プライバシー重視のブラウザメーカー、ブレイブは、グーグルなどの広告会社による保護されたデータのオンライン共有の停止を求めて、英国とアイルランドのデータ保護当局に苦情を申し立てた。
苦情は、グーグルが「パーソナライズ広告」と婉曲的に表現するオンライン行動ターゲティング広告が、インターネットユーザーから不必要な情報を収集し、正当な理由なく第三者企業に送信しており、英国のデータ保護法(DPA)と欧州の一般データ保護規則(GDPR)に違反していると主張している。
ブレイブは、英国を拠点とするオープン・ライツ・グループ、ユニバーシティ・カレッジ・ロンドンの技術政策研究者マイケル・ヴィール氏とともに、英国とアイルランドのデータ管理者に対し、オンライン広告業界、特にグーグルのデータプライバシー法の遵守状況を調査し、適切な措置を講じるよう要請した。
「行動ターゲティング広告業界の中核で、大規模かつ組織的なデータ侵害が発生しています」と、ブレイブの最高政策・業界関係責任者であるジョニー・ライアン氏はTwitterで述べた。「これは変えなければなりません。」
もしそうなれば、Google や他の多くの広告テクノロジー企業は、広告業界を活性化させ、それぞれの収益源を増大させている個人データが枯渇することになるだろう。
データ当局向けの入門書として作成された行動ターゲティング広告に関するレポートの中で、ライアン氏は、ウェブサイト訪問者に行動ターゲティング広告が表示される際には、リアルタイム入札(RTB)システムが広告とターゲットとなるインターネットユーザーをマッチングさせる役割を担っていると説明しています。RTBシステムは、数百、数千もの企業に個人情報を配信することで、そのユーザーにリーチしたいと考える広告主から入札を募ります。
ライアンは、2 つの主要な RTB システムについて説明します。1 つは Admeld、DataXu、MediaMath、PubMatic、The Rubicon Project、Turn などの広告技術企業のコンソーシアムによって運営されている OpenRTB で、もう 1 つは最近まで DoubleClick Ad Exchange と呼ばれていた Google のシステムである Authorized Buyers です。
ライアン氏によると、これらの広告入札システムは、オンラインで視聴または読まれているもの、ターゲットの所在地、IP アドレス、デバイスの特徴、固有の追跡識別子、収入層、年齢、性別、習慣、民族性などのセグメント化データなど、入手可能な範囲でターゲットに関するデータ ポイントを提供します。
適切な通知、同意、安全措置なしにこの情報が取り扱われる方法は、データ規則に違反していると苦情は主張している。
GDPRが施行される
ライアン氏はThe Registerへのメールで、リアルタイム入札リクエストのための個人情報の公開は、欧州のデータ保護規則の下では既に違法であると述べた。しかし、GDPRの施行により、規制当局は行動を起こし、罰則を科す権限を得た。
「GDPRは新たな欧州データ保護委員会(European Data Protection Board)を設立し、第62条に基づき、規制当局が協力してEU全域におけるデータの不正利用を調査することを認めています」と彼は述べた。「この新たな共同監督調査は、私たちの苦情がきっかけとなることを目指しているものの一つです。」
グーグル、位置情報の「ストーキング」でEUで巨額罰金の危機
続きを読む
請願者の目標は、悪意のある広告を終わらせることに他なりません。
「欧州のデータ保護規制当局には、行動ターゲティング広告やプログラマティック広告のテクノロジー業界全体を調査し、この業界における大規模なデータ漏洩を阻止してほしい」とライアン氏は述べた。「業界全体で、広告テクノロジー企業が互いに送信し合う『入札リクエスト』に個人データを一切含めないことに合意することで、この問題を解決できる。規制当局には、この合意を実現させ、漏洩を阻止してほしい。広告は人々が読んでいるコンテンツの文脈に関連性を持たせることはできるが、人々のデータを漏洩させる必要はないのだ。」
苦情についてどう思うかとの質問に対し、グーグルはデータ保護規則に従うつもりだと答えたが、現在従っているかどうかは明らかにしなかった。
「当社は、初期段階からすべての製品にプライバシーとセキュリティを組み込み、EU一般データ保護規則(GDPR)の遵守に尽力しています」と、同社の広報担当者はThe Registerへのメールで述べています。「パーソナライズ広告を含む、EUで提供するすべてのサービスにおいて、ユーザーに有益なデータの透明性と管理を提供しています。」®
