「よく練られた最善の計画でもうまくいかないことが度々ある」――各国のデータ保護当局はいま、このことわざどおりの状況に直面している。

企業の広告需要に支えられて発展してきたデータ業界は複雑だ。秘密保持契約により情報入手が難しい場合もあり、その意図せぬ影響をおさえこもうとするデータ保護当局の仕事は簡単ではない。

最近の事例では2022年8月、米連邦取引委員会（FTC）がアドテクベンダーのコチャバ（Kochava）を相手取った訴訟を起こした。FTCの申し立てによればコチャバは、ドメスティックバイオレンス（DV）シェルターや生殖医療クリニックなど、慎重に扱われるべき場所への人々の移動を把握できる位置情報データを販売しているとされる。

Advertisement

どこかで見聞きしたような訴訟の流れ

意図したことがかならず現実になるとはかぎらない。コチャバとしては当初、和解案を受けて歩み寄りも検討しただろうが、チャールズ・マニングCEOはけっきょく、FTCの主張が「曖昧である」として和解を拒否する意向を示した。

これまでの業界の動向を知る人なら、どこかで見聞きしたような話だと感じるかもしれない。

2018年、業界全体でEU一般データ保護規則（GDPR）への準拠を標準化するため、欧州IABの主導のもと、「透明性と同意のフレームワーク」（Transparency & Consent Framework：以下TCF）が策定された。しかし2022年に入り、この枠組みの将来に暗雲が立ちこめ始めた。複数のデータ保護当局により、現行のTCFがGDPR違反と指摘され、存続の危機がささやかれた。ところが数カ月が経ち、その認識が時期尚早だったらしいとわかってくる。9月初旬になって、TCFの運命を左右する判断は、欧州連合司法裁判所にゆだねられることが明らかになった。

つまり欧州連合司法裁判所は、TCFを通じてデータが違法に収集されたか否か、TCFを利用するアドテク企業に対しGDPR違反の訴えが起こされた場合、欧州IABが賠償責任を負うべきか否かについて評決を下し、将来の方向性を示すことになる。最終的な司法判断が下されるのは、1年以上先とみられる。

当局による規制強化は果たして成功するのか。

問題は規制強化の流れではない

オンライン広告におけるデータ規制強化をめぐる課題は、規則の文言が明確さに欠ける点にある。GDPRにしてもCCPA（カリフォルニア州消費者プライバシー法）にしても解釈の幅が広すぎて、データの取り扱いの問題を指摘された企業に「違反行為ではない」と主張する余地を与えかねない。実際、そういった事案が起きている。

大半の企業はいちおう法令を遵守しているが、つねに法の意図するところにしたがって行動するとはかぎらない。規制の変更が発表されると、新たな法的要件を満たす必要が生じるため、企業はそれらの要件の自主解釈にもとづいて、ビジネスモデルを「不都合な真実」に適応させようと試みる。結果として大混乱が生じ、法の抜け道を見つけようと企てる者が多数現われる。

データ保護当局としては当然ながら、規制の強化と徹底につとめることになる。

一方、コチャバのCEO、マニング氏にとって、規制強化自体は問題ではない。データプライバシー保護規制の改革は、痛みをともなうにしても必要な取り組みだと理解している。問題は、改革推進のためにFTCが取ろうしている方法であり、それがマニング氏をいらだたせているのだ。「我々は具体的な説明を求めているのに、FTCはそれに応じる様子がない」とマニング氏は指摘する。

つまり、細かいところが肝心で、ゆるがせにはできないのだ。マニング氏によると、FTCはコチャバに対し、機密性を要するため慎重に扱うべき位置情報の追跡を遮断するよう要求してきたが、具体的にどんな情報かは明示されなかった。もし具体的な説明がなされていれば、マニング氏のチームは、自社製品の仕様に要件として盛り込むことができたはずだという。当該の製品はプライバシー・ブロック（Privacy Block）といい、機密性を要する位置情報を、同社運営のデータマーケットプレイスでの取引対象から除外する目的で開発された。

FTCの要求はけっきょく、具体性が不十分なままだった。「FTCは我々のやり方に異を唱えて、『機密性を要する医療施設の位置情報』を取引対象から除外してほしいと言ってきた。そうなると我々は、データマーケットプレイスにおいて、同じ位置情報データの機密性の判断にばらつきがある場合、そのデータを具体的にどう分類し、どう扱うのかという問題に直面する」とマニング氏は述べた。

TCFに待ち受ける未来は

この件の今後については、予測が難しい。

FTCもコチャバも、それぞれの見解を撤回しない構えのようで、法廷闘争に発展する可能性は十分にある。裁判の結果はどちらに転んでもおかしくない。FTCの場合、機密性を要するデータが予期せぬ形で不適切に利用される可能性がある場合でも、規則違反として扱った前例がある。一方、コチャバが「機密性を有する医療施設の位置情報」を不適切に開示した事実はなく、仮に意図せずにそのような事案が起きたとしても、それは違法ではないと、マニング氏は主張する。

現在、データ仲介産業を監督する米連邦法は存在しない。この点については、8月にFTCがコチャバを相手取った訴訟を提起したあと、同委員会の規制制定の流れに関するコメントを初めて公開した際にも、重要事項として取り上げられていた。

言い換えればFTCは、依拠すべき法律が制定される前に違反を取り締まる方針を示したわけだ。これは驚くべきことではない。6月に米連邦最高裁が人工妊娠中絶権の違憲判断を下して以来、FTCは医療施設の位置情報について危機感をもって動いているからだ。

もし、今回の件がデータプライバシー紛争の火種になるとしたら、ヨーロッパにおけるTCFの未来にも黄信号がともるだろう。しかし、コチャバとFTCの対立とは異なり、TCFにとって「審判のとき」の訪れは想定内だった。想定外といえば、データ保護当局がもっと早く手を打たなかったことぐらいか。ご存じのようにTCFは、善意の行為者と、業界全体の法令遵守への意思に大きく依存する枠組みだ。とはいえ、実を言うと関係者のなかでも例外はある。データブローカーはあいかわらず個人情報の取引に関わっているし、オンライン広告業界を見わたせば、データの濫用につながりかねない事案だらけだ。

「TCFはいまのところ、GDPRに準拠したソリューションに必要な機能を何から何まで取りそろえているわけではない。完全な法令遵守を実現するにはまだ克服すべき課題がたくさん残っている」と、欧州IABのタウンゼンド・フィーハンCEOは述べている。「ベルギーのデータ保護当局が標準規格としてのTCFに求めているのは、GDPRへの準拠の度合いを高めた機能の追加で、これについては遅かれ早かれ、かならず対処するつもりだ。とはいえ、広告配信用のデータ加工にともなう法令遵守の責任は、データ加工会社に負ってもらわなくてはならない」。

欧州IABを待ち受ける困難な道

欧州IABがこの改革を実行するには、技術的アカウンタビリティを確立できるインフラの開発・運用が必要で、膨大なコストがかかる。OpenRTBのルールによるリアルタイム入札をめぐるエコシステムの構造を考えると、不可能ではないにしても、きわめて困難な大事業になりそうだ。欧州IABも、そこは重々承知しているだろう。

取り組みの成否を左右する困難が最終的にどこに立ちはだかるにしても、その影響は大きい。結果として、データプラパシー規制当局が有する権限が強大化するか、それとも大幅に制限されるか、事の成り行きが注目される。

［原文：Why regulators are still at odds over ad tech data privacy standards］

Seb Joseph（翻訳：SI Japan、編集：分島翔平）