2022年5月25日、米司法省と連邦取引委員会(以下、「FTC」)は、ツイッター社が安全性向上のためとして取得したユーザーの個人情報を欺瞞的に広告目的に使っていたとして、同社側が制裁金1億5千万ドル(約190億円)を支払うことで合意したと発表した。
概要
ツイッターの個人情報管理を巡っては、2009年当時、ハッカーによる同社管理システムへの不正アクセスやアカウントの乗っ取りが発生したことを受け、FTCが同社に対しセキュリティーの改善を求め、ツイッターはこの改善要求を受け入れ和解案に応じていた(以下、「2011年FTC命令」)。和解案では、ツイッターが今後20年に渡り、同社の個人情報の保護と管理についてユーザーに誤解を与えることを禁じたほか、適切な個人情報保護プログラムの設置と維持、さらに第三者機関による監査を以後10年間にわたり受けることを義務付けていた。
しかし、今回ツイッターは、2013年から2019年にかけて1億4千万人を超えるユーザーから電話番号とメールアドレスを取得し、その個人情報を無断でターゲット広告に利用していたことで提訴された。これらの個人情報の収集は、多要素認証を有効にするなどのセキュリティ向上が目的とされる一方で、それらがターゲット広告に使用されることは開示されていなかったため、FTCはこれが連邦取引委員会法と2011年FTC命令への違反にあたると判断した。
制裁と和解の条件
今回ツイッターに対し、和解条件として1億5千万ドルの制裁金のほか、以下の項目を含む新たな規定が課された。
- 不正に収集した個人情報をもとに利益を得ることを禁止する。
- ユーザーの電話番号を必要としない多要素認証オプションを提供する。
- 個人情報を必要とする新たなサービス提供の際には、事前にプライバシーに関するレビューを行う。
- 包括的なプライバシー保護及び情報管理対策を実行・維持する。
- 従業員の個人データへのアクセスを制限する。
FTCのリナ・カーン委員長は、今後企業による個人情報の扱いの監視を強めていく意向を示す一方、ツイッターのプライバシー最高責任者ダミアン・キエラン氏は、「ユーザーが共有する情報を安全に保ち、プライバシーを保護し、ユーザーのニーズを満たす有用な製品とサービスを構築するよう努める」と述べた。
考察
米国においては、個人情報保護、プライバシー保護やデータセキュリティに関する法律は各州に委ねられ連邦法は存在しないが、州法には、最も厳しいとされるメイン州のAn Act To Protect the Privacy of Online Customer Informationやカリフォルニア州のCCPA/CPRAがある。また、EUではGDPRにより域内への規制が強化されている。
法整備が進行中のニューヨーク州では、個人データの収集や使用に際してユーザーのオプトインを義務づける厳しい法案が出され、プライバシー擁護団体などからは歓迎されているが、経済界からは不評を買っている。その一方でワシントン州の法案は、違反企業に対して訴訟を起こす権利を持つのは州の司法長官のみで、個人が違反企業を訴えることはできないという企業にとって緩やかなものとなっている。
こうした中、連邦法の制定に向けての最大の論点は、「先行する州法は無効となるのか」「違反者に対して訴訟を起こす権利が個人に付与されるか否か」の二点だと言われている。今回のツイッターをめぐる一連の出来事が、今後の連邦レベルでの法整備を加速させ、経済界からの圧力に屈しない連邦プライバシー保護法の成立に繋がるかどうかは、現時点では見極めが難しい。
ただ、今回のFTCによるツイッターへの制裁は、プライバシー保護に関する警鐘を企業に鳴らし、各州法の遵守を促すことだろう。またツイッターに課された制裁が十分なものであったか、巨大企業のコンプライアンスへの有効性については、今後の同社の動きに注目していきたい。
ここで扱う内容は、一般的事実であり、特定の状況に関する法的アドバイスではなくそれを意図したものでもない。
Yorozu Law Groupは、サンフランシスコに拠点を置く国際法律事務所で、企業法務、国際税務、M&A/戦略的提携、ライセンシング、国際商取引、雇用法において日本語と英語で法務サービスを提供している。© Yorozu Law Group
