英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1]、 [2]、 HackReadの記事)。

本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、Googleが上告していた。ICOは訴訟当事者ではないが、代理人の弁護士が第三者として訴訟に加わっている。

オプトイン方式の日本の集団訴訟とは異なり、英国(イングランドとウェールズ)の代表訴訟は同じ損害を受けたすべての人を原告代表が代表する点で米国のクラスアクション訴訟に近いものだが、代表される全員がまったく同じ利害関係を持つ必要があるという。そのため、Google側はユーザー追跡による損害を受けた人が何人いるか確認しようがなく、訴訟は棄却されるべきだと主張しているとのこと。

しかし、ユーザーの意図に反してWebアクセスを追跡すれば、ユーザーが自分のデータをコントロールできなくなることになる。そのため、ユーザーの意図に反する追跡自体が損害と認められなければ、データ侵害が発生してもデータの悪用による被害が発生しない限り取り締まれなくなる、というのがICOの弁護士の見解のようだ。