「変化が起こることを期待している」: GDPR 違反を続けるアドテク業界に、ICOが警告

こうなるのは時間の問題だった。アドテク業界がプログラマティック広告のリアルタイムビッディング(以下、RTB)でいまだに個人データを利用している状況について、英国の個人情報保護監督機関、情報コミッショナーオフィス(以下、ICO)が調査に乗り出したのだ。そして、その調査結果は芳しいものではなかった。

「一般データ保護規則(General Data Protection Regulation:以下、GDPR)」が2018年5月に施行されるにあたり、ICOは企業がGDPRに準拠するためにビジネス慣行をどのように変えればいいのかを周知するため、十分な準備期間を企業に与えた。だが、ごく少数のパブリッシャーとアドテクベンダーを除く多くの企業が、GDPRを厳守することによって広告収入が減少するリスクを抱えるより、GDPRに従わない道を選び続けている。

ICOは6月20日(現地時間)、アドテク業界がどのようにしてGDPRに準拠すべきかを説明したレポートを公開した。ICOはこのレポートのなかで、プログラマティック広告でのRTBの利用がプライバシーの侵害にあたるとして複数の申し立てがプライバシー活動家から提起されている現状では、GDPRを無視することは難しくなると述べている。

ICOでは、このレポートをアドテク業界に配布し、半年間にわたってGDPRの遵守状況を調査する予定だ。その後、ICOが将来に向けたアドバイスを発表する可能性もある。アイルランドのデータ保護当局も、このレポートで取り上げられているような数多くの問題を調査しているところだ。いまのところ、ICOはGDPRに準拠していない企業に対して重大な警告を発していないが、GDPRで特に準拠すべき分野を改めて明確にしようとしている。

英国の情報コミッショナーであるエリザベス・デンハム氏は、「我々が特に懸念している分野を明確にしており、変化が起こることを期待している」と、このレポートで述べている。

本記事では、このレポートの概要をお伝えしよう。

「正当な利益」という主張はもはや通用しない

広告目的での個人データの利用には正当な利益があるとするアドテクベンダーの主張には、以前から大きな疑問が投げかけられている。だが、そうした疑念の声も、データの利用を抑制するには不十分なようだ。はじめは正当な利益を主張する戦略を採っていた企業の多くが、同意の獲得を中心とした戦略を重視するようになったものの、正当な利益という主張を盾に取っている企業もいまだに存在する。

ICOは、RTBを行っている企業がコンプライアンス戦略として正当な利益を主張することは不可能だとの立場を明確にした。つまり、入札リクエストの処理に対して、この主張を適用することはできない。企業が取りうる唯一の選択肢は、消費者の同意を得ることだ。

アドテクは「特別なカテゴリのデータ」に関するルールを無視している

GDPRでは、民族的出自、健康状態、宗教、政治的志向、性的指向といったきわめて機密性の高い情報が「特別なカテゴリのデータ」に分類され、アドテク企業にとってリスクの高いカテゴリと位置づけられている。この種のデータは悪用されると個人に危害が及ぶ可能性があるため、取り扱いにあたっては追加の保護措置を講じることが義務付けられている。そして、ICOは今回、この種のデータを明示的な同意なしに利用することはいかなる場合も違法だと明言した。また、このGDPRの規定を無視し、こうしたデータをデバイスID、cookie ID、位置情報データなどの情報とともに入札リクエストに含めている企業が見られると指摘し、注意を促している。

インタラクティブ広告協議会(IAB)ヨーロッパとGoogleのGDPRフレームワークには欠陥がある

ICOは、GDPR準拠の業界標準の確立を目指したふたつの取り組みも検証した。ひとつはIABヨーロッパが定めた基準、もうひとつはGoogleが「認定バイヤーネットワーク(Authorized Buyers network)」と呼ばれる基準だ(IABの基準との調整はまだ行われていない)。IABの「トランスペアレンシー&コンセントフレームワーク(Transparency & Consent Framework:透明性と同意の枠組)」は現在全面的な見直しが行われているところだが、ICOはいくつかの基本的な欠陥を抱えているとの見方を明確にしている。たとえば、450社を超える企業がこのフレームワークに参加しているが、参加せずにRTBの利用を続けている企業の数はもっと多い。そのため、消費者が自分のデータをどの企業にどの程度利用されているのか知ることは無理だろう。「トランスペアレンシー&コンセントフレームワークと認定バイヤーフレームワークは、透明性を確保し、問題となっている個人データの公正な取り扱いを実現するには十分とはいえない。したがって、企業が自由に消費者から同意を得るには不十分だ」と、ICOはレポートで述べている。

契約上の合意には意味がない

デジタル広告取引のエコシステムでは、オープンエクスチェンジでの広告の購入に使用されるすべてのデータが、漏えいしやすい状況にある。たとえエージェンシーやパブリッシャーが、データの取り扱いに関してデマンドサイドプラットフォームやサプライサイドプラットフォームと契約で合意していても、ベンダーが広告インプレッションを購入、獲得する過程で、データを意図的あるいは意図せずに膨大な数のサードパーティに渡してしまう事態を防ぐ手段がないからだ。だからこそ、多くのパブリッシャー、エージェンシー、広告主、そしてベンダーは、あとで非難されないように契約上の合意を得ようとしてきた。こうした契約には、データのプライバシー侵害が起こった場合の責任を、自分たちに代わってデータを処理している企業に負わせることが明記されている。しかしICOは、今回のレポートで、このような契約上の合意は無効だと断定した。データ管理者は、パートナーがデータを共有する方法や場所を3段階で確認する必要があるという。

小規模パブリッシャーに一定の配慮を示す

オープンエクスチェンジでGDPRに準拠しない形でRTBが行われていても、多くの小規模パブリッシャーは生き残りのためにこのような広告を利用せざるを得ないとICOは認識しているようだ。「さらに考慮しなければいけないのは、とりわけ英国の小規模パブリッシャーが経済的に脆弱であることだ。そのため、我々はより慎重に行動し、我々の活動がもたらす結果を注視することが求められている」と、ICOはレポートに記している。

とはいえ、パブリッシャー(特に大手のパブリッシャー)が大目に見られているわけではないようだ。ICOはまもなく、パブリッシャーに対しても同じような注意を促す準備をしている。これには、同意の獲得など、GDPRの遵守に関するさまざまな分野が含まれている。また、GDPRに準拠するための猶予期間を数カ月与える予定だと、広告関係の複数の情報筋が述べている。ICOの広報担当者はこの件についてコメントを拒否したが、GDPR下でのcookieの使用に関する詳しいガイダンスを近々で公開する予定だと語った。

Jessica Davies(原文 / 訳:ガリレオ)