なリスク軽減⼿段となります。将来のリスクを軽減するという観点から、いつ、何の⽬的のために、どれくらいの期間、個⼈データを収集し保持するべきかを検討する必要があります。例えば、⾦融や医療の分野では、特定の顧客情報を保持することが義務付けられている場合もありますが、すべての企業は、どのように個⼈データが収集され保有されているかを継続的に監査し、不要な個⼈データを削除することが、効果的なリスクマネジメントにつながります。
詳しくはRIMS⽇本⽀部の
『Risk Management』2023年11-12⽉号をご覧ください。
(本記事は会員限定のため、正会員/協賛会員への登録が必要です)
出典
本記事は、リスクマネジメントのグローバルな⾮営利組織、RIMSが発⾏する機関誌「Risk Management」2023年11-12⽉号の記事を、RIMS⽇本⽀部とAIG損保が翻訳・共同編集したものです。
無断での使⽤・複製は禁じます。
