広告取引をめぐって提出された一般データ保護規則(GDPR)に基づく苦情をめぐり、プライバシー擁護団体とインタラクティブ広告協議会(IAB)の間で、自動車のアナロジーをめぐる論争が勃発した。
訴状は、インターネット利用者から集められ、リアルタイム入札(RTB)システムを通じて処理された情報は「極めて個人的な情報」であり、広告主に送信される際に不適切に保護されていると主張している。
3つのデータ保護機関に提出された訴状で名前が挙がっている2つのシステムは、インタラクティブ広告協会(IAB)のopenRTBとGoogleの認定バイヤーである。
しかしIABは、この苦情はIABヨーロッパに対して「根本的に誤った方向へ向けられている」と反論し、スピード違反や違法駐車の責任を道路建設者に負わせるようなものだと例えた。
また同社は、この異議申し立ては欧州のデータ保護法違反を立証できておらず、むしろ同社のシステムを利用して同法を破ることが可能であるとしか認定していないと主張した。
その後まもなく、苦情を申し立てたOpen Rights Group、プライバシー研究者のMichael Veale氏、Braveブラウザの責任者Johnny Ryan氏、ポーランドの団体Panoptykon FoundationのKatarzyna Szymielewicz氏が独自の反論を発表した。
彼らは、IAB はデータ管理者として分類されることを回避しようとしているが、自らが定義し推進するシステムに対しては責任があると主張した。
「IAB自身の比喩を使うと、IABが私道の交通規則を定める権限を持っていることは明らかだ」と同団体は述べた。
IABは声明の中で、この苦情の2つの側面に異議を唱えた。1つ目は、IABが異議申し立てを受けるべきではないという点だ。
RTBシステム向けに策定された技術基準は、オンライン広告のプロセスを「促進」することのみを目的としているというのが同社の主張だ。透明性と同意の枠組みは、企業が法的要件を満たすのを支援することを目的としているが、遵守の責任は「個々の企業にある」としている。
「自動車が制限速度を超えて運転されるか、制限速度以下で運転されるのと同じように、技術基準は法律に違反するために悪用される可能性もあれば、法律に準拠した方法で使用される可能性もある」と報告書は述べている。
「悪用される可能性があるという単なる事実は、それが実際に起こっていることの証拠として合理的に用いることはできません。そして、透明性と同意の枠組みの目的は、悪用されないよう徹底することです。」
英国、アイルランド、ポーランドへの不満:広告テクノロジー業界は、私たちの健康、政治、宗教に関する機密情報を吸い込み、「漏洩」している
続きを読む
しかし、苦情申立人は、IABが「データ管理者の定義について過度に制限的な解釈」をしており、自らのシステムに対する「説明責任を回避することはできない」と反論した。
「IABは責任ある管理者です。IABはOpenRTBシステムの構造を定めています。IABとGoogleの構造はどちらも、データ主体の権利を適切に考慮して改善できるはずですし、改善されるべきです。構造がこのように改善されるかどうかは、IABとGoogleの管理下にあるのです」と同団体は述べた。
ライアン氏は今週初め、エル・レグ紙に対し、企業が入札リクエストからユーザー固有のID、緯度と経度、郵便番号などの個人データを削除すれば、広告オークションは安全に運営できると語った。
現時点では、IAB はそのような情報を含めることを「強く推奨」しており、苦情申立人らは、そのシステムによって 1 日に何十億回も放送される個人データがどうなるかについて、IAB がいかなる制御も行えないことを認識した上でそうしている、と述べている。
IAB が苦情に関して抱えている 2 つ目の問題は、今週初めに提出された新たな証拠に関係しており、これは人々がまとめられているカテゴリーのリストに関係しています。
報告書によると、これらのデータの一部は健康状態、宗教、性的嗜好に関するものであり、より強力な保護を必要とする特別なカテゴリーのデータだという。
しかしIABは、これは個々の企業が特別カテゴリーデータとして適格となるデータの分類法を実際に使用していることを示すものではないと述べた。
「また、こうした分類法を利用している企業が、適用されるEUのデータ保護法やその他の法律を遵守せずに利用していることを証明したり、実証したりしているとはみなされない」とIABヨーロッパは述べた。
「こうした苦情は、道路を運転する個々のドライバーが犯すスピード違反や違法駐車などの交通違反に対して、道路建設業者に責任を負わせようとする試みに似ている。
「EUデータ保護法に違反しているという苦情申立人の主張は、自動車が技術的には制限速度を超えたり、制限区域に駐車したりできると指摘し、この事実を実際にそれが可能であることの『証拠』として提示するのと同等である。」
しかし原告らは、データはIABのシステムを通じて「1日に数十億回放送」されており、「傍観者であると主張することはできない」と主張した。
「制度を定義し推進することで、EUはデータの処理方法の目的と手段を決定する役割を果たします」と彼らは述べた。「これらの規則が法律に抵触する場合、EUは責任を負うことになります。」
最終的には、英国、アイルランド、ポーランドの 3 つのデータ保護機関が課題を検討した上で決定を下すことになります。®
