2023年1月11日、ベルギーのデータ保護機関(「Autorité de protection des données;以下、「APD」という)は、インタラクティブ広告局ヨーロッパ(以下、“IAB Europe”という)(注1)の「透明性と同意のフレームワーク(Transparency and Consent Framework:TCF)」に関する行動計画を承認したと発表した。
Townsend Feehan氏 (IAB EuropeのCEO)
この解説記事は主要ローファームで論じられている、しかし、一方で、その内容についてみると、はたして、1)GDPR違反に関し具体的にいかなる点が問題なのか、2)業界団体が厳しく罰せられる理由は如何、3)アドテク・ベンダー業界への影響は如何といった問題についての解説は皆無である。
今回のブログはAPDのリリース文の仮訳を中心に以上の疑問点を関係サイトやローファームの解説を適宜引用、仮訳する。
1.APDのIAB Europe によって開発された「「透明性と同意のフレームワーク (TCF)」 が GDPR の多くの条項に準拠していない点を問題提起
2019 年以降、ベルギーのAPD は Interactive Advertising Bureau Europe (IAB Europe) を対象とした一連の苦情を受けました。苦情は、いわゆる「透明性と同意のフレームワーク (TCF) 」と GDPR との適合性に異議を唱えるものであった。
IAB Europe によって開発された TCF は、OpenRTB (注2)プロトコルに依存するアドテク事業体の GDPR への準拠に貢献することを目的としている。
Open RTB プロトコルは、「リアルタイム入札(Real-Time Bidding)」(注3)で最も広く使用されているプロトコルの 1 つである。つまり、インターネット上で広告スペースを売買するためのユーザー プロファイルの即時自動オンライン オークションである。ユーザーが広告スペースを含む Web サイトまたはアプリケーションにアクセスすると、何千もの広告主を代表するテクノロジー企業が、アルゴリズムを使用した自動オークション システムを通じて、舞台裏でその広告スペースに即座に (「リアルタイムで」) 入札し、ターゲットを絞った広告を表示することができる。その個人のプロファイルに合わせて特別に調整されるといえる。
より、具体的にいう。ユーザーが初めて Web サイトまたはアプリケーションにアクセスすると、インターフェイス (同意管理プラットフォームまたはConsent Management platform or CMP)) がポップアップし、個人データの収集と共有に同意するか、アドテク・ベンダーの利益にかかる正当な情報に基づくさまざまな種類の処理に反対することができる。
ここで TCF の出番である。TCF は、CMP を介してユーザーの設定を簡単に取得できるようにする。これらの設定はコード化され、「TC 文字列」(注4)に保存される。この文字列は、OpenRTB システムに参加している事業体と共有されるため、ユーザーが何に同意/反対したかを知ることができる。CMP は、Cookie (euconsent-v2)もユーザーのデバイスに配信する。これらを組み合わせると、TC 文字列と euconsent-v2 Cookie をユーザーの IP アドレスにリンクできるため、ユーザーたる設定の作成者を識別できることになる。
(1)APDの主な調査結果 : TCF は個人データの処理を暗示しているという問題に関するIAB Europe の主張に反して、APDの訴訟部は、IAB Europe が、独自の透明性と同意 (TCF) 文字列を使用して、個々のユーザーの同意信号、異議、および設定の登録に関してデータ管理者として行動すなわち識別可能なユーザーにリンクしていることを発見した。これは、IAB Europe が GDPR 違反の可能性について責任を負う可能性があることを意味した。
次にAPD は、IAB Europe による以下の一連のGDPR 違反を特定した。
① GDPRからみたTCFの合法性:IAB Europe は、TC 文字列の処理の法的根拠を確立できなかった。また、TCF がアドテック ベンダーによるその後の処理に対して提示した法的根拠は不十分であった。
② ユーザーに提供する情報の透明性: CMP インターフェイスを介してユーザーに提供される情報は、特に TCF の複雑さを考えると、ユーザーが処理の性質と範囲を理解するにはあまりにも一般的で曖昧である。したがって、ユーザーが自分の個人データを管理し続けることは困難である。
③ 説明責任、セキュリティ、およびデータ保護にかかるバイ・デザイン/デフォルト: データ主体の権利の効果的な行使を確保し、監視することを含む、デザインおよびデフォルトによるデータ保護の原則に従った組織的および技術的対策がない場合、ユーザーの選択の有効性と完全性、TCF の GDPR への準拠が適切に保証または実証されていない。
④ 個人データを大規模に処理する管理者に関連するその他の義務違反: IAB Europe は、処理活動の記録を保持すること、DPO を任命すること、および「DPIA」(データ保護影響評価) を実施することを怠った。
(2)APDの制裁措置
これらの侵害を考慮して、APDの訴訟部は、特に TCF が大規模な市民グループによる個人情報の管理の喪失につながる可能性があるため、深刻な制裁を課すことを決定しました。したがって、訴訟部は IAB Europe に25万ユーロ(約3525万円)の行政罰金を科した。さらに、現在のバージョンの TCF を GDPR に準拠させることを目的とした一連の是正措置を講じるよう同社に命じた。
(3)これらの是正措置には、(とりわけ)次のものが含まれる。
A.APD の決定により、IAB Europe は次の措置を講じるよう命じられた。
① TC Strings に関連する個人データの管理者である限り、TC Strings を処理するための独自の法的根拠を確立する。
② IAB Europeが管理するサーバーからグローバル スコープの同意を含む TC 文字列を削除する (現在のバージョンの TCF は、グローバル スコープの同意をサポートしていない)。
B.TCF を次のように修正する。
① TC Strings の完全性を確保するために使用される技術的および組織的な対策を改善する。
② TCF 参加者が GDPR コンプライアンスを評価するための監査手順を実装する。
③ TCF の下で利用可能な法的根拠としての正当な利益を削除する。
④ 参加している同意管理プラットフォーム (CMP) によって提示されるユーザー インターフェイスの統一性を高めるための新しい基準を設定する。
⑤ 処理活動の記録の更新、データ保護影響評価の実施、データ保護責任者の任命など、GDPR が個人データの管理者に要求する手順を実行する。
⑥ 行政罰金を支払う。
C.その他の措置が命じられた。
①TCFのコンテキスト内でユーザーの設定を処理および配布するための有効な法的根拠の確立、および TCF に参加する組織による個人データの処理の根拠としての正当な利益の使用を禁止する。
②参加組織が GDPR の要件を満たしていることを確認するための厳格な審査を行う。
③APD により、IAB Europe は、これらの是正措置を実施するための行動計画を提示するために2か月の猶予が与えられる。
このAPD決定は不服を申し立てることができる。
APDの訴訟部長であるヒエルケ・ヒーマンス(Hielke Hijmans )氏は次のように述べた。
Hielke Hijmans )氏
「ユーザーはサイト上で同意するよう求められるが、ほとんどの人は、パーソナライズされた広告を表示するために自分のプロファイルが 1日に何度も販売されていることを知らない。リアルタイム入札システム全体ではなく、TCF に関するものであるが、今回の決定は、インターネット ユーザーの個人データの保護に大きな影響を与えるものである。ユーザーがデータの制御を取り戻すことができるように、TCF システムで秩序を回復する必要がある。」
以下、IAB(注5)の解説で補完する。
(4)APD によって命じられた是正措置の範囲はどのようなものか?
IAB Europeは APDの調査対象であり、APDによって特定されたGDPR コンプライアンスの問題は、TCFの管理組織としての IAB Europeの役割に焦点を当てている。したがって、APD の決定で発行された命令は、TCFの管理組織としての役割を果たしている IAB Europeに対象が限定される。
さらに、この決定は、TCF および TC Strings の管理における IAB Europe の役割に関する調査結果と、OpenRTB広告トランザクションを通じて発生する可能性のある個人データの他の処理とを明確に区別している。APDの訴訟部長である Hielke Hijmans 氏も、この決定はTCFに限定されるものであり、「リアルタイム入札システム全体ではない」と強調した。
GDPR に基づく個人データのすべての管理者は、個人データを処理するための独自の法的根拠を確立する責任があるが、APDの決定は、 IAB Europe 以外の事業体に関する特定の措置を命じるものではない。たとえば、この決定では、IAB Tech Lab は OpenRTB システムのプロバイダーとしてのみ機能し、OpenRTBを通じて処理される個人データのデータ管理者ではないと明示的に述べている。
(5)IAB ヨーロッパはこの決定にどのように対応したか?
IAB Europeは、2022年2月2日にAPD の調査結果を拒否する声明を発表し、ここからダウンロードできる「FAQ」ドキュメントを公開した。具体的には、IAB Europeは、TCF の管理の結果として、TC Strings の個人データの管理者であるという結論に同意しなかった。IAB Europeは、この判決に対して2022年2月11日、控訴する旨発表している。
2.APDのワン・ストップ・ショップへの取組み
APDが作成した決定草案は、GDPR のEU加盟国の協力メカニズム (「ワンストップ・ ショップ・ メカニズム」)(注6) の中で検討された。APDが新しい草案に取り入れた2つの異議と、深刻な精査の後、現在の決定は、欧州経済地域の30か国のほとんどを代表するすべての関係当局によって承認された。
3.APDによるEU加盟国の加盟国のカウンターパートとの協議
2021年11月25日、ベルギーのAPDは、IAB Europeの訴訟で決定草案をヨーロッパのカウンターパートに送信し、IAB Europeに対する訴訟の決定草案を最終決定した。欧州連合のカウンターパー保護機関はこれについて通知を受けており、ドラフトに関する潜在的なフィードバックを APDに提供するために4 週間が与えられていた。
4.IAB ヨーロッパの訴訟::市場裁判所は予備問題を EU 司法裁判所に付託
ベルギー市場裁判所(注7)は2022年9月7日、ベルギーのデータ保護機関 (BE DPA) の決定 21/2022に対して IAB Europe が提出した控訴において、予備的な質問を欧州連合司法裁判所に付託することを決定した。
***********************************************************
(注1) 広告業界団体の欧州インタラクティブ広告協議会(INTERACTIVE ADVERTISING BUREAU IAB Europe)をいう。
(注2) OpenRTB 仕様 v3.0(最終版 v1.0)の日本語訳で確認できる。
(注3)リアルタイム・ビッディング(Real Time Bidding)の略で、広告のリアルタイム取引を実現する仕組みのことを指します。広告を1回表示させるごと(インプレッションごと)にeCPMが算出され、買い手である広告会社のシステムに対してオークションが行われ、最高額の入札単価を提示した買い手の広告が表示される仕組みです。入札と落札が行われる速度は数ミリ秒と言われ、高度なロジックと大量のトランザクションを高速処理する技術が駆使されています。
下図は、Webページのアクセスから広告が表示されるまでの流れを簡単に図化したものです。
SSPはインプレッションの発生に応じて複数のDSPに入札を呼びかけます。DSPが入札を行い、SSPはその中から最も広告収益が大きくなる広告(図ではB)を表示します。
(Geolocation Technology. Inc.解説から抜粋)
(注4) コンセント・ストリングは、広告入札要求に付加される一連の数字で、「デイジービット(daisybit)」とも呼ばれます。アドテクベンダーへの同意の状況、つまり、パーソナライズド広告の配信にデータを利用する同意をユーザーからもらっているかどうかを確認するもので、欧州の「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)では、この同意が必要条件になっている。
インタラクティブ広告協議会(IAB)ヨーロッパは、同協議内のグローバルベンダーリストに登録しているすべてのベンダーにコンセントストリングを割り当てている。IABのトランスペアレンシー&コンセントフレームワーク(Transparency & Consent Framework:透明性と同意の枠組)に参加したいベンダーは、このリストに登録する必要がある。Googleも、同社の同意管理プラットフォーム(以下、CMP)であるファウンディングチョイス(Funding Choices)を利用する会社向けに、独自のコンセントストリングを設けている。
デジタル広告のエコシステムでは何千ものベンダーが稼働しているため、GDPRへの抵触と巨額の罰金のリスクを回避するには、パーソナライズド広告配信への同意の有無を把握することが非常に重要です。コンセントストリングは、GDPRに則った広告の購入を徹底し、利用できるデータとできないデータについてデジタル広告チェーン全体が考えを一致させるための地図のようなものです。(DIGIDAY「【一問一答】GDPRの「 コンセントストリング 」とは?:広告入札要求に付加される一連の数字」から引用)
(注5)Interactive Advertising Bureau(IAB) は、メディアおよびマーケティング業界がデジタル経済で成功できるよう支援している。そのメンバーは、デジタル広告マーケティング キャンペーンの販売、配信、最適化を担当する 700 を超える大手メディア企業、ブランド、代理店、テクノロジー企業で構成されている。この業界団体は、インタラクティブ広告に関する重要な研究を行うと同時に、デジタル マーケティングの重要性についてブランド、エージェンシー、および幅広いビジネス コミュニティを教育している。IAB Tech Labとの提携、IABは技術標準とソリューションを開発している。IAB は、専門能力の開発と、業界全体の労働力の知識、スキル、専門知識、および多様性の向上に取り組んでいる。ワシントン DC の公共政策局の活動を通じて、業界団体はメンバーを擁護し、インタラクティブ広告業界の価値を立法者や政策立案者に宣伝している。1996 年に設立された IAB は、ニューヨーク市に本社を置いている。(IAB のHPから抜粋、仮訳)
(注6) EUの個人情報の越境処理に対する EU の規制監督(ワンストップ・ショップ(OSS)制度):
GDPR 第60条(主監督機関とその他関係監督機関との間の協力)では、新たなコンセプトとして、データ管理者(Controller)とデータ処理者(Processor)が EEA 内の複数の国の個人データの処理を行う越境処理(Cross-border processing)の場合に、担当となる監督当局を 1 つの監督当局(主導監督当局(Lead supervisory authority))に集中させるという仕組みがある(ワンストップ・ショップ制度)。第60条の解釈guideline(Guidelines 02/2022 on the application of Article 60 GDPR Version 1.0 Adopted on 14 March 2022も併せ参照されたい。
OSS の下では、主任監督機関 (LSA) が決定草案の作成を担当し、関連する SA と協力して合意に達する。2020年6 月初旬までに、各LSA は 110 の最終的な OSS 決定を採用した。この登録簿には、決定へのアクセスと、EDPB 事務局が作成した英語の決定の要約が含まれている。この登録簿は、SA が実際に GDPR を施行するためにどのように連携するかを示す情報にアクセスできるようになるデータ保護担当者にとって価値がある。
フランスCNILの「OSSの主要な拠点」の解釈問題
わが国の解説例 から引用する。
グーグルはアイルランドに欧州統括拠点があり、アイルランドの監督当局が主導監督当局になり得るとも考えられたことから、CNILは、2018年6月1日、監督当局の協力に関するGDPRの規定に従って、グーグルに関して申し立てられた2つの苦情申立について対応する権限があるか否かを評価するためにアイルランドの監督当局を含む他の監督当局と協議を行った。
この点について、下記の指摘がなされ、グーグルは本件の調査が開始された時点においてアイルランドに「主要な拠点」を有しないと判断された。
①グーグルアイルランド社がグーグルのプライバシーポリシーで記載されておらず、グーグルの利用規約においてもAndroidオペレーティングシステムのサービスプロバイダーではない。
②グーグルアイルランド社ではデータ保護責任者が選任されていない。
③グーグルアイルランド社はCNILに苦情申立がなされた個人データの処理に関する意思決定権限を有しない。
このため、ワンストップショップメカニズムはグーグルに適用されず、アイルランドの監督当局ではなくCNILが本件に関する管轄権限を有するとの結論に至っている。
(注7) 経済、金融、市場法の分野で規制当局や行政当局が下した決定は、ブリュッセルの市場裁判所(控訴裁判所のバイリンガル・セクション)でEU基本権憲章第47条による「一例」の管轄控訴(完全な管轄権を有する市場裁判所)の対象となる可能性がある。
すなわち、ベルギーでは経済法典を改正する2017年2月20日の法律と、被拘禁者の法的地位と刑務所の監督を改正し、司法に関するさまざまな規定を定める2016年12月25日の法律によって修正された後、 第2条:「経済法典では、「ブリュッセル控訴裁判所」という言葉、「ブリュッセル控訴裁判所」および「控訴裁判所」は、以下の規定を除き、それぞれ「市場裁判所」という言葉に置き換えられる。
******************************************************
Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
