英国データ保護当局、再度アドテク企業へ警告を強める: GDPR コンプライアンスに関して

英国のデータ保護当局、個人情報保護監督機関(The Information Commissioner’s Office:ICO)は、EUによる一般データ保護規則(GDPR)を遵守し、罰則を逃れたいのであれば、アドテク業界は急いで状況を改善すべきだとの警告を強めた。

ICOは11月19日、「アドテク事実調査フォーラム」をロンドンで開催した。データ保護監察の最新調査結果について議論したのは、アドテクとリアルタイム入札(RTB)マーケットプレイスをGDPRコンプライアンスの課題とし、業界に対して6カ月間の行動改善期間を与えたレポートを発表した、6月以来だ。この夏、ICOは業界のリアルタイム入札プロトコルは現状でGDPRに違反していると述べた。そのとき、ICOは「懸念される主要分野」のアウトラインを提出している。そこでは、しばしば水準以下の、ベンダー間での入札リクエストデータのシェアを保護する契約合意や、繊細な扱いが求められる「特別カテゴリー」のデータの扱いといった問題が含まれた。

フォーラム参加者によると、登壇者にはICOイノベーション部門エグゼクティブ・ディレクターであるサイモン・マクダゴル氏、Googleのシニア・プライバシーカウンシルであるウィル・デヴリーズ氏、そして英国インターネット広告協議会(IAB U.K.)のポリシー・規制部門責任者であるクリスティー・デネヒーーニール氏が名を連ねたという。参加者にはブランド代表者、アドテク業界のエグゼクティブたち、プライバシー問題活動家や弁護士がいた。フォーラムは「チャタムハウス・ルール」に基づいて運営された。このルールでは、出席者はプレゼンターが言ったことの引用はできるが、その情報を発したプレゼンターが誰であったか、もしくはどの企業だったか、の名前を明かすことはできない。プレス関係者は招待されなかった。

ICOによる調査結果

ICOのマクダゴル氏のプレゼンテーションでは、ICOがアドテク分野を調査してきた結果、人種、そして健康や性生活といった特別カテゴリーデータを、ユーザーからの明確な合意なしにベンダーたちが直接処理していることが確認されたと述べられた。これはGDPR違反である。

ICOはまた、セキュリティの保証として契約に頼り過ぎていること、また契約のなかで条件が一貫していないこと、などを見つけている。GDPRの法律用語における「データ管理者(コントローラー)」と「データ処理者(プロセッサー)」が契約においてどちらに当たるのか、しばしば明確さに欠けていた、と述べた。

ユーザーの合意獲得プロセスに関して、ICOの調査では不十分な、場合によっては不正確な透明性に関する情報がユーザーに提供されていたことがわかった。矛盾する情報や明瞭さに欠けるプライバシー関連ポリシーが見つかった。ユーザーが同意を却下する方法が不明確な場合もあった。またデータ収集と保管に関して「正当な利害がある」と定める会社に関する水準が低い、という状況も確認している。

ICOは英DIGIDAYからのコメント要請を断った。

来年には何らかの施行

参加者によると、マクダゴル氏はイベントにおいて、12月20日にICOがさらに情報アップデートを行い、おそらく来年には何らかの施行が行われるだろうと発言したようだ。英国インターネット広告協議会は「今後数週間以内に」メンバーへのアップデートを計画していると広報担当が答えた。

Googleのプレゼンテーションでは、先日発表された、彼らのエクスチェンジが広告バイヤーに送る入札リクエストから文脈コンテンツカテゴリーを2月から取り除くことに触れられた。またパブリッシャーと広告主のための、既存のEUのユーザー同意ポリシー監査プログラム、そして承認バイヤープログラム(Authorized Buyers program)の監査のスコープとリーチを拡大し、リアルタイム入札とデータ関連コンプライアンスに追加でフォーカスを据えたことを説明した。Googleはまた、ほかの最近のプライバシー関連の動きについても話をしたようだ。そこにはクローム(Chrome)のプライバシー・サンドボックス(Privacy Sandbox)がトピックとして含まれた。これによって各ユーザーにカスタマイズした広告ターゲティングのためにクッキーではなくフェデレーション・ラーニング(Federated learning of cohort:FLoC)を使うことができる、といった具合だ。

幅広いアドテクのデイジーチェーンにおけるプレイヤーのあいだで起き得る監査のあまりの量の多さに、懸念を表明する参加者もひとりいた。「10の異なる顧客に自分のビジネスのレビューをしてもらうのは商業的に成り立たない。永遠に監査中になってしまうからだ」とこの人物は述べた。

Googleは本稿のためのコメント要請にはすぐには回答を出さなかった。

違反調査は現在進行中

潜在的なGDPR違反についてのアドテク企業に対する調査は現在進行中だ。昨年、フランスのデータ保護当局であるCNILはアドテクベンダーのフィズアップ(Fidzup)、ティーモ(Teemo)、そしてヴェクトリー(Vectaury)に対して警告を発した。これらの企業に対する調査は終了しており、結果として企業は罰金を逃れている。ほかにも、多くの大手インターネット企業の欧州本社が置かれているアイルランドの当局、DPCはGoogle、Facebook、Twitter、そしてクワントキャスト(Quantcast)を相手に、GDPRコンプライアンスの調査を開始している。

「変化は必要である、と業界に対して明確に打ち出すという点ではICOは十分な仕事をしてきた。業界もそれを理解しているようだ。しかし、問題はここから先の道のりが明確でない点だ。テクノロジーと資金によって、問題が解決できるということは明確だけれども、ICOが解決する必要があると考えている問題が何なのかが明確でない。明確さが増さない限りは、物事がどう先に進むのか私には分からない。法的な事例が増えない限りは、(違反行為をするような)プレイヤーが増えていくだろう」とフォーラムに参加したオープン・ライツ・グループ(Open Rights Group)のエグゼキュティブ・ディレクターであるジム・キロック氏は言う。

全体としては、英DIGIDAYの取材に応じてくれた参加者たちはフォーラムが生産的だったと合意した。しかしICOが提示した6カ月という期限は刻一刻と終わりに近づいている。GDPRは2018年から施行されている。

「良いミーティングだったが、我々は2001年にあのミーティングを実施すべきだった」と、ブラウザ企業ブレイブ(Brave)の最高ポリシー・業界責任者であるジョニー・ライアン氏は語る。ライアン氏は現在進行中の、アイルランドにおけるGoogleの広告エクスチェンジが個人データをどう処理しているかについてのGDPR調査の原告のひとりだ。

Lara O’Reilly(原文 / 訳:塚本 紺)