個人データ保護監督機関による2025年10月9日付 第591号措置の事案は、個人データを伝達する、あるいは本件のように拡散する際の過度な軽率さが、いかにGDPR違反を招き得るかを象徴的に示している。
すべてはレビューのせい、ということになるだろう。より正確には、否定的なレビューへの返信のせいだ。その返信には見出しとして、当該レビュー投稿者の氏名に加え、居住住所までが記載されていた。投稿者は大いに憤り、このことを理由にプライバシー監督機関へ苦情を申し立てた。監督機関は、有効な法的根拠なく居住住所が拡散され、かつ適法に収集された目的とは全く異なる目的で用いられたとして、取扱いの違法性の可能性について手続を開始した。
しかし、取扱いの管理者である会社側の弁明は、次の点を主張し続けた。
「本件で問題とされている住所のみの利用は、Googleのポータル上の『否定的なレビュー』に対して、このCamping Don Diegoの管理者として当然の回答を行うために、明らかに手段として必要である」
そして、聴聞後、苦情申立てで示された要請に応じて居住データを削除した。
プライバシー監督機関の判断
監督機関がこの弁明を採用せず、適法性および目的限定の原則違反を確認したとしても、さほど驚くべきことではない。
というのも、取扱いの管理者は、適切な法的根拠がないまま、また当該収集を正当化していた目的とは異なる目的のために、申立人の居住住所を違法にインターネット上へ拡散したからである。
申立人の個人データ(居住住所も含まれる)は、滞在期間に関する契約前措置および契約上の措置を履行するために収集された。さらに言うまでもなく、レビューへの返信はreplyとして提供されるのであれば、受け手の宛名を必要としない。
取扱いの文脈に言及しつつ、監督機関は指針としてGDPR第39考慮事項が示す基準を想起させる。これは、常に自問すべき問いに置き換えられる。自分がやりたいことのために、その個人データを処理することは本当に必要なのか?
こう言えるだろう。first think, then process the personal data(まず考え、それから個人データを処理せよ)。
この「考える」段階では、データで何をしたいのかを特定し、個人データを一切持ち出さずに同じ目的を達成できる代替案を探すことで、最小化の原則をhardcoreに適用する好機とすべきだ。その後も、使用するデータ量を最小限に抑えつつ、代替策を検討していく。
そうしなければ、結局のところ、取扱い方法が違法であるリスクを受け入れるだけになる。本件では、管理者への戒告と、措置の公表という結果につながった。
良識だけでは足りない
ただし、良識さえあれば十分だと考えるのは危険だ。とりわけ、ルールが明確でないとき、良識は信頼できない味方になり得る。
実際、軽率さとして分類されるものの大半は、どのような個人データであれ、またどのように収集されたものであれ、その個人データについてできることとできないことの認識不足に根ざしている。
豆知識:管理者にとっては、自社のプライバシー通知を読み返すだけで、その個人データの利用限界を理解するのに十分だったはずだ。結局のところ、そこには実施しようとする活動が記載されており、そのいずれにもデータの拡散は含まれていなかったのだから。
プライバシーオフィサーおよびデータ保護責任者(DPO)であり、Area Legaleのオブ・カウンセル。個人データ保護を担当し、組織における情報セキュリティ管理のため、ソーシャルエンジニアリングに関するテーマにも注目している。
Assoinfluencerの科学委員会責任者として、研究・出版・普及活動を統括。
登録ジャーナリストとして、第4世代の権利、新技術、情報セキュリティに関連するテーマについて執筆している。
翻訳元: https://www.redhotcyber.com/post/una-recensione-negativa-un-indirizzo-di-casa-e-il-gdpr-che-piange/