250億円!:GDPR 違反で、初の大型制裁金が科せられる

英国の個人情報保護監督機関、情報コミッショナーオフィス(以下、ICO)が現地時間7月8日、「一般データ保護規則(General Data Protection Regulation:以下、GDPR)」違反で、ブリティッシュ・エアウェイズ(British Airways)とマリオット・インターナショナル(Marriott International)に巨額の制裁金を科した。GDPRの施行から1年以上が経ち、違反を続けているところに対する締めつけをICOが強めはじめているようだ。

ICOは7月8日、顧客50万人の個人データが漏洩したとして、ブリティッシュ・エアウェイズ(以下、BA)に1億8300万ポンド(約246億円:BAの世界収益1年分の1.5%)という、驚くべき金額の制裁金を科した。マリオット・インターナショナルは、全世界の宿泊者記録、3億3900万件のさまざまな個人データを露出させ、9900万ポンド(約133億円)の制裁金を科された。BAとマリオットは申し立ての期間が21日あり、制裁金の軽減を主張できる。

今回の制裁金は、GDPRで認められている最高額(世界収益1年分の4%)よりは大幅に低いが巨額であり、顧客データが大量に漏洩した際に巨額の制裁金を科すことをICOは躊躇しない意向であることがうかがえる。顧客データを代理処理するサードパーティを使っている企業はいずれも、同じようなセキュリティ侵害に対して脆弱だ。今回の制裁金はサイバー犯罪レベルのデータ侵害に対して適当だと見なされたもので、バナー広告のターゲティングを目的としたCookieの悪用は、そこまでのリスクにはならない傾向はある。しかし、広告業界の幹部数名の話によると、今回の制裁金はそれでも広告業界にとって心配な前例だ。ICOからアドテク業界への警告からわずか2週間後というこのタイミングは、偶然ではないというのだ。

「2019年は執行の年だ」

プログラマティック取引、特にリアルタイム入札(Real-time bidding:以下、RTB)による広告で現在のように個人データを利用するには、ユーザーの同意が必要だとICOは強調した。つまり、一部のアドテク企業は、GDPR違反の方法をまだ展開しているということになる。

「盛んに話題になっているRTBにおけるデータ侵害の潜在的な範囲と影響について、(ICOが)検討をしている」と、プライバシーベンダーであるエビドン(Evidon)の親会社、クラウンピーク(Crownpeak)のプロダクトマネジメントディレクターであるゲイブ・モラサン氏は語る。「RTBネットワークとプログラマティック広告で収集・流通されているデータ量に着目すると、大量の顧客データであり、(BAとマリオットの際に影響を受けた顧客データに)似た規模や範囲になる可能性が十分にある。2019年は執行の年だ」。

モラサン氏は続けて、デジタル広告のサプライチェーンにいるアドテクパートナーのすべてが技術のセキュア化を十分に実施していない場合、機密データの漏洩で大変な数の顧客が影響を受けるおそれがあると述べた。BAの場合のようなクレジットカードのデータはおそらくないだろうが、健康状態、民族背景、政治傾向など、GDPRの「特別カテゴリー」の規則に該当するデータがある。こうしたデータがユーザーから明示的な同意を得ずに――GDPRに違反して――入札リクエストのなかでまだ使われていることは認識していると、ICOは警告している。ICOの最新の警告によると、アドテク企業がこうした個人データの利用を正当化するのに、「正当な利益」の条項を使うことはできない。

悪用されるJavaScript

BAとマリオットの制裁金は、ICOがアドテク分野にどう取りかかるつもりなのかを示す先例になると、アドテク業界幹部たちは考えている。「(ICOは)躊躇しないだろう」と語ったのは、コンテクスチュアル広告ファームのスマートロジー(Smartology)のCEO、マーク・ベンブリッジ氏だ。「RTBにおけるデータ利用を考えると、ICOがBAに対しここまで巨額な制裁金で対応したことは、まだ同意なしで個人データを利用しているRTBとプログラマティックのプレイヤーからすると心配なことだ」と同氏は述べた。

BAのセキュリティ侵害は、サードパーティによるJavaScriptコードの脆弱性をMagecartというハッキング集団が悪用したものだと報じられた。JavaScriptのコードは、オープンエクスチェンジにおけるプログラマティックによる広告売買を支える基盤だ。通常、パブリッシャーのアドサーバーは、パブリッシャーID、サイトID、広告枠の寸法といった情報を含むJavaScriptのタグをサプライサイドプラットフォーム(以下、SSP)に返す。すると、SSPがこの情報を読み取り、複数のサーバーにコールして、コードをページに挿入する。技術的には、あらゆるJavaScriptコードは悪用されるおそれがある。

JavaScriptコードを悪用する不正方法は、デジタル広告には昔からはびこっている。不正なリダイレクト、ピギーバック、JavaScriptインジェクションなどと呼ばれることが多いが、いずれも同じ形式のJavaScript改竄のことで、利益を横取りするために展開されている。BAの件では、同社のサーバーのひとつが信頼できないベンダーから悪意あるJavaScriptコードを受け取った。「広告を出しているあらゆる企業はこれに備えておく必要がある」とモラサン氏はいう。「サイトでのスクリプトの読み込みは、どこからのもので、どこのものなのかを可視化すべきだ。技術面に関心をもつことで、サイトに挿入するJavaScriptが信頼できるソースからのものだと確信できるようになる。また、(その証明のため)適切な文書化を実施できるようにすべきだ」と同氏は語った。

苦しい立場のデータ処理者

法律の専門家たちによると、BAとマリオットへの制裁金の副産物として、データ管理者は契約にある責任についてデータ処理者と早急に再交渉することになるようだ。GDPR実施以前は、データ保護違反の制裁金はFacebookが2018年7月に科された50万ポンド(約6710万円)が最高額だった。ということは、GDPRの施行以後も、契約の大半は、責任の上限はこの額のままだったということだろう。その場合、データ処理者が意図せずデータ保護の侵害を引き起こしたとしても、データ処理者の責任は最大でも50万ポンド。GDPRでは、2000万ユーロ(約24億円)あるいは世界収益1年分の4%まで認められており、それと比べるとずっと処理しやすい額だ。しかし、法律の専門家たちによると、今回の制裁金で完全に変わった。アッシュフォーズ・ソリシターズ(Ashfords Solicitors)のパートナーでアドテク法が専門のサラ・ウィリアムソン氏は、「(責任)交渉の席が突如、様変わりした」と語る。

「これまでICOによるこのような制裁金は目にしたことがなかったので、責任の上限は両者が生み出すリスクに基づいて、相当なものになっていた」と、ウィリアムソン氏。「今回の発表を受けて、不安は高まる。責任条項の交渉は、はるかに慎重を要するものになるだろう」と、同氏は語った。

その結果どうなるのか。データ管理者は自衛のため、GDPRにおける最高額の制裁金に備えて、責任上限の大幅な引き上げを要求するだろう。そうなると、データ処理者の立場は苦しい。特に小さなところは、無制限責任の要求を受け入れ、倒産に直面するところがでるかもしれない。要求を受け入れないとしても、押し戻すことができなければ、パートナーシップからの撤退を検討しなければならない。データ管理者とデータ処理者の信頼関係がますます重要なものになる。

Jessica Davies (原文 / 訳:ガリレオ)