headless 曰く、

EU司法裁判所は7月29日、Facebookの「いいね」ボタンを設置したWebサイトはFacebookとともに、サイト訪問者の個人情報収集・送信について責任を負うとの判断を示した(プレスリリース: PDF、 NRW消費者センターのニュース記事、 The Registerの記事、 The Vergeの記事)。

この裁判はドイツのノルトライン-ウェストファーレン(NRW)消費者センターがドイツのオンラインアパレルストアFashion IDを訴えていたもの。EU司法裁判所は審理を担当するデュッセルドルフ上級裁判所からEUの1995年個人データ保護指令(旧データ保護指令)の複数条項について、解釈を求められていた。

デュッセルドルフ上級裁判所が求めていた解釈は、1)個人データ保護の違反者を訴えることができる者として、消費者保護団体が除外されるかどうか、2)Webサイトで埋め込みコードを使用して第三者に個人情報を送信した者が旧データ保護指令で規定される「controller」に該当するかどうか、の2点だ。

EU司法裁判所では1)について消費者保護団体は除外されていないと判断。現行の一般データ保護規則(GDPR)では明確化されたと述べている。2)については、送信後のデータ処理についてFashion IDがcontrollerに該当するとは考えられないとする一方、データ収集と送信についてはFacebookと共同で責任を負うcontrollerに該当すると判断した。

Facebookの「いいね」ボタンは、クリックしたかどうかにかかわらず、FacebookにログインしていなくてもユーザーのIPアドレスなどの情報をFacebookに送信しているとみられる。そのため、Fashion IDなどのWebサイトは共同責任者として、Facebookに代わって閲覧者の合意を事前に得る必要があるとのことだ。