欧州IABは、GDPRを遵守するための枠組みとして、「透明性と同意のフレームワーク」(TCF)を策定している。しかし、複数の国の規制当局を代表するベルギーのデータ保護当局(APD)によると、TCFは法令遵守の機能を果たせないという。この判断は、データの収集方法や問題解決の責任の所在に大きな影響を与えそうだ。
広告業界団体の欧州インタラクティブ広告協議会(IAB Europe:以下、欧州IAB)は、EU一般データ保護規則(GDPR)を遵守するための枠組みとして、「透明性と同意のフレームワーク」(Transparency & Consent Framework:以下TCF)を策定している。しかし、複数の国の規制当局を代表するベルギーのデータ保護当局(Autorité de protection des données、以下ベルギーAPD)によると、TCFは法令遵守の機能を果たせないという。この判断は、データの収集方法や問題解決の責任の所在に大きな影響を与えそうだ。
ベルギーAPDはさらに、TCFが違法であると主張している。
平たくいえば、ユーザーがウェブサイトを訪問するたびに表示される、個人情報利用の同意を求めるポップアップがGDPR違反だと指摘されているのだ。
Advertisement
つまり、GDPRを遵守するには、GoogleやAmazonをはじめとする1000社以上のサイト上のポップアップを通じて収集されたデータをすべて削除しなくてはならない。規則を無視しようとしても、データの検証や、データが本当に削除されたか否かの検証など、運営面、技術面で大きな問題が生じるだろう。
言うまでもなく、広告主やパブリッシャーを含む業界各社は、自社のTCFへの依存度について、ただちに現状を把握する必要がある。多くの企業がTCF利用にあたって登録料を支払っているため、欧州IABとしては今回の件で困った立場に追いこまれるかもしれない。
「欧州IABに対し、会員企業が費用と損失の補償を求めるかどうか、今後の展開が興味深い」と、メディア投資分析のエビクイティ(Ebiquity)でグループ最高プロダクト責任者をつとめるルーベン・シュレールス氏はいう。
データ保護当局による今回の決定は甚大な影響をもたらしそうだ。
「爆弾でも落とされたかのような衝撃」
リターゲティングを例に挙げてみよう。ベルギーAPDによれば、TCFを適用したウェブサイトに表示されるリターゲティング広告の大半はGDPR違反とされる。問題解決に必要な技術改善と品質保証活動は、前例のない大がかりなものになるだろう。TCFを介して収集された膨大なデータが、オンライン広告市場のあらゆる領域で利用されているからというだけではない。TCFを改良しようとすれば、EU全域における広告配信の仕組みを根底から変えるような、業界全体を巻き込んだ取り組みが必要になるからだ。
実のところ、この件がどんな影響をもたらすかは現時点では誰にもわからない。GDPR違反の決定に関する執行権限がデータ保護当局にあるのかどうかさえ定かではない。ひとつ明らかなのは、状況がどう変わろうと、大手テック企業が運営するプラットフォームは安泰だということだ。個人情報利用条件があらかじめ提示されており、ログインしたユーザーは、とくに指定しないかぎり、個人データの利用に同意したとみなされる。一方、パブリッシャーのサイトにはそんな仕組みは備わっていない。広告配信を目的とした個人情報利用の同意取得には、ほとんどの場合、TCFが頼りだ。
「オンライン広告のビジネスにとっては、爆弾でも落とされたかのような衝撃だ」と、メディアコンサルタント会社のキャントン・マーケティング・ソリューションズ(Canton Marketing Solutions)最高戦略責任者のロブ・ウェブスター氏は述べている。
争点となるのは「データ管理者」かどうか?
TCFがGDPR違反であると規制当局が判断した理由
(TCFは)個人情報のセキュリティと機密性を担保できていない。適切な形で同意取得の要請をしておらず、オンライン広告のトラッキングにより生じる重大なリスクの観点から許容できない法的根拠(正当な利益)の主張に依拠している。個人情報の扱いに関する透明性を確保していない。GDPRに準拠したデータ処理を担保するための対策を実施していない。データプロテクション・バイ・デザイン(data protection by design:個人情報保護のための方策を設計段階から作り込むデータ保護)の要件を満たしていない。
上記の判断についてはまだ不明な点も多い。とはいえTCFは、コード化された文字列を使う仕組みであることはたしかで、文字列には閲覧履歴のトラッキングを許可するか否か、どの事業者に許可するかといった個人の判断の基準となる関連情報が含まれている。TCFを使ったサイトにおいてユーザーは、他事業者との個人情報共有を拒否できない。
TCFを使ったパブリッシャーのサイトをユーザーが閲覧した際に作成される「コンセントストリングス(consent string:同意文字列)」は、その他のユーザーデータとともに、広告配信の前にパブリッシャーからアドテクベンダーなどへ送信される。この文字列はほかの会社に当該データ利用の可否を通知するもので、ユーザー自身が許可したか否かにかかわりなく、その後のデータ共有などの処理や加工を阻止することはできない。
いいかえれば、TCFは「善き行為者」と業界の法令遵守意欲に大きく依存した枠組みだ。しかし、業界関係者すべてが正しい行動をするとはかぎらない。アドテクベンダーが文字列の一部を編集・加工して、ユーザーから得た以上の同意を取得したかのように見せかける同意文字列詐欺が横行しているのもその証左だろう。
この問題はかなり以前から認識されていたが、ユーザーの同意取得に関して、TCF開発者である欧州IABも、同意管理プラットフォームを運営する企業も、責任を追及されはしなかった。しかし今後、状況が変わるかもしれない。ベルギーAPDの判断によれば、欧州IABはデータ管理者(data controller)とみなされるため、たとえユーザーデータの収集と処理に関与しなくても、同意詐欺とデータの送信に責任を負うことになる。
一方、欧州IABは、自組織について「TCFの観点からいえばデータ管理者ではない」と考えており、そこが重要な争点となるため、自らの主張の正しさを証明する法的手段として異議申し立てをおこなうかどうか検討中だという。
欧州IABによる2月2日付の声明
「将来的には、(W3Cなどの)大規模な国際標準化団体も、個人情報の扱いを標準規格のなかに織り込んで定義するという責任を負うときが来るかもしれない」と指摘するのは、アドテクベンダーのアドフォーム(Adform)最高技術責任者、ヨッヘン・シュロッサー氏だ。「この件については今後、協議が進み、当然ながら是正措置がとられるだろう。規制当局が求める要件を満たせるよう、欧州IABの規格とプライバシー問題の専門家が、TCFの進化に向けて適切な手段を講じると確信している」。
欧州IABは2カ月以内に、違法状態を解消するための行動計画を、規制当局の主幹をつとめるベルギーAPDに提出する予定だ。これが承認されれば6カ月以内に計画を実施するが、期限に遅れた場合は、1日当たり5000ユーロ(5651ドル、約62万2000円)の罰金が課される。
欧州IABは、TCF問題の解決策はかならず見つかると考えているようだ。その考えが正しいかどうかは、時が経てばわかるだろう。
欧州IABは2022年2月2日付の声明で次のように述べている。「今日発表された(GDPR違反の)決定の内容はとうてい受け入れがたいが、我々は、6カ月の期限内に市場におけるTCFの継続的な有用性の担保に向けた行動計画を策定・実行すべく、ベルギーAPDとの協力作業に期待している。以前から明言しているとおり、我々はGDPR準拠のための国際行動規範にのっとった枠組みとして承認されるようなTCFを提案するつもりだ。今日の決定は、それに向けた取り組みへの道を開いたことになる」。
最終的な決定は2022年中旬
大きな利害がからむ問題だけに、企業幹部のなかには、解決に至る可能性について慎重ながらも楽観的な見方を維持している者もいる。
メディアコンサルタント会社のTPAデジタル(TPA Digital)で英国事業部門長をつとめるダン・ラーデン氏はこう語っている。「この騒ぎが落ち着いたら、当局の決定については誰もが、プログラマティック広告業界の将来にとって明るい材料だという見方をするようになるはずだ。TCFとOpen RTBのフレームワークはいま、EUの議員たちにより精査されており、最終的には、個人情報の収集・共有方法が最新のデータプライバシー規制に準拠するには何が必要かについて、明確かつ詳細な答えが得られるだろう」。
2018年にGDPRが施行されて以来、欧州IABはデジタルメディア業界を悩ませる法律上の諸課題への対応支援を続けてきた。同組織の関係者にとってGDPR違反の指摘は、タイミングとしては予想外だったかもしれない。
欧州IABは2021年11月、ベルギーAPDの当初の見解と、それに続くヨーロッパの姉妹データ保護当局との協議プロセスについて会員企業に通知した。TCFが直面する法的問題に詳しい情報筋が米DIGIDAYに語ったところでは、複数のデータ保護当局間で議論がおこなわれると予想されるため、GDPR違反に関する最終的な決定が下されるのは2022年の中ごろになる見込みだという。
「いたちごっこになりがちだ」
しかし、この種の決定は特許権と同様、行使と防御が徹底されなければ意味がない。アドテク業界の複雑なエコシステムには、違法行為の隠れみのとなるような要素が多数存在するという懸念もある。
デジタルメディアのエコシステム内で運用されるアドテクを監視できる人的資源を各国政府が有しているかどうか疑わしいとする者もいれば、データプライバシー規制に準拠したフレームワークを策定する作業部会が問題の主な要因になっていると指摘する者もいる。
「テクノロジーの開発は昔から、(追う側と追われる側の)いたちごっこになりがちだ。いままさに、TCFに関する司法判断をめぐる戦いが演じられている」と、ストレージ暗号化を専門とするロックル(Lockr)のCEO、キース・ペトリ氏はいう。
「作業部会の参加企業を見ると、(広告主やパブリッシャーなど)業界の主な利害関係者より、アドテクのプラットフォーム運営会社のほうがはるかに多い。そして、テクノロジーを利用する消費者のことなど誰も考えようとしない」。
[原文:‘Like an atomic bomb’: So what now for the IAB’s GDPR fix after regulator snafu?]
SEB JOSEPH and RONAN SHIELDS(翻訳:SI Japan、編集:長田真)