プライバシー擁護団体は、リアルタイムのウェブ広告交換システムが欧州のデータ保護法を踏みにじっているとして、同システムとの継続的な戦いで新たな証拠を提出した。
本日、英国、アイルランド、ポーランドの規制当局に提出された新たな報告書は、Googleと業界団体のインタラクティブ広告協議会(IAB)が、自社の広告ネットワークがEUのプライバシー保護に関するGDPRに違反していることを十分に認識しているにもかかわらず、何の対策も講じていないと主張している。IAB、IAB加盟団体であるGoogle、そして広告業界関係者は、自分たちは何も悪いことをしていないと主張している。
新たな申し立ては、英国情報コミッショナー事務局(ICO)がプログラマティック広告の調査計画を発表した直後に提出された。プログラマティック広告とは、ユーザーがウェブページを訪問した際に、収集された個人情報に基づいてユーザーの興味関心に最も関連性の高い広告が選択され、その場で配信される広告のことである。
通常、広告主は訪問者のタイプに応じて、ウェブページ上のスペースをリアルタイムで入札します。つまり、ウェブサイトからページが取得され、広告ネットワーク コードが取り込まれ、それによって広告主間でオークションがトリガーされます。オークションはほんの一瞬で完了し、落札した広告が配信されて表示されます (広告がブロックされていない場合)。リアルタイム ビディング (RTB) と呼ばれるこのトランザクションは、広告が必要になったときに自動的に即時に実行されますが、かなり複雑になることがあります。広告スロットは、ブラウザーに表示される前に、さまざまなパブリッシャーやエクスチェンジを経由する場合があります。
例えば、裕福で可処分所得が多いことで知られるネットユーザーや、多額の支出予算を持つITバイヤーは、広告経由で何かを購入する可能性が低い人々よりも高い広告料金を要求します。だからこそ、Googleのような広告ネットワークやアドエクスチェンジは、あなたに関するあらゆる情報、つまり貴重な個人データをすべて知りたがるのです。そうすることで、広告主に対してあなたを売り込み、あなたが以前興味を示した商品やサービスにターゲティング広告を表示できるのです。
ICOの調査は、この種のオンライン広告で個人情報がどのように使用されるかについて人々がどの程度知っているか、広告技術企業がその個人データを処理するためにどのような法律に依拠しているか、そしてユーザーのデータがこれらのプラットフォームで共有される際に安全であるかどうかに焦点を当てる。
一方、今回の最新の申し立ては、先月末と2018年に同じオンライン権利活動家らが申し立てた苦情に続くものだ。
アドテク業界:GDPRへの苦情は道路建設業者に交通違反の責任を問うようなものだ
続きを読む
プライバシー擁護派は、前述のオークションシステムは欧州一般データ保護規則(GDPR)に抵触すると主張している。なぜなら、ネットユーザーはサイトやサービス間でやり取りされる膨大な量の広告関連データを実質的に、あるいはほとんど制御できないからだ。さらに、これらの情報は非常に個人的な情報である可能性があり、匿名IDに加え、位置情報や個人の興味関心、閲覧しているサイトなどが含まれる場合もある。
IABのopenRTBとGoogleの認定バイヤーシステムに責任があるとする苦情は、英国ではOpen Rights Groupのエグゼクティブディレクター、ジム・キロック氏とプライバシー調査のマイケル・ヴィール氏、アイルランドではブラウザ企業Braveのジョニー・ライアン氏、ポーランドではパノプティコン財団によって監視団体に提出された。
IABは、苦情は自らのようなRTB技術メーカーに向けられるべきではないと一貫して強調してきた。そうすることは、速度制限を破った人々に対して道路建設業者に責任を負わせるようなものだからだ。言い換えれば、この技術は悪用される可能性があるが、開発者はそうではないようだ。そして業界団体は、苦情申立人たちは法律違反が可能であることを証明しただけで、実際に違反したことを証明したわけではないと主張した。
そのため、プライバシー擁護派は自らの主張にさらなる説得力を持たせようと、本日、前述の3カ国の規制当局に新たな文書を提出した。この文書には、RTBシステムを介してやり取りされるデータの例や、広告取引所が毎日行う入札リクエスト数(AppNexusでは1,310億件、Oath/AOLでは900億件)が含まれている。
プログラムによる取引、それとも問題のある取引ですか?
原告らはまた、RTBシステムとそのGDPR遵守に潜在的な問題があることをIABが以前から認識していたことを証明すると主張する文書も提出している。
最新のキャッシュの中には、情報公開法に基づいて入手された、2017年にIABヨーロッパのCEOであるタウンゼント・フィーハンから欧州委員会通信ネットワーク・コンテンツ・技術総局の上級職員に送られた電子メールがある。
この電子メールには、GDPRと同時に施行される予定だったが交渉が行き詰まっている新たなeプライバシー規制案に反対し、フィーハン氏が委員会の職員にロビー活動を行っていたことが記載されており、同規制は「オンライン広告モデルの終焉を意味する可能性がある」と述べている。
プログラマティック取引は、少なくとも一見すると、GDPRに基づく同意とは相容れないように思われる。
幹部はメールに18ページにわたるIAB Europeの論拠を詳述した文書を添付し、個人情報の利用に関する規則をGDPRと同レベルに強化する提案、特に情報共有における本人の同意要件の影響について論じた。重要なのは、GDPRにおける同意には、個人が自分の機密情報をどのように扱っているかを明確に知らされることが求められる点だ。つまり、ウェブサイト訪問者には、自分のデータを処理するデータ管理者の身元と処理目的を知らされなければならないということだ。広告入札の瞬時かつ複雑な性質を考えると、リアルタイムオークションの前にネットユーザーに通知することは不可能に思える、と同氏は主張している。
本質的に、これが GDPR と今日のオンザフライ Web 広告との間の問題点であるように思われます。
「リアルタイム入札(RTB)に関係するすべてのデータ管理者についてユーザーが事前に情報を得ることは技術的に不可能であるため、デジタル広告費が最も急速に成長している分野であるプログラマティック取引は、少なくとも一見すると、GDPRに基づく同意とは両立しないと思われる」とIABは述べた。
ブレイブのジョニー・ライアン氏は、これは活動家たちの苦情の核心にある問題を認めたものであり、IABはアドテクの運用モデルがGDPRに適合するとは考えていないことを示唆していると述べた。
IABはその後、RTBシステムに関与する企業が法的要件を満たすのを支援するために「同意と透明性の枠組み」を立ち上げたが、反対派はこれで問題の核心にある事実が変わるわけではないと主張している。
同様に、デジタルパブリッシャー、マーケター、メディア、アドテク企業向けの標準規格、ソフトウェア、サービスを開発する団体であるIABテックラボが2018年5月に作成した文書でも、GDPRコンプライアンスに関する懸念が認められています。この文書の中で、ラボはパブリッシャーが「広告配信の決定/入札/配信後にベンダーがデータを受け取った後、データの使用方法を制限する技術的な方法は存在せず、許可された使用方法の制限を監査可能な方法で明確に伝える方法が必要である」と懸念していると述べています。
また、「データ利用に関する広範な権利を持つ数千ものベンダーを、それらの権利を個別に調整することなく表面化させることは、ベンダー/許可が多すぎる可能性がある」とも述べています。また、IABは2017年の文書の別の箇所で、アドテク業界のサードパーティは「エンドユーザーとのつながりがないため、同意を得ることができない」と述べています。
あなたの根拠はすべて...に属していますか?
プライバシー擁護団体は、業界自身からこのような疑問符が提示されることで、自らの主張を後押ししてくれることを期待している。こうした懸念は、ICOの技術政策責任者であるサイモン・マクドゥーガル氏が今月初めに投稿した、ICOによるアドテク調査計画の概要を示すブログ記事でも強調されている。
「アドテックエコシステムで活動する様々な組織が現在依拠している個人データ処理の法的根拠は、明らかに一貫性がないようです」と彼は述べた。「個人データ処理の様々な根拠の適切性については、複数の考え方があるようです。なぜこのような違いが存在するのかを理解したいのです。」
同氏はさらに、ICOは、オンライン広告で個人データがどのように使用されるかについて人々にどのような情報がどのように伝えられているか、また、こうした開示がどの程度正確であるかに関心があると付け加えた。
ICO調査の3つ目の柱は、オークション中に広範かつ迅速に共有されるデータのセキュリティを検討することです。「組織がどのようにしてデータの転送が安全であると確信し、保証を提供できるかに関心があります」とマクドゥーガル氏は述べています。
ICOは、作業が事実調査の段階にあり、アドテックに関するあらゆる「相反する意見」に耳を傾けたいと強調した。
一方、IABヨーロッパとGoogleに対する訴訟の原告側は、必ずしもオンライン広告の廃止を求めているわけではないと述べている。むしろ、アドテク企業が現在行っているような極めて個人情報を共有することなく事業を展開することを望んでいるのだ。例えばライアン氏は、IABのRTBシステムでは、入札リクエストに595種類のデータを含めることができると述べている。そのうちのわずか4%の使用を廃止するだけで、「容易で、長らく待たれていた解決策」となるだろう。®
