フランスのデータ保護当局は、昨年アドテク業界に致命的な打撃を与える可能性があると称賛されていたデジタルマーケティング企業Vectauryに対する調査を終了した。
発掘されたメールはGDPRをめぐる壮大な戦いの決定的な証拠となるかもしれない:Googleやアドテク大手は「欧州のプライバシー法に違反していることを知っている」
続きを読む
フランスの情報機関CNILは10月、ユーザーから同意を得る方法が欧州の一般データ保護規則に違反しているとして、ベクトゥリー社を相手取って警告を発していたが、CNILは本日、同社の方法が現在では基準を満たしていると発表し、訴訟を取り下げた。
このビジネスはデマンドサイドプラットフォーム(DSP)であり、デジタル広告購入者が複数の広告・データ交換アカウントを一元管理することを可能にします。SSP(サプライサイドプラットフォーム)やアドエクスチェンジを介して、ユーザーに表示される広告の入札を受け取ります。
これらすべてには、多数のパブリッシャー、広告取引所、第三者の間で大量の個人情報がリアルタイムで流れることが必要であり、リアルタイム入札として知られています。
Vectaury はモバイル広告に重点を置いているため、収集する情報には位置情報データ、モバイル広告 ID、ユーザーが使用しているアプリのバージョンなどが含まれており、これらをすべてまとめてユーザー プロファイルを作成します。
5月にGDPRが導入されて以来、こうしたデータ移転の合法性に関する疑問が高まり、その曖昧な実態が問われるようになりました。10月には、フランスの情報機関CNILがVectauryに対し、同社の同意管理プラットフォームについて警告を発しました。このプラットフォームは、広告取引プロセスにおけるユーザー対応の当事者が、チェーン内の他の企業による個人データ処理についてユーザーの同意を得ることを可能にするものです。
しかし、CNILは、VectauryがSDK経由でモバイルアプリから収集したデータや、アプリ内広告枠のリアルタイム入札で受信したデータを処理するための正当な法的根拠を証明できなかったと判断した。調査時点で、Vectauryは3万2000以上のアプリから6760万人のユーザーデータを収集していた。
当時、プライバシー活動家らは、この判決はデータ管理者がパートナーに代理で同意を得ることに頼ることができず、システム全体で同意を監査できるようにする必要があることの証拠だとみなした。
これは、インタラクティブ広告協会が同意問題の解決策として宣伝しているフレームワークに大きな影響を与え、Vectaury はそれを基に独自の同意管理プラットフォームを構築しました。
しかし、衝撃的な事実があります。@IABEurope フレームワークを通じた同意は、本質的に無効です。技術的な詳細の問題でも、修正可能な実装上の問題でもありません。
— ロビン・ベルジョン (@robinberjon) 2018年11月16日
契約関係を通じて別の管理者に同意を渡すことはできません。BOOM pic.twitter.com/xMlNHJTKwl
これに対しIABヨーロッパは、CNILがGDPRに違反していると主張した多くの点において、VectauryもGDPR透明性および同意フレームワークの使用ポリシーに違反していると反論した。
「同社がこれらの方針を順守していれば、法律上の義務をより適切に果たせただけでなく、CNILが提起した最も深刻な懸念事項のいくつかにも対処できたはずだ」とタウンゼント・フィーハンCEOは述べた。
しかし、CNILは、Vectauryのパートナーが公開したモバイルアプリが、いわばすべての条件を満たすバナーを表示するように改変されているとして、捜査を取り下げた。
同社がアプリのインストール時、そしてデータが吸い上げられる前に作成したバナーでは、自由意志による、特定の、十分な情報に基づく、積極的な同意が許可されている。
ユーザーには、データ収集の目的(ターゲットを絞った地理位置情報に基づく広告)、管理者の身元(リンク経由の地理位置情報に基づくパートナー)、および収集されるデータ(広告 ID および地理位置情報データ)が通知されます。
また、同意はいつでも撤回できると伝えられており、ターゲット広告のために位置情報データを処理することを拒否すれば、引き続きアプリを使用できるという。
CNILは、広告オークションで得られたデータについては、Vectauryが「完全に新しい」と表現した、同意の追跡可能性を保証するソリューションを通じて、この情報が有効に収集されていると現在考えていると述べた。
同社はこの決定を「喜ばしく思う」とし、「好ましい結果はデジタル広告市場の基準を設定する」と述べた。
当然のことながら、プライバシー擁護派は失望している。ブラウザ企業Braveの最高政策責任者、ジョニー・ライアン氏は、別のGDPR訴訟で広告のリアルタイム入札システムをめぐってIABに異議を唱えているが、当初の決定には失望したと述べた。
「CNILは、RTB入札リクエストから6,760万人のデータを違法に取得したことをVectauryに伝えるだけで終わるのではなく、『誰がこれらのデータを違法に送信したのか』と尋ねるだけで済んだはずです。この更なる措置は不可欠でした。しかし、CNILはそれを実行しませんでした」と、彼はThe Register紙に語った。
CNILがこの問いに取り組むまでは、あらゆるVectauryを注意深く監視する必要があるでしょう。しかし、それは現実的ではありません。なぜなら、数百、あるいは数千社あるからです。CNILの調査対象となった当時、Vectauryは売上高わずか350万ユーロの小さな企業に過ぎませんでした。
一方、Twitter ユーザーは、Vectaury SDK を使用するアプリの通知と許可が CNIL によって準拠しているとみなされたものかどうかについて推測するしかありませんでした。
@meteofrance スキーアプリで見つけたものはこちらです。デフォルトではアクセスボタンしか表示されておらず、詳細設定へのリンクに到達するには下にスクロールする必要があります。pic.twitter.com/rSEVHSVkLA
— マシュー・クンシュ(@Cunchem)2019年2月26日
そしてもちろん、ライアン氏と彼の仲間の原告たちは、IAB のデータ慣行を抑制しようとする努力を継続しており、出版社や取引所に渡されるデータに提供される保護に異議を唱え、そのデータを処理する法的根拠は何かという問題が、英国、アイルランド、ポーランドの機関によってより広範囲に検討されている。®
