IAB Europeの広告トラッキング同意フレームワークがGDPR規格に適合しないことが判明

#アナタノミカタ　

IAB Europeの広告トラッキング同意フレームワークがGDPR規格に適合しないことが判明
AI.

広告業界団体のIAB Europeが作成した、行動ターゲティング広告でインターネットユーザーの同意を取り付ける主力のフレームワークが、データ保護で要求される法的基準を満たさないことが、EUデータ監督局の調査で明らかとなった。

プログラマブルな広告のリアルタイム入札（RTB）コンポーネントにおける個人データの利用に関する告発を受けて、ベルギーのDPAは調査を開始した。高速の個人データ取引は、EU法に組み込まれたデータ保護要求へ本質的に適合できないとするものだ。

IAB Europeの透明性と同意の枠組（TCF）はヨーロッパのあらゆるウェブに出現し、ユーザーへ広告トラッカーの同意（または拒否）を要求する。広告業者がEUのデータ保護規則に従いやすくするのが、表向きの目的だ。

これは、2018年5月にEUの一般データ保護規則（GDPR）が開始し、欧州地域のデータ保護規則が大幅に変更されたことに応えて、広告業界の規格団体が作成した内容である。GDPRは個人データ処理の同意に関する基準を厳しくし、準拠しない場合は大幅な罰則を適用するため、広告トラッキング業界の法的リスクが増している。

IAB Europeは2018年4月にTCFを導入し、その時点では「デジタル広告のエコシステムがGDPRとeプライバシー指令の要件に適合しやすくなった」と述べていた。

今年8月にフレームワークを導入したアドテックの巨人であるGoogleを含めて、同フレームワークは広範に普及している。

欧州以外でも、IABは最近、同じツールの別バージョンをカリフォルニア州の消費者保護法への「準拠」に使用するよう働きかけている。

しかし、ベルギーのデータ保護当局の調査部門が発見した内容は、フレームワークが名目上の目的を満たしていないことを示唆しており、フレームワークの採用に疑問を投げかけている。

TechCrunchがレビューしたベルギーDPAの捜査サービスのレポートでは、多数の懸念事項が発見されている。これには、TCFがGDPRの公開性、公平性、説明責任の原則に適合していないことや、データ処理の非合法性が含まれる。

また、TCFが特殊カテゴリー（健康情報、支持政党、性的嗜好など）で十分な規定を設けていないにも関わらず、データを処理していることも指摘されている。

また、IAB Europeの評判を著しく損なう事例も報告されている。DPAの検査官はデータ保護担当者の不在や、社内のデータ処理活動を記録していない事実を発見した。

IAB Europeのプライバシー方針も、十分とは言えないことが指摘されている。

私たちはIAB Europeに対し、検査官の発見内容に対するコメントを要求した。更新情報：本記事の末尾に、最初の回答が記載されている。更新情報2：広告規格団体は声明を発表し、TCFが「最小限のベストプラクティス」を含む「任意参加の規格」であることを説明している。また、「広告業者によるTCFの解釈に基づき、IAB Europeがデータを取得しているとする、（ベルギーDPAによる）法の拡大解釈に対し、敬意を表しつつも反対いたします。」とし、こう付け加えている。「（ベルギーDPAによる）解釈が認められた場合、業界に属する企業を支援し消費者を保護することを目的とした、オープンソースの準拠規格作成が大きく勢いをそがれます」。

過去2年間にわたり、イギリスとアイルランドを筆頭に、欧州全体でRTBに対して多数の告発が寄せられている。

最初のRTB告発を提出し、アイルランドの人権評議会でシニアフェローに就任したJohnny Ryan博士は、TechCrunchにこう答えた。「TCFは、行動ターゲティング広告とトラッキング業界に深く浸透している、違法の可能性がある大量のデータ侵害に対してトラッキング業界が応急処置を施した成果です。今回、ベルギーDPAがそれをひき剥がし、違法性を暴露しました」。

Ryanは以前、RTB問題を「史上最大のデータ侵害」と呼んだことがある。

先月、彼はRTBがどれほど広範囲に、かつ問題ある方法で個人データを漏洩しているか、戦慄すべき証拠一式を発表した。データブローカーが2019年のポーランド議会選挙の結果を左右するため、RTBを使用してLGBTQ+コミュニティの人々をプロファイリングしていたことなどが記されている。また、別のデータブローカーがアイルランドのインターネットユーザーを「薬物乱用」、「糖尿病」、「慢性痛」、「睡眠障害」などのカテゴリーに分類してプロファイリングし標的としていたことも判明している。

RTBに対する最初の告発を手掛けた弁護士、Ravi Naikは声明を通じ、ベルギーの検査官が発見した内容についてこう述べている。「この発見結果は衝撃的で、しかも遅すぎます。模範を示すべき存在であったIABは、今やGDPRの違反の元凶です。監督局は、IABがデータ所有者に対するリスクを「無視」していることを、当然のごとく発見しました。IABの責任は今や、こうした侵害を止めることにあります」。

RTBに対する告発を受け、イギリスのデータ監視団体であるICOは2019年6月に行動ターゲティング広告に対して警告を発し、業界に対してデータ保護基準に適合する必要性を促している。

しかし、規制当局は強制力のある行動を起こせていない。口調の柔らかなブログ記事がいくつか発表されただけだ。最近では、コロナウイルス感染症が理由で、本件に関する（進行中の）捜査活動を一時的に停止している。

昨年度起こったもう一つの事例では、アイルランドのDPCがGoogleのオンラインAd Exchangeに対する捜査を開始し、個人データの処理の違法性を調べ始めた。しかし、この捜査はほとんど手が付けられていない案件の山に埋もれたままである。また、アイルランドの規制当局は、ITの巨人が関わる大規模な国際GDPR事例では、決断までに時間がかかりすぎると批判を浴びている。

アムステルダム大学でデータ保護を研究する博士研究員であり、かつベルギーの事例では原告の一人でもあるJef AusloosはTechCrunchに対して、DPAの行動は他のEU規制当局へも対応を迫っており、そうした組織の「身がすくんで全く何もできないでいる実態」を浮かび上がらせていると述べた。

彼はこう付け加えている。「今後数か月から1年の間に、アイルランド当局の行動を待たずに他のDPA組織がしびれを切らし、自身で対処を開始することになるでしょう。

データ保護当局がオンライン広告業界を根底から突き崩すため、ようやく動き出したことは歓迎すべき兆候です。監視資本主義を打破するための、重要な最初のステップと言えるでしょう」。

規制プロセスには多数の作業が存在するため、ベルギーDPAが検査官のレポート内容に従い、具体的な行動をとるまでにはまだ数段階のハードルがある。私たちはベルギーDPAへ意見を求めて打診した。更新情報：以下を参照していただきたい。

しかし、原告によれば、検査官が発見した内容は訴訟局へ移管されており、2021年初頭には何らかの行動がとられると予想されている。つまり、EUでプライバシー保護を求めて活動する人々は、近い将来に広告トラッキング業界/データ処理産業体に対して、ようやく自らの権利を主張できるようになる可能性がある。

広告業者にとっては、コンテンツを収益化する方法を変革しなければならないことを意味する。疑わしい広告に代わり、人権を尊重した代替の手法（個人データを利用しない、コンテキスト別の広告ターゲティングなど）がとられる可能性がある。一部の広告業者はすでにコンテキスト広告に切り替え、収益を上げる方法を見出している。会員制のビジネスモデルも可能となる（ベンチャーキャピタルの一部には反対する声もあるだろうが）。

The Belgian data authority finds that the IAB TCF infringes the GDPR. This isn’t surprising: the @IABEurope CEO had said the same thing. The only unexpected aspect is how long it took for enforcement to step in.
This is a good outcome https://t.co/g1Etu5geP3
— Robin Berjon (@robinberjon) October 16, 2020

更新情報 I：次の行動と決定を下すまでにかかる予想時間について、ベルギーDPAの広報担当者は私たちの質問にこう答えた：「手続きの点でいえば、調査サービスのレポートはベルギーDPAの訴訟局へ移管されたため、訴訟局が妥当性を評価して案件を審査します。

現時点では、訴訟局がこの案件に関して決断を下すまでにかかる期間を予想することは差し控えたいと考えています」。

更新情報 II：レポートに対する意見を求められたIAB EuropeのCEO、Townsend Feehanは、私たちに対して広告規格団体は間もなく声明を発表する用意があると答えた。また、レポートのタイトルについて、Feehanはこう述べている。「タイトルは誤解を招きかねません。事実とは異なっています」。

どの部分が事実とは異なっているのかについては、Feehanは「GDPR標準に適合しない」とした部分を指摘し、「規制当局の裁定であるとの印象を強く与える」と反論した。

私たちの報道は、ベルギーDPAからの説明と引用を含め、手続きが現在進行中であると明確に述べていると指摘した際、Feehanはこう述べている。「私の考えでは、タイトルが誤解を招きやすい表現になっています。捜査の初期段階において『TCFがGDPR基準を満たしていない』ことが判明したと述べていれば、より正確に事実を描写しているはずです」。

特殊カテゴリーのデータについては、Feehanはこう主張する。「TCFを通じて特殊カテゴリーを処理することはできません。

レポートの細部に踏み入ることは避けますが、タイトルだけをとれば、TCFがGDPRに違反しているとDPAが発見したかのような印象を受けますが、それは事実とは異なります」。また、こうも付け加えている。「数時間のうちに、さらに詳細な声明を発表します」。

更新情報 III：IAB Europeのウェブサイトで、ベルギーDPAの捜査で判明した内容に関する声明の全文が読めるようになり、そこではこう述べられている。「APDのレポートはAPDの捜査部門による初期見解に基づいており、IAB Europeがいかなる意味でも法律違反を犯したと断定する拘束力は持ちえません」。