世界中のマーケターが南仏に集まった週に、デジタル広告に対してレッセフェール(自由放任主義的)な立場は取らないという強力なメッセージを、フランスのプライバシー監視機関が発した。
フランスのCNIL(情報処理と自由に関する国家委員会)は6月22日、ターゲティング広告用の個人データ処理に関連したGDPR(EU一般データ保護規則)違反があったとして、パリに本社を置くアドテク大手のクリテオ(Criteo)に4000万ユーロ(約63億円)の罰金を科したことを明らかにしたのだ。
この決定は、5年の歳月を経て下されたものだ。そもそもはGDPRが施行されてから間もない2018年11月に、英国の非営利団体であるプライバシーインターナショナル(Privacy International)がCNILに苦情申し立てを行ったことにさかのぼる。その1カ月後、オーストリアのデジタル権利保護団体であるNOYB(None Of Your Business、「あなたには関係のないこと、大きなお世話」の意)からも同様の苦情申し立てがあり、2020年にCNILによる正式な捜査が始まった。
Advertisement
捜査開始当初、専門家たちはこれがアドテク業界にとっての線引きとなる可能性があると見ていた。GDPRについて根拠とすることができる判例法がほとんどない状況でどのような前例を参照するのか、当局がクリテオに対して高額な罰金を科すことになるのかを推測する声もあった。当局が提示した罰金は6000万ユーロ(約95億円)だったが、クリテオが減額を強く求め、最終的には2000万ユーロ(約32億円)分、減額されたかたちだ。
アドテク業界に対する警告
一部の観測筋は、カンヌライオンズ国際クリエイティビティ・フェスティバルが開催される週に自国のアドテク企業の花形を狙うのは、業界に対する強いメッセージだと話す。
エンデバー(Endeavor)のデジタルイネーブルメント担当リードプロダクトマネージャーを務めるエリック・ラミー氏は、「データ保護監督機関は単に米国の大手ビッグテックだけでなく、自国内に目を向けることも辞さない」と述べる。「共同管理者契約の全関係者が負うべき責任を明確にしないだけでも、かなりの法的責任が問われることが示された」。
今回の判決の中心にあるのは、クリテオのトラッキングを行うCookieと、広告のパーソナライズを行うためのデータ処理方法だ。CNILは判決の概要のなかで、クリテオでのユーザー同意確認の実施を示す証拠がないことなど、「いくつかの規則抵触」に気付いたとしている。CNILによると、クリテオはユーザーの氏名は入手していなかったものの、場合によっては個人を特定できるだけの量のデータが収集されていたという。
プライバシー研究者のルカシュ・オレイニク氏は、今回の判決について発信した一連のツイートで、「アドテクにとって、これは大きな影響力を持つ事例になるだろう」と書いている。「大勢が結末を熱心に見守っている。判決資料の詳細版を読んだが、これが欧州司法裁判所に行く可能性は否定できない」。
4つの違反
CNILは判決概要で、クリテオが「十分な透明性を提供していない」「アクセス権の尊重に欠ける」「利用者のコンテンツの取り下げ・データ削除要求の権利に応じていない」「データ管理者間の契約に関する基準を満たしていない」という4つの点で、GDPRに違反していると主張している。罰金額に関しては、クリテオがヨーロッパ全体で所有する3億7000万個の識別子と、同社の収益化モデルを考慮して決定したそうだ。
CNILによると、「同意取り下げや個人データの削除を要求する権利を行使した場合、クリテオのプロセスではパーソナライズされた広告が表示されなくなるだけで、その個人に割り当てられた識別子やその識別子に関連付けられた閲覧履歴は削除されない」という。
クリテオの主張
クリテオが6月22日に米国証券取引委員会に提出した本件関連の開示情報では、同社がすでに判決控訴を計画していることが明かされている。米DIGIDAYがクリテオにコメントを求めたところ、最高法務責任者のライアン・デイモン氏の公式回答が広報担当者からメールで届いた。
同氏いわく、今回の判決は過去に関するもので、現在の業務慣行を変更する義務は含まれないそうだ。デイモン氏は罰金の金額が「違反とされる内容に照らし合わせてあまりに大きく、同様の事案における一般的な市場慣行にもそぐわない」とも指摘している。
また、同氏は「CNILのGDPRの解釈や適用の多くが、欧州司法裁判所の判決に沿ったものではなく、さらにはCNIL自身の指針にも沿っていないと考える」とも語った。「当社ではCNILの主張する内容は個人に対するリスクや損害には一切関係しないものであると考えている。クリテオでは匿名化され、直接的には個人を特定できない機密性の低いデータのみを使用しており、利用者のプライバシーとデータの保護に全力を尽くしている」。
プライバシー問題が続々と取り締まり対象に
NOYBとプライバシーインターナショナルでは、22日の判決を喜んでいる。だが、一部には判決がこの件の技術的な側面に十分に対応していないことに落胆を示す専門家もいる。デジタル権利・規則を専門とするUCLAの准教授マイケル・ビール氏は今回の判決に関するTwitterのスレッドで、「CNILがあまりにも形式主義的で、業界の構造的な不条理を突いていない」と述べている(ビール氏は、クリテオが一般的によく利用される法律の抜け穴を利用できる可能性も指摘している)。
今回の判決は、ヨーロッパ全土でアドテク関連の取り締まり措置が数多く実施されるなかで下されたものだ。アイルランドなど、他国でもデータプライバシー関連の判決が見られる一方で、欧州委員会でも先日、テック大手のGoogleが自社システムに有利に働くように市場での力を乱用しているのではないかと、プライバシーの問題を超えた独占禁止法違反が新たに指摘された。
CNILも、ChatGPTに対するプライバシー違反の苦情の捜査を開始したと4月に報じられている。なお、CNILでは、ジェネレーティブAIを中心とした「AIに関する行動計画」も新たに発表している。
プライバシー専門弁護士のルイス・モンテズマ氏は、CNILの判決説明の全文に基づき、サードパーティデータに頼る企業は同意に関する契約をファーストパーティデータの提供事業者と結ぶべきであり、パブリッシャーのデータの監査を行う用意もできていなければならないと話す。また、「ある組織が、(モデルのトレーニング実施によって)広告パフォーマンスの向上に個人データを利用または再利用したい場合、その法的な根拠を明らかする必要がある」とも語っている。
Marty Swant(翻訳:SI Japan、編集:島田涼平)
