「 GDPR 違反の指摘は驚きだった 」:欧州IABのCEOが語る、サードパーティ・アドレッサビリティの不確かな未来

DIGIDAY

EUでは、ユーザーのプロファイリングとターゲティングにもとづくオンライン広告配信の方法がいままさに変わろうとしている――ただし、どの程度変わるかは不明だ。

ベルギーのデータ保護当局(Autorité de protection des données:以下APD)が、アドレサッブル広告をオープンウェブ上で大量配信する目的でユーザー情報を収集する方法がEU一般データ保護規則(GDPR)違反であると指摘した。広告配信に利用される個人情報を保護するため業界団体が策定した枠組みの機能が不十分だというのだ。

GDPR違反の指摘が業界にもたらすのは長期的な影響だけではない。その波紋は、広告主やパブリッシャー、アドテクベンダーにたちまち広がる。しかし、なにか事が起こるときにはかならず相互作用があり、この件も例外ではない。業界団体である欧州インタラクティブ広告協議会(IAB Europe:以下、欧州IAB)は、オンライン広告と個人のプライバシーの接点について、APDをはじめとする当局とは異なる見解をもっており、GDPR違反の決定に対し不服申し立てをする意向だという。

問題があると指摘されたのは欧州IABが策定した「透明性と同意のフレームワーク」(Transparency & Consent Framework:以下TCF)。米DIGIDAYは、この枠組みの将来に関する見解を求めて、欧州IABのCEOであるタウンゼンド・フィーハン氏に取材を申し込んだ。この求めに応えてフィーハン氏から電話で背景説明があり、その後、eメールで質問への回答が寄せられた。

◆ ◆ ◆

欧州IABのタウンゼンド・フィーハンCEO

――APDの決定に対する欧州IABの不服申し立てについて、内容と背景を説明してほしい。

今回の決定はいわゆる行政処分で、APDが調査と最終意思決定の両方にかかわった。この後は、ベルギー市場裁判所の司法判断を仰ぐことになる。APDの決定(GDPR違反による制裁金と収集データの削除命令)に対する不服申し立ての期限は30日以内、つまり2022年3月4日だった。欧州IABは2月11日、不服申し立てをおこなうと発表した(声明文はこちらを参照)。

申立書の内容はAPDの所見に異議を唱えるもので、「欧州IABは、TCストリング(TC Strings:TCFに基づいて収集されたユーザーの同意に関するすべての関連情報を含む、コード化された文字列)を記録する管理者であり、TCストリング普及の共同管理者である。また、OpenRTB(リアルタイム入札実行時のプロトコル)に基づき、TCFの参加者が実行するそのほかのデータ処理における共同管理者でもある」というAPDの主張に反論する。ちなみにTCストリングは個人データそのものではない。

申立書はまた、APDが個別のデータ処理行為を取り巻く特定の状況を参照することなく、TCFの法的根拠の妥当性を評価した点についても異議を唱える。そのほかにも、APDが述べるいくつかの所見と、欧州IABが「管理者および共同管理者である」とする判断にもとづく是正措置命令への反論も検討中だ。加えて、APDの決定の即時執行停止も要求する。

――申し立てに対する正式回答の時期の目安についてAPDから説明はあったか?

欧州IABが提出する(GDPR遵守のための)行動計画に関するスケジュールは不服申し立てのスケジュールとは別に設定され、その影響を受けない。行動計画の提出期限は2カ月以内(4月2日まで)だ。市場裁判所は、執行停止要求と不服申し立てを、「訴えの実体的側面にもとづいて」別々に検討する。我々が入手した情報では、執行停止要求に関する司法判断は申立書の提出後数週間以内に出る見込みだが、要求が受け入れられない場合、欧州IABはAPDによるGDPR違反の決定に含まれる命令とスケジュールに従って行動する必要がある。

全体の流れをまとめると、欧州IABの行動計画の提出期限はAPDの決定公表から2カ月以内(4月2日)。その後(時期は未定)は行動計画をAPDが評価し、承認する。欧州IABは、承認された行動計画を6カ月以内に実施する。市場裁判所による本案判決が下されるのは2022年後半とみられ、状況によっては2023年にずれこむ可能性がある。

――APDによる決定の通達を受けたとき、どう思ったか?

ある意味、驚きだった。APDは行政処分の執行を求めたことで、TCFの実質的な内容に関する指針を示すよりも、欧州IABがなんらかのデータ管理者であると主張する必要に迫られたはずだ。もし最初からデータ保護規則ポリシーに関する議論が交わされていたら、「管理者(controller)」の概念を拡大解釈したAPDの決定から生じる摩擦や、意図せぬ大きな影響を回避できただろう。

――当局によりデータ保護の問題が指摘されたことで、サードパーティによる大規模なアドレッサブル広告配信が違法化される前兆だとみる向きもあるが、APDの決定を、OpenRTBシステムの合法性の観点からどうとらえているか?

GDPRの基本となるパラダイムは、企業によるデータ処理についてインターネットのユーザーが情報と透明性を確保し、それらにもとづいて選択ができ、その選択が取り消し可能な状況を指す。GDPRにはそのほか、消費者が有するさまざまな権利(データの消去権、修正権、アクセス権など)が定められている。OpenRTBのプロトコルをGDPRに準拠した形で運用することはもちろん可能だ。パブリッシャー各社は、広告配信の目的で読者の個人データを利用する可能性のあるデータ管理者の情報を、GDPRを遵守しながら開示する必要がある。

またベンダー各社は、GDPRで認められた法的根拠にもとづき、データ処理をおこなうベンダーにのみ個人データを共有し処理させるよう担保しなくてはならない。現行版のTCFではすでに、ユーザーの個人データをGDPRで認められた法的根拠にもとづき収集・処理できるベンダーにのみ提供することが義務づけられている。TCFのポリシーに従えば、サイト閲覧者の個人データを収集し処理できるのは、閲覧者がTCFのユーザーインターフェースを介して明示的に許可したベンダーのみということになる。TCFはGDPRの要件を満たす形での情報開示を担保するには最良の方法だ。

TCFはOpenRTB専用に開発されたわけではない。RTBを法令に則って実行するための手段であり、だからこそ注目を集めたのだろう。もしデジタル広告におけるターゲティング、配信、効果測定の代替手段を推進したいのなら、GDPRを遵守しながらOpenRTBを使用するためのベストプラクティスを攻撃するのがひとつの方法だ。

TCFは、APDの決定で示唆されたのとは逆に、グローバルベンダーリスト(Global Vendor List:TCFに参加しIABによって承認されたベンダーのリスト)のベンダー使用を義務づけていない。パブリッシャーが取引するベンダーの数には制限がない。またパブリッシャーは、(法的根拠にもとづいて)自社によるデータ処理目的でユーザーの同意を取得する仕組みとしてTCFを使うことができる。

――TCFが「現状は違法である」と指摘されたいま、欧州IABとして業界関係者にアドバイスするとしたら?

APDの決定の対象はあくまで欧州IABであり、TCFを実装している個々の利害関係者(パブリッシャー、ベンダー、CMP運営者、広告主)ではない。APDは欧州IABに対し、必要な追加機能の開発を盛り込んだ行動計画を2カ月以内に提出し、承認された場合は6カ月以内に実施することを命じている。我々は、エコシステム内の複数企業が参加する少人数の作業部会を設置して行動計画の策定に取り組むが、業界関係者にはその進捗状況と、草案作成後のAPDとのやりとりについて定期的に(毎週、または2週間に1度)情報を提供するつもりだ。

作業部会はTCFのバージョン3(最終的にはこれが「GDPR行動規範」の一部として承認されると想定しているが)を定義し、法的根拠やユーザーインターフェースについてどこを変更すればデジタル広告が引き続き収益を上げてオープンウェブに貢献できるかを議論する。業界各社はこの一連のプロセスを受け入れる必要がある。

行政処分が執行された場合の法的リスクを懸念する業界各社は、自社の実務がAPDの決定に照らしてどう評価されるかを調べる必要があるだろう。現行版のTCFは、広告配信やコンテンツのパーソナライゼーションを目的とした第三者による個人データの処理やデバイスへのアクセスについて、データ提供者がGDPRの法的根拠(およびePrivacyの同意)を確立できるようにするという、かなり狭い機能を提供する最低基準だ。 これは、パブリッシャーやベンダー、広告主が、GDPRに規定された一連の義務を遵守するためにTCF以外の手段を講じることを妨げるものではない。

パブリッシャーがAPDの所見を現時点で自社の実務に反映したいと考えるなら、プロファイリングの法的根拠として「正当な利益」の削除することを検討し、広告配信目的で処理される可能性がある個人データの種類に関する補足情報を開示することを検討できる。APDは、TCFが示すデータ処理目的の定義が、十分に詳細ではなくかつ簡潔ではないと指摘している。パブリッシャーには、TCFのポリシーに記載された合法的かつ「使いやすい」定義を補う文言を追加的に提供するという選択肢もある。

――TCFの機能とOpenRTB対応の使われ方について、「違法状態」を解消するための抜本的な再設計が不要と判断されたのはなぜか?

今回の決定では、APDの要求はTCFの機能拡張であり削減ではないと明示されており、たとえばTCF参加ベンダー全社のGDPR遵守を担保する機能などを充実させるよう求めている。我々が策定する行動計画に必要なのは、基本的にはTCFの枠組みの拡大であり、業界各社における情報開示の徹底した調和だ(決定には、CMP運営者に「統一した」情報開示方法をとるよう「強制する」などと記されている)。APDは、TCFが示すデータ処理目的の定義について、より詳細かつ簡潔な記述が望ましいと考えているらしい。

また、データ処理の法的根拠を示す主張として「正当な利益」という文言の使用を制限するという要求もあった。米DIGIDAYへの電話取材で説明したように、決定におけるAPDの意図が「正当な利益」の使用の全面的禁止か、それともユーザーのプロファイリング目的での使用禁止かは、定かではない。

――欧州IABは、トラッキングとプロファイリングをめぐるユーザー同意の取得方法と利用目的の記述で、何が許され、何が許されないかについて、当局の指示が明確でないと述べているが?

そのように発言したか定かではないが、私が電話取材で引き合いに出したのは「管理者の職」(controllership)や「個人データ」(personal data)で、こういった基礎的な概念の定義が明確さを欠いている、と述べた。GDPRにおいてはこれらの概念がかなり不明瞭だ。我々がヨーロッパのデータ保護当局を対象にTCFの説明を始めてから数年経つ。十数カ国の当局と話し合い、時には同じ当局と複数の会合を開いてきたが、欧州IABが「管理者」である、TCストリングが「個人データ」であるといった話題はいっさい出なかった。ところがAPDは、今回の決定においてこの2点を取り上げて問題提起しているのだ。

一方、同意取得に関していえば、「有効な同意」を表すさまざまな属性――「明確な(unambiguous)、具体的な(specific)、情報を得た(informed)、制限なしに与えられた(freely-given)――をどう解釈すべきか、活発な議論が交わされている。この点についてはオフラインでさらに議論できればと願っている。電話で述べたように、「制限なしに与えられた」という単語が法律上、価値の高いデジタルコンテンツへのアクセス権を無償かつ広告なしで付与する意味と解釈できるかどうかは、まだ明確になっていない。

――オランダとデンマークのデータ保護当局がのちに発表した声明についてどう考えるか?

APDの決定は欧州IABを対象としており、欧州IABのみに義務を負わせるものだ。新たな申立人が、特定のパブリッシャーまたはベンダーによる特定のデータ処理行為に対し新たな申し立てを起こす際、この決定に依拠した主張はできるかもしれないが、その主張はのちに欧州各国のデータ保護当局により(正式な申し立てとして)取り上げられる必要がある。ただし、是正措置期間中にそうした動きがある可能性は低い。APDの判断については多くのデータ保護当局(25以上)が助言を求められて協議にかかわっており、これらの当局も、間接的にせよ、規定のスケジュールに影響を受けているからだ。

[原文:‘It was surprising’: IAB Europe’s CEO on the uncertain future of third-party addressability

Seb Joseph(翻訳:SI Japan、編集:分島翔平)

Source