欧州IABの「GDPR」対応、プライバシー保護活動家が批判:「ルールの規定者」への失望

一般データ保護規則(General Data Protection Regulation:GDPR)は、デジタル広告業界がRTB(リアルタイム入札)で個人データをどのように使っていたかというパンドラの箱をこじ開けた。

GDPRによって、ユーザーに対して個人データをいつ、どのように、誰が、どのような目的で使用するかを通知することが義務付けられた。これは一見するとシンプルかつ理にかなった要求に思える。だが不規則に拡大を続けている現在のデジタルアドテクのエコシステムにおいて、リアルタイム入札環境で同規則を実施するのは、非常に難しいのが現実だ。

Googleと欧州IAB

そんななか、攻勢的な立場の急先鋒にあるのが、ウェブブラウザのブレイブ(Brave)のジョニー・ライアン氏、オープン・ライツ・グループ(Open Rights Group)のエグゼクティブディレクターを務めるジム・キロック氏、ユニバーシティ・カレッジ・ロンドンでデータとポリシーを研究するマイケル・ビール氏らだ。昨年9月に、同グループはGoogleをはじめとするアドテク企業が政治的立場などのセンシティブな個人情報を、行動ターゲティング広告の入札リクエストに利用しているとして、欧州の規制当局に対し正式に抗議を行った

さらに2月20日、イギリスとアイルランドのデータ保護当局に対して、これまでの主張を裏付ける新たな証拠を提出している。これらの文書は情報の自由に基づく要求から、欧州委員会から入手したものとなっている。今回の抗議は、GDPRを施行してもあまりに大規模で企業数も膨大な現在のデジタル広告のエコシステムでは、「どの企業が情報を受け取るかを制御できず、データを受けとった企業が何に使用するかも知りえない」ことを欧州インタラクティブ広告協議会(IAB Europe: 以下欧州IAB)が前もって認識していたと主張する内容となっている(抗議の全文はこちらに掲載されている)。

今回の抗議には、欧州IABからの一連の注釈付きの入札リクエストのサンプルと、Googleを利用するユーザー向けのGoogleの文書も含まれている。入札リクエストのサンプルには、ページのURLや仮名の認識コード、GPS位置情報といった情報が含まれていた。これはGDPRの基準でいえば大きな侵害だと同グループは非難している。Googleは、位置情報を識別しにくくするための難読化処理をほどこしてきたという主張を崩していない。

抗議に対する見方

RTB環境でどのようにデータが使われるかをユーザーに通知するのは不可能であると、欧州IABは知っていたとの主張に対し、欧州IABは『トランスペアレンシー&コンセントフレームワーク(Transparency & Consent Framework:透明性と同意の枠組)』を構築して、この問題に対処したとして退けている。欧州IABのプライバシーとパブリックポリシー部門のディレクターを務めるマティアス・マシーセン氏は「リアルタイム入札に参加することに関して、ユーザーに事前通知できるだけでなく、リアルタイム入札に参加している特定ベンダーの開示や同意状況についても通知可能だ」と語る。

さらに同氏は、ライアン氏らが以前申し立てた苦情に対する欧州IABのこれまでの主張を繰り返した。すなわち技術自体(この場合はオープンRTB)はGDPRの対象ではなく、ビジネス上の技術の用途のみが対象であるという主張だ。だがライアン氏らは、この主張は本当の問題に対処していないと考えている。すなわち、彼らの言葉を借りれば業界における「ルールの規定者」である欧州IABとGoogleというふたつの組織が、広告業界に対してGDPRの侵害を推奨しているという問題をライアン氏らは主張しているのだ。

アドテクはこれからも規制の対象であり、もし規制当局が今回の抗議に同意すれば、アドエクスチェンジは変化を余儀なくされる。アドテクコンサルティング企業のアドプロフス(AdProfs)の創設者であるラットコー・ヴィダコヴィック氏は「短期的には、アドエクスチェンジの入札リクエストから主要なターゲティング分野を外さなければならなくなるかもしれない。そうしなければ罰金が課される可能性がある」とし、「パーソナライズされた広告ターゲティングは、GDPRについて当初懸念されていた驚異にさらされるだろう」と予測する。

過去事例を踏まえて

これまでモバイルアドテクベンダーのベカチュリー(Vecatury)やGoogleといったアドテク企業に厳しい対処を行った規制当局は、フランスの情報処理および自由に関する国家委員会(CNIL)だけだ。ライアン氏は、GDPR違反で罰金が課されるまで誰もベカチュリーの名を知らなかったことこそが、オープンオークションにおけるGDPRの実施が不可能なタスクであることを示していると指摘する。参加企業の数があまりにも多く、データ漏洩の範囲があまりにも広範囲に渡るためだ。

欧州IABは「透明性と同意の枠組」を定めることでGDPRのコンプライアンスにおける基準を作り出そうとした。だがこの枠組は、オープンエクスチェンジでアドテク企業が個人データを使用することを促進しているとして批判されてきた。一方でパブリッシャーを含む多くの業界では、単一企業(すなわちGoogle)によらない業界標準の普及が強く待ち望まれている。

英国のオンラインパブリッシャー業界団体であるオンライン出版社協会(Association of Online Publishers、AOP)でマネージングディレクターを務めるリチャード・リーブス氏は「業界は、『同意の枠組み』が期待され求められている機能を果たす枠組みとなるよう力を合わせている。それこそが、単一企業ではなく業界によって管理されるソリューションにもっとも近いものだからだ」と語り、次のように予測する。「『透明性と同意の枠組』の第2版が7月に発表される。第2版では懸念の多くが解消されると確信している」。

Googleの広報担当は、今回の抗議に対して次のように回答している。「Googleのシステムを用いたリアルタイム入札で運営資金を得る決定を下したパブリッシャーは、Googleのポリシーに従う義務を負う。このポリシーには、ヨーロッパのエンドユーザーに対して、パーソナライズ広告への同意を得ることや、過度に絞り込むターゲティングを行わないこと、特定のオーディエンスをターゲットにしないこと、健康状態や妊娠といたセンシティブなユーザー情報を収集しないことなどが含まれる」。

問題解決の糸口

今回の抗議は非常に攻撃的なものに見えるが、ライアン氏は、同氏らはRTBを潰そうとしているわけではないと語る。ライアン氏らが望んでいるのは、入札リクエストからこのようなセンシティブなデータが一掃されることだ。

ライアン氏は次のように語る。「この問題へのソリューションはシンプルだ。欧州IABのRTBシステムでは、入札リクエストに595種類のデータを含むことができる。そのうちの4%を禁止にするか切り捨てることだ。Googleのシステムについても同様だ。これは簡単に直せるのに、長いあいだ放置されてきた。ここを対処すれば、インターネットを使うあらゆる人の位置情報や興味といった個人データがシステムから漏洩するのを防ぐことができる」。

Jessica Davies(原文 / 訳:SI Japan)