Criteo に GDPR 捜査のメス:固唾を飲んで見守るアドテク業界

欧州で「一般データ保護規則(General Data Protection Regulation:以下、GDPR)」が施行されたのは、2018年5月のことだ。だが、アドテク企業のあいだではいまも、ユーザーのターゲティングや追跡において、どのようなやり方でユーザーの同意を得れば合法とみなされるのかについて、解釈が大きく異なっている。一部の業界関係者は、新たに開始されたGDPRがらみの捜査が、この問題を解決する一助になることを期待している。

英国に本拠を置くプライバシー擁護団体のプライバシー・インターナショナル(Privacy International)は3月上旬、フランスのデータ保護当局CNILが1月にアドテク企業Criteo(クリテオ)への捜査を開始したことを伝え、これを自らの勝利だと主張した。プライバシー・インターナショナルは2018年11月、CNILやアイルランドと英国のデータ保護当局に対し、Criteoを含むアドテク企業7社が法的根拠なく消費者のデータを利用しているとして捜査を求めていた。

「CNILがCriteoへの捜査をはじめていることは確かだ。いまは審理中であるため、現時点でお伝えできることはない」と、CNILの広報担当者はメールで述べている。

この捜査については、テッククランチ(TechCrunch)も10日に報じ、Criteoの広報担当者はその後の声明で事実であることを認めている(同社は、3月初頭に米証券取引委員会[SEC]に提出した最新の年次報告書でも、捜査を受けていることを認めた)。

「我々はCNILの捜査に協力しており、自社のプライバシー慣行にはいまも絶対の自信を持っている。2005年に欧州で創業して以来、我々は『プライバシーバイデザイン』の原則に従って技術開発を進めながら、クライアントがパーソナライズされた関連性の高い広告で買い物客の期待に応えられるよう支援してきた」と、Criteoの広報担当者は語った。

捜査の結論がいつ出るのか、またどのような結果になるのかはわからない。GDPR違反と認定されれば、Criteoは最高で2000万ユーロ(約23億6800万円)または世界収益1年分の4%のどちらか高い金額の罰金を科せられる可能性がある。

いまだ混乱している、GDPRの理解

CNILは2019年1月、GoogleをGDPR違反と認定し、5000万ユーロ(当時のレートで約62億円)の罰金を科した(ただし、Googleは控訴の意向を明らかにした)。その前年には、位置情報アドテクベンダーのティーモ(Teemo)、フィズアップ(Fidzup)、ベクチュアリー(Vectaury)の3社に警告を発した(その後、CNILは捜査を終了し、彼らは罰金を免れている)。欧州では、ほかにもアドテク企業を対象としたさまざまな捜査が進行中だ。

このように、規制当局がアドテク業界への攻勢を強めているにもかかわらず、「何が正当な利益とみなされるのか、何がインフォームドコンセントとみなされるのかを定義する判例法が欧州にはまだない」と、アレート・リサーチ・サービス(Arete Research Services)のシニアアナリスト、リチャード・クレイマー氏はいう。

この2つのうち、より大きな論争となっているのは「正当な利益」だ。企業はユーザーデータを利用するにあたって、正当な利益というGDPRの法的要件を満たすことを義務付けられている。具体的には、社内で長期的なテストを実施したことを証明し、個人がデータを収集されない利益より企業がデータを収集する利益のほうが上回っていることを確認しなければならない。また、ユーザーがデータ収集への同意を簡単に取り消せる仕組みを用意する必要もある。GDPRの施行以来、各社はこの要件に従って、同意通知を適切に行う方法をさまざまに試してきた。特に取り組みが活発なのはリアルタイム入札の分野だ。このタイプの入札では、広告が読み込まれるほんの数ミリ秒前に、数珠つなぎとなったアドテクプレイヤーのあいだで大量のデータがやり取りされる。

プライバシー・インターナショナルは2018年に行った申し立てで、Criteoやタップアド(Tapad)、クワントキャスト(Quantcast)といったアドテク企業が、ユーザー情報を利用して購入者データのビジネスを拡大するために、広告やパブリッシャーのパートナーが獲得した同意を根拠にしていると訴えた。これに対してCriteoは、GDPRが定める「正当な利益」という法的根拠に基づいてユーザーデータを利用し、パートナーとの契約を履行しているのだと主張したが、それでは法的根拠として不十分というのがプライバシー・インターナショナルの考えだった。

この申し立てでプライバシー・インターナショナルが特に懸念を示したのは、Criteoが提供している3つの広告製品だった。1つ目は、「350億を超える」オンラインとオフラインの購買データを利用できる「ショッパー・グラフ(Shopper Graph)」。2つ目は、ブラウジングデータなどのデータシグナルを利用して、ユーザーが広告でアクションを起こす可能性を予測する「Criteoエンジン(Criteo Engine)」。3つ目は、特定の製品に関心を示した買い物客を追跡して、ターゲット広告を配信する「ダイナミック・リターゲティング(Dynamic Retargeting)」だ。

「アドテク業界の今後の基準となる」

今回の捜査でCNILが下す最終決定は、アドテク業界の「状況を一変させる」可能性を秘めている。そう話すのは、プログラマティックアドバイザリー(The Programmatic Advisory)のCEOを務めるウェイン・ブラッドウェル氏だ。

「(Criteoは)同意を直接得ている会社ではないが、(ユーザーデータの)利用に関する捜査の対象となっている。こうしたデータ利用において彼らがどのような立場に位置付けられ、どのような責任を課せられるのかが、アドテク業界の今後の基準となるだろう」と、ブラッドウェル氏は語った。

同意通知は、欧州のアドテク業界やパブリッシャー業界でいまだに論争の的となっている。Criteoは当初、同意通知が表示された後もサイトの閲覧を続けたユーザーは暗黙の同意を与えているとの見解に立っていたと、アドテクコンサルティング企業のアドプロフス(AdProfs)の創業者、ラットコー・ヴィダコヴィック氏はいう。

「私は当時、そのような見解はきわめて曖昧だと述べた。彼らの見方はGDPRの条項に違反している」と、ヴィダコヴィック氏は付け加えた。実際、CNILは2020年1月に公開したCookieとトラッカーに関する推奨ガイドの草案で、ユーザーが同意したことを示す明確で自発的なアクション(「同意」ボタンをクリックするなど)が必要だとの見解を示している。しかし、スペインのデータ保護当局は2019年11月、サイトの閲覧を続ける行為はCookieの使用に同意したものとみなされるとの立場を示していた。

「(いまの状況は)GDPRの施行と適用がいかに混乱しているのかを示すものだ」と、ヴィダコヴィック氏は語った。

Criteoの事業再建における現実

CNILがCriteoへの捜査をはじめたことが報じられる前の11月、Criteoはミーガン・クラーケン氏を新しいCEOとして迎え、事業の再建を託した。クラーケン氏は2月に自身の計画を発表し、Criteoの収益源を同社が主に手がけてきたリターゲティング以外に多角化させるため、小売アドネットワークやアプリ広告製品など、新しい事業を拡大していくことを明らかにしている。

「CNILとCriteoはすでに、同意とデータ利用に関する話を何度も議論してきたことだろう」と、アレート・リサーチのクレイマー氏は語る。「そうした議論がクラーケン氏の仕事を楽にすることはなく、むしろ混乱させるものになっているようだ」。

Lara O’Reilly(原文 / 訳:ガリレオ)