プライバシー活動家のマックス・シュレムス氏が戻ってきた。今回は、一部広告主向けにiPhoneに保存されているCookieによるプライバシー侵害でAppleを訴えた。
同氏のデジタル権利団体Noybはドイツとスペインでこのテック大手をターゲットにし、iPhoneのセットアップ時に自動的に生成されるクパチーノの「広告主識別子(IDFA)」追跡IDによって、アップルやアプリメーカー、広告ネットワークが個々のユーザーの活動を追跡し、そのデータを使ってユーザーの興味に合わせた広告を表示できると主張している。
Noyb 自身の苦情の要点は、次のとおりです。
シュレムズ氏はハイテク大手企業を相手に勝利してきた実績があり、最も有名なのはフェイスブックのデータポリシーに焦点を当て、欧州連合と米国間の大西洋横断データ共有協定「プライバシーシールド」を一度ならず二度も崩壊に追い込んだことだ。
この特定のケースにおいて、Noyb氏はAppleのIDFAは事実上Cookieのように機能するため、欧州法ではユーザーの同意が必要であると主張している。しかし、この巨大テクノロジー企業はIDコードを秘密裏に作成している。そのため、Noyb氏はAppleがEUの2002年eプライバシー指令(通称「Cookie法」)およびその第5条(3)に違反していると考えている。同指令は、「データの保存にはユーザーからの十分な情報に基づく明確な同意が必要である」としている。
訴状[PDF]には、「IDFAは実際には『デジタルナンバープレート』のようなものだ。ユーザーのあらゆる行動は『ナンバープレート』にリンクされ、ユーザーに関する詳細なプロファイルを作成するために利用される。こうしたプロファイルは、パーソナライズされた広告、アプリ内購入、プロモーションなどのターゲティングに活用される。従来のインターネット追跡IDと比較すると、IDFAはブラウザCookie内の追跡IDではなく、単に『携帯電話内の追跡ID』と言える」と記されている。
Appleは近年、プライバシーへの取り組みを積極的に展開しており、FacebookやGoogleとは異なり、広告主にアクセス権を販売するためにユーザー情報を可能な限り収集しようとしているわけではないと繰り返し強調している。しかし、Noyb氏によると、AppleはIDFAを用いて複数のアプリケーションでユーザーを追跡し、さらにはIDをオンラインおよびモバイルでの行動と関連付けることで、事実上まさにそれを行っているという。
データ侵害
「EU法は、当社のデバイスを外部からのトラッキングから保護しています。トラッキングは、ユーザーが明示的に同意した場合にのみ許可されます。この非常にシンプルなルールは、使用されるトラッキング技術に関係なく適用されます」と、Noybのプライバシー弁護士であるステファノ・ロセッティ氏は述べています。「AppleはブラウザにCookieをブロックする機能を導入しましたが、ユーザーの同意なしに同様のコードをスマートフォンに搭載しています。これは明らかにEUのプライバシー法に違反しています。」
この苦情には、2月にNoybとAppleの間で行われたやり取りが記載されており、プライバシー保護団体がIDFAに関する情報を求めたのに対し、AppleはIDFAはランダムに生成され、Apple独自のIDシステムであるApple IDとは関連付けられていないため、インストールにユーザーの同意は必要ないと主張した。
しかし、ノイブ氏はこの解釈に異議を唱え、IDFAは複数のアプリやFacebookと共有され、個人情報と結びつくことになると指摘した。「この擬似匿名識別子は、まさに私個人と結び付けられる可能性があるため、GDPRの下では個人データに該当すると考えています」と、ノイブ氏はこの訴訟の原告(氏名は伏せられています)の発言を引用した。
Apple:iOS 14の画期的なプライバシー機能については、来年まで期待しないでください。
続きを読む
Apple社はこれに対し、「第三者がこのような問題をどう扱うかについてはコメントする立場にない」と述べ、その後はいつものルールに従い、沈黙を守り、その後のいかなる連絡にも応答しなかった。
4か月後の6月、AppleはIDFAへのサードパーティによるアクセスを禁止すると発表した。この発表はオンライン広告業界に衝撃を与え、Facebookは公に不満を表明した。1週間後、AppleはIDFAシステムを利用するデバイスにユーザーの許可を求める変更を延期すると発表した。
「事実上不正確」
アップルは月曜日にこの苦情に対して簡潔に回答し、「主張は事実に反しており、プライバシー規制当局が苦情を調査する場合にはその点を明確にしたい」と述べた。
しかし、Appleが懸念するのももっともだ。Noybは、このコードはGDPRではなく、eプライバシー指令に違反していると主張しているため、欧州各国政府はiPhoneメーカーが法律に違反していると判断した場合、直接罰金を科すことができる。
Noybは訴状の中で、Appleが8月に強調した変更を実施したとしても、それは依然として不十分だと主張している。「これらの変更は、第三者によるIDFAの利用を制限するように見える(Apple自身による利用は制限されない)」とNoybは述べている。「しかし、IDFAの初期保管とAppleによる利用は依然としてユーザーの同意なしに行われるため、EU法に違反する」。Noybは、IDFAは制限されるべきではなく、永久に削除されるべきだと主張している。
広告業界もこの訴えがもたらす脅威を認識しており、人々には追跡を拒否する選択肢を与えるべきであり、そのようなコードは削除すべきではないと主張し始めている。
アドテク企業TrafficGuardの最高執行責任者(COO)であるルーク・テイラー氏は、次のように指摘しています。「広告業界として、エンドユーザーに対して、なぜトラッキングを行うのか、そしてそれがなぜ有益なのかを十分に説明できていませんでした。こうした仕組みを理解している消費者はほとんどおらず、理解が不足しているため、単に「ノー」と言ってブロックしてしまうことが容易になってしまいます。しかし、重要なのは、オプトアウトできる選択肢がエンドユーザーに提供されるべきだということです。」
「多くの人は『広告主』を巨大な企業、デジタル広告を邪悪な闇の芸術と考えます。しかし、それはエコシステムであり、あらゆる規模の企業が消費者にリーチするためにオンライン広告に依存しています。」®
