Metaのトラッキング技術が欧州個人情報保護法に違反しているとドイツ裁判所が判断

 (therecord.media)
2 ポイント 投稿者 GN⁺ 2025-07-11 | 1件のコメント | WhatsAppで共有
  • ドイツの裁判所は、Metaのトラッキングピクセルと技術がGDPRに違反すると判断
  • この判断により、他のユーザーも個別の損害立証なしで損害賠償訴訟を起こせるようになった
  • 裁判所は、Metaが個人を識別してプロファイリングし、莫大な利益を得ていると言及
  • 専門家は今回の判断が、トラッキング技術を使うすべてのWebサイトとアプリに大規模訴訟のリスクを示唆するとみている
  • 1人あたり5,000ユーロの損害額が認められており、訪問者が多いほど金額が大きく増加する可能性がある

ドイツ裁判所、Metaトラッキング技術の欧州個人情報保護法違反を認定

主な判断内容

  • ドイツ・ライプツィヒ地方裁判所は、Metaが第三者のWebサイトやアプリにトラッキングピクセルとソフトウェア開発キット(SDK)を埋め込み、ユーザーの同意なく個人情報を収集していると判断
  • この判断は、当該技術が**欧州一般データ保護規則(GDPR)**に違反していることを明確にした
  • 裁判所は、Metaがユーザー個別の同意なしに個人データに基づくプロファイリング活動を通じて莫大な収益を得ていると指摘
  • FacebookやInstagramのアカウントにログインしていなくても、第三者サイトを訪問した際にMetaが個人を識別できる点を、プレスリリースで強調した

判断の波及効果

  • 今回の判断は、あるドイツ人Facebookユーザーが起こした訴訟で、Metaが5,000ユーロ(約5,900ドル)を賠償しなければならないという結論につながった
  • 裁判所は、この判断が個別の損害を具体的に立証しなくても多くのユーザーが同様の訴訟を起こせる先例になると述べた
  • 専門家は、この判断がMetaのトラッキング技術を利用するすべてのWebサイトやアプリ運営者にとってリスクになり得ると分析している
  • コンサルティング企業AesirXのCEOは、この事例が集団訴訟(class action)の可能性と「事業に致命的な影響」を及ぼす潜在力を持つと評価した

今後の見通し

  • Metaのトラッキング技術に同意していないドイツの訪問者全員が集団訴訟に含まれる可能性がある
  • 訪問者数が多い場合、損害賠償額が指数関数的に膨らむ可能性がある
  • 専門家は今回の裁判を、今年ヨーロッパで出た最も重要な判決の一つと評価している

参考リンク

結論

  • 今回の判断は、個人情報保護の強化と、それに伴うテック企業およびWebサイト運営者の法的責任に関する重大な変化の兆候である
  • GDPR準拠のための技術的措置とユーザー同意の確保について、業界全体で見直す必要性が高まっている

関連記事

1件のコメント

 
GN⁺ 2025-07-11
Hacker Newsのコメント
  • 今回のライプツィヒ判決は目を引く内容ではあるものの、実際の影響力は€5,000という金額ほど大きくないかもしれない。裁判所は、被害者が個別の損害を立証しなくても訴訟を提起できると明示したが、欧州の集団訴訟の仕組みは依然として米国式訴訟とは異なる。ドイツには米国のような成功報酬制度もなく、敗訴時の訴訟費用負担などインセンティブ構造が異なり、集団的救済の仕組みも限定的である。大半のドイツの消費者は、追跡ピクセルを理由に€5,000ずつ個別に訴えることはないだろうし、時間も費用も軽くない。こうした訴訟は、消費者保護団体や資金力のある訴訟専門組織が主導してくれることを個人的には望む。ドイツでも集団訴訟フレームワークの拡大は進んでいるが、まだ個々の原告よりも適格団体中心である
    • ドイツでは、すべての消費者が自動的に含まれる制度になっている。他の欧州諸国と違い、消費者が別途訴訟参加を申し込む必要はなく、原則として自動的に含まれる。このため、X、Tiktokを相手取ってそれぞれEUR 500、EUR 2000の損害賠償を求める集団訴訟がドイツで進行中である
    • 誰かがこれを商品化して、「2500ユーロを無料で差し上げます! ここに署名してください!」みたいな形で事業化するかもしれない
  • 控訴審でこの判決がそのまま維持されない可能性がある点には注意が必要である。決定文の全文はまだ公開されておらず、現時点ではプレスリリースからしか内容が分かっていない。たとえば、裁判所は原告の具体的な被害申述を聞かずに賠償責任を認めているため、この方向性が実際の判決文でどう論じられているのか興味深い。この点はMetaが十分に控訴できる争点だと思う。EU法の未解決論点がある以上、ECJ(欧州司法裁判所)に付託される可能性もある。いずれにせよ、この判決によって短期的には法的不確実性が生じ、多くの人が訴訟を起こそうとするように思える。ただし、控訴やECJまで進めば何年もかかる可能性があるため、見守る必要がある
    • Facebookと、実際に追跡が行われたウェブサイト運営者のどちらに責任があるのか混乱する。GDPR上は、広告ネットワークに情報を渡す前に、ウェブサイト側が同意を取得する責任を負うと理解していた
  • 今ごろなら、この事例で当該ユーザーと同じ状況にある人を抽出して訴訟を代行し、一部(たとえば10%)だけを手数料として受け取るような、やや怪しい法律事務所がすでに動いていてもおかしくないし、その人たちが訴えてくれるなら自分も任せたい。しかし、この種の問題は個人による訴訟ではなく、法人に対して直接グローバル年間売上高の4%の罰金を実際に科すなど、強い規制をかけなければ、企業は法律を勧告以上のものとして受け止めないだろう
    • 航空券補償など他分野でも、すでに(まともな)企業がこうしたサービスを提供している。ドイツの弁護士法では成功報酬に一定の制限があるが、この5,000ユーロの損害賠償請求は単なる「債権回収」とみなされ、認められる可能性がある。より大きなリスクは、判決が控訴審などで覆る、あるいは他地域の裁判所で判例が異なる可能性がある点である。そのため、連邦最高裁またはECJで確定するまでは、かなりの資本力を持つ側だけがこの判決を根拠に訴訟を継続できるだろう
    • 米国式集団訴訟とまったく同じ形態の制度は欧州には存在しない。欧州には「代表訴訟」というEU指令があるが、その範囲は米国式集団訴訟に比べてはるかに狭い
    • この判例によって、今後はclass actionスタイルの訴訟が出てきそうだ
  • 5年前なら、こういうニュースがHNに載ると米国ユーザーが「欧州は米国企業から金を巻き上げる口実を探しているだけだ」と騒いでいたものだが、今ではこの空気は完全に変わった。欧州式アプローチにいくらか不十分な点があったとしても、それが正しかったことが証明されつつあるのを見るのはうれしい
    • そうした主張は事実と逆である。実際には罰金の大半は欧州域内の企業に科されている。規則違反をするのはBig Techだけではなく、欧州企業も頻繁に違反している。ただ、米国ユーザーはそうした制裁事例をあまり知らないだけである。さらに、現在の個人情報保護法制は90年代のドイツ連邦データ保護法(Bundesdatenschutzgesetz)を基盤としており、FAANGの登場よりはるか以前から発展してきた歴史がある。罰金追跡サイトも参考になる
    • 5年どころか、こういう話は先週も出ていた気がする
    • 自分は米国人だが、欧州の個人情報保護法について懸念していたのは管轄権の問題だけであり、今回のケースにはそれが当てはまらないので、この判断には本当に同意する
    • 米国ではGoogle、Metaのような超巨大企業に広告市場をすべて明け渡した状態で、中小企業はサブスクリプション化に移行するしかなくなっている。結局、EUがサブスクリプションモデルまで阻止しない限り、もはや打つ手はない
  • 本当に集団訴訟へ発展してほしい。自分もぜひ参加したい
  • こうした判決が現実のものになることを期待している。関連ブログ分析も参考になる
  • いつものことながら、結局は意味のある変化は起きないのではないかという気がする
  • 裁判所が、ログインしていなくても個人識別性を重視したという事実は興味深い。これにより、企業が好んで使う「匿名追跡」という防御論理を真正面から突き崩すことになる
  • Linkedinの詳細分析を見るとさらに詳しく分かるし、ドイツでは消費者が訴訟参加を申し込まなくても自動的に訴訟対象に含まれる点が、欧州の他国とは大きく異なる
  • この件は最終的に欧州と米国の間の地政学的・通商上の争点になる可能性もあると思う。関税問題にまで発展するかもしれない。根本的には、欧州が自国民保護のために権限を行使できるかという問題だが、正直それをうまくやり切れるかは疑問である