2026-06-19 の一覧へ戻るホーム
私は彼らに強制的同意は違法だと告げた。その結果、5年後エルクヨプは 180 万ユーロの損失を負った。

2026/06/19 3:31

私は彼らに強制的同意は違法だと告げた。その結果、5年後エルクヨプは 180 万ユーロの損失を負った。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese 翻訳:

2021年7月、Elgiganten Kundklubb に加入後、著者はマーケティングメールからの脱退に際し、店舗会員の全キャンセルが必要となることを発見しました。この問題は、2021年7月30日に Elkjop のデータ保護官に通知され、GDPR 第 4 条 (11) 、第 7 条および第 21 条 (2)、また電子プライバシー指令への違反を指摘しました。Elkjop が同意と会籍の分離を拒否した際、著者は処理制限の要請(第 18 条)および開示請求(第 15 条)を提出することで対応をエスカレートさせました。その後、スウェーデン当局 (IMY) に提出された苦情(参照番号 DI-2021-6660)は、GDPR 第 56 条 (1) のワンストップ・ショップ規則に基づき、Elkjop Nordic AS がノルウェーに拠点を有することから、ノルウェーの Datatilsynet に移管されました。

2026年6月1日、Datatilsynet は Elkjop グループに対して 2,000 万ノルウェークローナ(約 180 万ユーロ)の制裁金を科しました。決定では、同意が強制されたものかつ非具体的であるため無効と認定され、GDPR 第 6 条 (4) の適合性評価に準拠せずに広告およびコンバージョン追跡のためにデータを利用したことは承認されていないと指摘されました。裁判所は GDPR 第 4 条 (11)、第 5 条 (1)(a)、第 5 条 (2)、第 6 条 (1)(a)、第 6 条 (1)(f) および第 6 条 (4) を引用しました。

著者は、この決定を GDPRhub を通じて初めて約五年後に発見し、IMY に対して苦情通知を行わなかったことについて(第 77 条 (2) )問い合わせを実施しており、五営業日以内に回答を求める旨を求めています。未解決の場合は Elkjop グループに対する民事訴訟を検討し、欧州委員会へのエスカレーションを行う可能性があります。この事例は重要な先例を示しています:企業は必須サービスに対して強制的な「オプトイン」条件を用いて、厳格な GDPR 同意要件を回避することはできません。

本文

強制的な「同意」に対する 2021 年からの闘い:Elkjøp グループへの GDPR 苦情と大規模罰金の推移

背景:埋もれていたメールと見えた解決策の困難さ

  • 2021 年夏、北欧全域で活動する Elkjøp グループ の会員として、マーケティング用メールに埋もれていました。
  • メール配信を遮断しようと試みましたが、単純なフィルタリングではなく、クラブからの完全な離脱しか解決策は見つかりませんでした。
  • その原因となる問題は、5 年もの長期を要してやっと解明されました。

GDPR と「同意」の法的根拠に基づく主張

2021 年 7 月 30 日、データ保護責任者宛に手紙を送付し、以下の法的根拠に基づき運営体制の違法性を指摘しました。

直接マーケティングへの絶対的な反対権(GDPR 第 21 条)

  • すべての個人は、直接マーケティングに対し絶対的な反対権を有します。

電子メールによるマーケティングの許可条件(e プライバシー指令)

以下の条件のいずれかのみが許容されます。

  • ユーザーの明確な同意がある場合。
  • 既存の顧客関係があり、かつ:
    • データ収集時および各メッセージで離脱オプションを提示されている場合。

「自由な意思」に基づく同意の要件(GDPR 第 4 条・第 7 条)

  • 同意は「自由な意思に基づいて与えられたもの」でなければなりません。
  • 他条件に紐付ける、またはセットで要求することは禁止されています。
    • 強制された参加義務や特典付帯を伴うケースは、「自由でない同意」という教科書的な事例です。

企業の反論と対応:「加入必須」による権利の搾取

企業側は以下のような回答書を提出し、問題の本質に言及する姿勢を示しました。

  • 企業の主張:
    • 「マーケティング・オファーを受信するためには、顧客クラブへの加盟が必須条件となります」という一点のみを強調しました。
  • 本件の象徴性:
    • 本来無料で行使できる権利を、参加料のように捻出させられていた実態です。

追加措置:情報アクセス請求と監督機関への苦情申し立て

事態をエスカレートさせるため、以下の措置を講じました。

  • GDPR 第 18 条: 処理制限請求の提出。
  • GDPR 第 15 条: 情報アクセス請求(全般的な資料開示)。
    • 正当な利益衡量テスト、第三者提供先、下請けプロセッサ、国際転送、プロファイリング等の資料を要求。
  • スウェーデン監督機関 IMY への苦情:
    • 参照番号:DI-2021-6660 が付与されました。

企業側の対応の遅れと不透明さ

  • 当初は不明瞭なプライバシーポリシーへの誘導だけで済ませていました。
  • ポリシーの変更後も、アクセス請求の期限を90 日間引き伸ばす「複雑性」と「限られた内部リソース」を理由とするような扱いが続きました。

スウェーデンでの苦情がノルウェーで罰金へと変貌するプロセス

このケースはスウェーデンからの苦情ですが、執行の権限が移管されました。その理由は以下の通りです。

管轄権の所在(ワンストップ・ショップ制度)

  • 処理主体: ノルウェー本国に本社を置く Elkjøp Nordic AS が実質的な意思決定を担う親会社です。
  • GDPR 第 56 条第 1 項: 主要な業務拠点を所管する監督機関が権限を持ちます。
    • 主要拠点がノルウェーにあるため、スウェーデンの IMY は捜査および苦情をノルウェーの Datatilsynetへ移管しました。

長年の静寂と決着

  • 移管後、長期間にわたり静寂が続きました。
  • 2026 年 6 月 1 日: 最終的な決定が下されました。
    • Datatilsynet の決定内容: Elkjøp グループに対し、**ノルウェークローナ 2,000 万(約€180 万)**の罰金を科しました。
    • 違反の事実確認:
      1. 無効な同意: 「顧客クラブへの加盟」を根拠にした同意は強制的であり、自由ではありませんでした。また、会員への情報提供も不十分でした。
      2. 不適切なデータ再利用: クラブで収集したデータを広告・追跡用途に流用する際、適合性評価(第 6 条第 4 項)を一切行わずに進めていました。

罰金判決の法的根拠

以下の GDPR 各条款が論じられ、全体構成の合法性・公平性・透明性・説明責任が網羅されました。

  • GDPR 第 4 条第 11 項: 同意の定義と要件。
  • GDPR 第 5 条第 1 項 a) 号同条第 2 項: データ保護原則(合法性・公平性・透明性)。
  • GDPR 第 6 条第 1 項 a) 号同条第 1 項 f) 号: 法的根拠としての同意と正当な利益。
  • GDPR 第 6 条第 4 項: 追加処理のための適合性評価の必要性。

この判決が示す重要な教訓

単なる小売業の事件ではなく、デジタル経済全体に影響するモデルは以下の通りです。

  • 「同意しないなら利用できない」(お支払いまたは一括同意)というモデルは現在、あらゆる場所でデフォルトとなっています。
  • 違法性の核心:
    • もし「いいえ」と言えない場合、それは自由な同意ではありません
  • 5 年間と桁外れの罰金を費やした結果、この点は公表された決定文書として確立されました。

ウィキ上で初めて事情を知った:監督機関の怠慢

情報の非公開性

  • この重大な決着は、IMY や Datatilsynet から直接告知されませんでした。
  • 情報を得たのは、ボランティア運営の Wiki(GDPRhub)に偶然目撃した際です。
    • 苦情提出からほぼ5 年後
    • 罰金決定がなされた後でした。

監督機関の義務違反

  • GDPR 第 77 条第 2 項: 監督機関は、苦情申立人に対して内容・進捗・結果を通知する法的義務を負っています。
    • これは礼儀や裁量事項ではなく、法令による明文規定です。
  • IMY は案件を転送し、数百万ユーロ規模の執行措置に発展させたにもかかわらず、個人への説明は行いませんでした

今後の対応と警告

今朝、IMY に対し書面での自己说明を求め、5 営業日の猶予を提示しました。

  • 予想される結果:
    • 監督機関が保護対象者(個人)の基本義務さえ守れない場合、欧州委員会による調査の対象となります。
    • Phorm 事件や英国の通信秘密違反事例など、類似の手続を経る可能性が高いです。

結論:プライバシーは個人的であり、法は側にあります

メインメッセージ

「プライバシーは個人的である」

  • これは字通りの意味で意図しています。
  • それは私のクラブ会員資格であり、受信トレイであり、データであり、そして苦情そのものです。
  • 2021 年の時点で法は私の側にあり、今もなおそうしています

企業の選択料

「辞めさせるか我慢するかの二者択一を迫った会社」に対し、この判決は以下のコストを支払うことを示しました。

  • 罰金回避の機会損失
  • 処理の適法性欠如
  • ブランド毀損
  • その結果としての訴訟リスク

未解決事項と展望

  • 監督機関への説明請求: 現在未解決。IMY の怠慢に対する説明が必要です。
  • 民事訴訟: Elkjøp グループに対する訴訟は、さらに多くの個人データの違法処理が明らかになるにつれ、極めて大規模なものへと発展する見込みです。

もし 2021 年に私の話を聞いていれば、以下の回避が可能でした。

  • 罰金回避
  • 処理の適法性確保
  • ブランド毀損と訴訟の回避

データ保護責任者(DPO)への提言

データ保護責任者として苦情書を送信される方は、以下に留意してください。

  • 私は一般の人ではなく、この分野の法律における専門家です。
  • 対策が「不便だから」と止めることはなく、むしろ生涯を捧げて取り組んでいます
  • 防御的になり変革を拒絶するのではなく、私の無償のアドバイスを受け止め、適切に検討すべきです。

同じ日のほかのニュース

一覧に戻る →

2026/06/18 20:45

トロージャンマルウェアの配布用に 1 万カ所の GitHub リポジトリを発見しました

## Japanese Translation: 数値のニュアンス、具体的なファイル形式、および著者がツールをリリースする能動的な役割に関する微妙な点を捉えるために、改善されたバージョンの使用が推奨されます。 **改善されたサマリー:** 2026 年 6 月時点での GitHub マルウェア分散に関する故事への最近の更新は、フォークではなく新しいリポジトリを利用してトロイの木馬マルウェアを分散させる高度なキャンペーンを明らかにしています。攻撃者は明確なパターンに従います:独自の名称とコントリビューターを持つリポジトリを作成し、合法的なプロジェクトからコミット履歴を複製して元の履歴を消去し、README に悪意のある ZIP アーカイブへのリンクで置換します。これらのアーカイブは特定の可执行ファイル(例:`Application.cmd`、`Launcher.cmd`、`loader.exe`)およびランダムな DLL を含んでおり、特に VirusTotal の直接リンクスキャンでは通常クリーンな結果が返される一方、アーカイブファイル自体をスキャンするとトロイの木馬が検出されます。以前の調査では、日間のリポジトリ更新の約 10% が数ヶ月または数年間継続する悪意ある脅威であることが特定されましたが、GitHub の手動報告プロセスは当初、応答期間が週間単位に及ぶため非効率的でした。この問題を解決するために著者は「Git Malware Finder」というスクリプトをリリースし、特定されたリポジトリの完全なリストを公開しました。最近、GitHub はこのツールでフラグ付けされたリポジトリを自動的に削除し始めており、既知のケースの大部分を排除しています。ただし、なぜ検出が現在主に新しいリポジトリに限られているか、キャンペーンの実際の規模と確認された一致との違い、そして検索インデックスおよび検出アルゴリズムから回避するために使用される具体的な戦術についてはまだ未解明な点が残っています。

2026/06/16 7:36

アメリカン・エキスプレス:回復性決済システムのためのセルベースアーキテクチャ

## 日本語訳: American Express は、2018 年以来、その決済エコシステムを、アーキテクチャに直接リゼリアンス(回復力)を組み込むことで強化し、取引の失敗がシステム全体に影響を与えることを極めて稀にするようにしています。核心となる革新は、「セルベース」設計であり、これはマイクロサービスとデータベースを特定の地域内で複数エリアにまたがることなく、それぞれが一つの障害ドメインとして機能するように、孤立した単位である「セル」にグループ化したものです。このアプローチは、不安定なモノリシック構造を、数百万件の日次ライブ取引を確実に処理する堅牢で自律的なインスタンスに置き換えます。速度の向上と隔離の確保のため、同期的ルックアップを避けるために静的データは事前に複製され、動的データについては Global Transaction Router が決定論的ルーティングを使用して、権威のあるデータを保持するセルへのトラフィックを誘導します。ログ記録などのクリティカルパス依存関係は非同期に保たれ、ブロッキングを防ぎます。また、安全な再試行のために一意の識別子を通じて冪等性を維持しています。システムには、不安定になっているセルを漸次的にドレインして健康なセルへトラフィックをシフトさせるインテリジェントなトラフィックシフティングのメカニズムが含まれており、これにより急激な障害なしに処理が行われます。ただし、このリゼリアンスには限界があり、取引が外部システム(例:カード発行会社)に到達した時点で、「戻れない点」に達し、それ以降はルーティングの変更が不可能となります。最終的に、この戦略はエラーを局所的境界内に収容することで安定したユーザー体験を保証し、要求の厳しい金融環境でハイアベイラビリティシステムを拡張するための実証済みブループリントを提供します。

2026/06/18 23:24

Ubiquiti:ZFS を採用したエンタープライズ向け NAS

## Japanese Translation: ## まとめ: 主なメッセージは、ENAS が伝統的なインフラストラクチャの高いコストや制限なしにエンタープライズグレードのパフォーマンスを提供する、強力かつプライベートなローカルストレージソリューションであることを示しています。ベンダーロックインと継続的なライセンス料を回避することで、スケーラビリティとシンプルさを求める現代の IT 環境への安価な代替手段を提供しています。该系统は、効율을設計された強力な処理ユニットである 8 つの Arm Neoverse N2 コアを備えた堅牢なハードウェア、ならびに迅速なデータアクセスを確保するデュアル NVMe キャッシュを通じてこの実績を達成します。また、ライセンスフリーな管理のために UniFi プラットフォームとシームレスに統合され、プロキシモックスやウーマレなど主要なバーチャライゼーションツールのサポート、安全なアクセス、centralized 制御を含む複雑なマルチデバイスセットアップを単一化して消去します。将来の機能として、UniFi Fabrics を使用した高度な中央集権型バックアップオーケストレーションと、Microsoft 365 ユーザーデータの直接保護が可能になります。最終的には、このプラットフォームはユーザーにレジリエンス、共有ブロックストレージ機能、および不要なオーバーヘッドなしでの堅牢なエンタープライズデータ管理へのスチームラインドなパスを付与します。

私は彼らに強制的同意は違法だと告げた。その結果、5年後エルクヨプは 180 万ユーロの損失を負った。 | そっか~ニュース