プライバシー圧力団体Noybはオーストリア国民を代表してGoogleに対して訴訟を起こし、すべてのAndroidデバイス上のAndroid広告IDはEUのGDPRの定義による「個人データ」であり、このデータは違法に処理されていると主張している。
オーストリア・ウィーンに拠点を置くNoybは、弁護士でありプライバシー擁護者でもあるマックス・シュレムス氏によって設立された非営利団体で、「商業プライバシーおよびデータ保護違反」に焦点を当てています。同事務所は、「事務所の中核的な任務は、執行プロジェクトに取り組むことと、戦略的な訴訟に必要な調査を行うことです」と述べています。
オーストリア・データ保護局に提出されたGoogleに対する苦情は、GoogleのAndroidオペレーティングシステムがGDPRの要件であるユーザーの選択なしに広告IDを生成しているという主張に基づいています。「要するに、新しいAndroidスマートフォンを購入しても、追跡IDを追加すると追跡デバイスが送られてくるようなものです」と、Noybの弁護士ステファノ・ロセッティ氏は述べています。
Googleによると、「広告IDは、Google Playサービスによって提供される、ユーザーがリセット可能な固有の広告IDです。これにより、ユーザーはより詳細な管理が可能になり、開発者はアプリの収益化を継続するためのシンプルで標準的なシステムを手に入れることができます。ユーザーはIDをリセットしたり、Google Playアプリ内のパーソナライズ広告(旧称「インタレストベース広告」)をオプトアウトしたりできます。」オプトアウトはGoogleの設定で行えますが、オプトアウトしても広告IDは削除されません。
オプトアウトの有効性は、アプリ開発者の判断に一部依存しているようだ。Googleのドキュメントには、「IDにアクセスするたびに、『興味関心に基づく広告のオプトアウト』または『広告のパーソナライズのオプトアウト』の設定状況を確認する必要があります」と記載されている。
IDをリセットするオプションもありますが、リセットすると新しいIDが発行されるため、繰り返し実行した場合にのみ長期的な効果が得られます。「新しい契約に署名することを条件に、契約を解除するようなものです」とロセッティ氏は述べました。
AndroidモバイルのGoogle広告IDの設定
苦情はこちら[PDF]で閲覧でき、プライバシー、選択、追跡に関する重要な疑問が提起されています。苦情申立人(氏名は伏せられています)は、Googleの連絡フォームに記入し、広告IDの使用への同意(既に同意を得ていた場合、異議あり)を撤回し、その処理に異議を申し立てたと述べています。GDPR第7条は、「データ主体はいつでも同意を撤回する権利を有する」と規定しています。第21条は、「マーケティングおよびプロファイリングのための自己に関する個人データの処理にいつでも異議を申し立てる権利」を規定しており、これを受けて法律は「個人データは今後、そのような目的で処理されない」と定めています。
訴状によると、広告IDのオプトイン「同意ボタン」がないとのことです。ユーザーはGoogleの一般的なプライバシーポリシーに同意する必要があるものの、訴状によれば、この同意は「情報提供に基づくものではなく、具体的でもなく(データ主体は1回のステップですべてのGoogleサービスに同意する必要がある)、自由でもありません(ユーザーは同意なしに800ユーロのスマートフォンを使用することはできません)」。
Google はこの要請に対し、「アカウントを保有していない場合は、Google は広告 ID からデータ主体の身元を確認する手段がないため、メールの内容に基づいて具体的な措置を講じることはできません」と述べ、「広告 ID をリセットすることで、広告 ID に関連する個人データの処理を直ちに停止できます」と回答した。
しかし、GDPR第12条では、「管理者は、データ主体を特定できないことを証明しない限り、行為を拒否してはならない」と規定されています。申立書では、「申立人の特定が不可能であった理由について、技術的または論理的な論拠が提示されていない」と主張しています。
苦情によると、Apple は iOS に同様の広告 ID を持っているが、これは「ターゲット広告の配信を防ぐため、すべてゼロの非一意の値に置き換えられる」可能性があると説明している。
訴状は、Googleに対し、「広告IDを永久に削除する」こと、収集されたデータへのアクセスを提供すること、そしてさまざまなGDPR違反に基づいて罰金を科すことを命じるよう求めている。
Noyb氏によると、この苦情はノルウェー消費者評議会による「Out of control(制御不能)」と呼ばれる調査結果に一部基づいているという。この報告書は、「私たちが携帯電話を使用するたびに、消費者にはほとんど知られていない多数の謎の組織が、私たちの興味、習慣、行動に関する個人データを受け取っている」ことを実証できると主張している。
英国の情報コミッショナー事務局は、「業界で見てきた特別なカテゴリーのデータの処理の合法性、およびその処理に対する明確な同意の欠如について重大な懸念を抱いている」と述べた。
しかし、監視機関は最近、COVID-19の影響により「リアルタイム入札とアドテク業界に関する調査を一時停止する」と発表しました。「アドテクに関する懸念は依然として残っており、適切な時期が来たら今後数ヶ月以内に調査を再開することを目指している」と述べていましたが、この発表はプライバシー擁護派から不評でした。®
