「プライバシー同意」表示がプライバシー法違反、制裁金3,000万円のわけとは?
「プライバシー同意」のポップアップが、法律違反に当たるので25万ユーロ(約3,300万円)支払え――そのわけとは?
ベルギーのデータ保護機関(BE DPA)は2月2日、ネット広告の技術標準などを手がける米業界団体の欧州部門「IABヨーロッパ」に対し、欧州連合(EU)のプライバシー保護法制「一般データ保護規則(GDPR)」に違反していたとして、制裁金25万ユーロと、収集データの削除を命じた。
問題となったのは、「IABヨーロッパ」が策定したネット広告の自動取引のための「プライバシー同意」取得の仕様だ。
この仕様は、GDPRなどのEUのプライバシー保護法制に準拠する、とうたっていたが、ユーザーへの説明や個人データの保護措置が「不十分」と認定された。
EUでは、ターゲティング広告規制などを含む「デジタルサービス法案」が欧州議会を通過し、ユーザーによるサイトの閲覧データを分析するサービス「グーグル・アナリティクス」を使用していたサイトがGDPR違反と認定されるなど、米大手IT企業を中心とした大量の個人データの扱いに、厳格に対処する流れが強まっている。
一方、日本では、プライバシー保護強化に向けた総務省有識者会議の報告書取りまとめが業界団体の反発で後退、ヤフーが欧州からの閲覧停止を表明するなど、EUとは対照的な動きが目立つ。
「よそはよそ、うちはうち」なのか。
●GDPRに不適合
現行の「透明性と同意のフレームワーク(TCF)」による個人データの処理(ユーザーの設定情報の取得など)は、公正性と適法性の原則に根本的に違反しており、GDPRに不適合となる。ユーザーは同意を求められるが、大半の人々は、パーソナル化された広告表示のために、自分のプロフィールが1日に何度も売買されていることを知るよしもない。これはTCFに関するものであり、リアルタイム入札システム全体に関するものではないが、本日の我々の決定は、インターネットユーザーの個人情報保護に大きな影響を及ぼすだろう。
ベルギーのデータ保護機関(BE DPA)が2月2日に発表した、「IABヨーロッパ」に対するGDPR違反の決定のリリースで、担当した訟務室長、ヒルケ・ハイマンス氏は、こうコメントしている。
申し立てをしていたのは、「パノプティコン協会」(ポーランド)、「ビッツ・オブ・フリーダム」(オランダ)、「人権連盟」(フランス)などの人権団体だ。
「IAB」は米ニューヨークに本部を置く、ネット広告の業界団体。ネット広告に関する技術標準や調査などを手がけ、45カ国、700以上のメディア、ブランド、広告会社、IT企業などが加盟する。「IABヨーロッパ」はその欧州の地域組織だ。
問題となったのは、「IABヨーロッパ」が中心となって策定した規格「透明性と同意のフレームワーク(TCF)」だ。2018年4月に運用が開始され、2019年8月に改訂されたのが現行版(v2.0)だ。
「TCF」は、ウェブサイトなどがユーザーから個人データの利用について同意取得をするための仕様を、GDPR(2018年5月施行)と、電気通信サービス分野のeプライバシー指令(2002年7月施行)に準拠させることを目的に定めたもの、としている。
ベルギー・データ保護機関のハイマンス氏が指摘するように、申し立ての焦点となっていたのは、ユーザーにパーソナル化された広告を配信するための自動取引(リアルタイムビディング[RTB])システムでの、個人データの取り扱いや保護の実態と、ユーザーへの事前説明だった。
●リアルタイム入札の個人データ
CMPインターフェースを通じてユーザーに提供される情報が一般的で曖昧なため、特にTCFの複雑さを考慮すると、ユーザーが処理の性質および範囲を理解することができない。そのため、ユーザーが自分の個人データを管理することは困難である。
ベルギー・データ保護機関は、「TCF」に関するGDPR違反について、そう認定している。
ユーザーの同意に基づいて、当社およびパートナー企業は、当サイトへの訪問などの個人データを保存、アクセス、処理のためにクッキーや同種のテクノロジーを使います。
ユーザーが欧州向けウェブサイトなどを初めて閲覧する時、そんな説明書きとともに、個人データの利用への同意を尋ねるポップアップが表示される。この仕組みが「同意管理プラットフォーム(CMP)」だ。
ユーザーによるその同意の内容は「TCストリング」というデータとして、ネット広告のリアルタイム入札システムで流通する。
リアルタイム入札では、ユーザーがサイトを閲覧するタイミングで、この「TCストリング」と関連データがシステムに送信され、パーソナル化された広告表示のための自動入札を実施。落札した広告が瞬時に表示される、という仕組みが高速で繰り返されている。
ベルギー・データ保護機関は、この「TCストリング」がユーザーの端末のIPアドレスとともに扱われることで、GDPRが保護する個人データに該当する、と認定した。
GDPRは「個人データはそのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。(「適法性、公正性及び透明性」)」(第5条)などと定める。
ベルギー・データ保護機関は「TCF」について、ユーザーの同意取得の際の説明書きが、データ処理の目的などについて極めて曖昧で、「公正性、透明性」を満たしていないと指摘。また、データ処理の法的根拠も不十分で、「適法性」も満たしていないと指摘。データ保護のための組織的、技術的な措置も取られていない、などとしている。
さらに今回の決定は、ベルギー・データ保護機関のみの判断ではない、とも述べている。
今回の決定の草案は公表前の2021年11月、GDPRが適用されるEUを含む欧州経済領域(EEA)の30カ国のデータ保護機関にも送付され、承認を得ている、という。
今回と同様の申し立ては、2019年以来、9件に上るといい、今後、同様の判断が示される可能性がある。
●データ管理者としての責任
BE DPAの訟務室は、IABヨーロッパがその主張とは裏腹に、各ユーザーの同意、拒否、設定情報の登録において、識別可能なユーザーにリンクされた固有の TCストリングを使用している点で、データ管理者(コントローラー)として行動していると判断した。これは、IABヨーロッパがGDPRの違反の可能性に対して責任を負うことを意味する。
ベルギー・データ保護機関は今回の決定で、業界団体である「IABヨーロッパ」が、個人データの管理に責任を負う「データ管理者(コントローラー)」であると認定した。
この点が、「IABヨーロッパ」と最も見解が分かれた点だ。「IABヨーロッパ」は「TCF」を策定しただけで、データには直接関わらない、と主張していた。
データ保護機関は認定の理由として、「IABヨーロッパ」が「TCストリング」などの個人データの取り扱いの仕様を定めた「TCF」を主導的に策定しており、個人データに事後的にアクセスする権限もあるため、個人データの取り扱いに直接携わる企業とともに共同で責任を負う「データ管理者」と見なされる、としている。
この決定により、「IABヨーロッパ」に対し、制裁金25万ユーロを科し、違法に収集されたすべての個人データの処理の停止と削除、さらに違法状態を解消するための行動計画を2カ月以内に提出し、6カ月以内に実施することを命じた。またこの期限に遅れた場合には、1日当たり5,000ユーロ(約66万円)の違反金が科されるとしている。
「IABヨーロッパ」は2カ月以内に不服申し立てを行うことができる。
今回の決定に対し、「IABヨーロッパ」はコメントを発表。その中で、「我々がTCFに関するデータ管理者であるとの認定は拒否する」とし、決定への対応については「あらゆる法的対応のオプションを検討する」としながら、次のように述べている。
今回の決定の内容には重大な懸念を抱いているが、DPAと協力して、所定の6ヶ月間で実行することになる行動計画の策定に前向きに取り組んでいく。 それにより、TCFの市場での有用性は引き続き確かなものとなるだろう。
●個人データ保護強化の流れ
欧州では、米国の巨大IT企業に照準を当てた個人データ保護強化の潮流が明らかだ。
欧州議会では1月20日、フェイクニュース対策など、巨大IT企業の規制を主眼とした「デジタルサービス法案」が通過した。同法案には、欺瞞的な誘導(ダークパタン)による同意取得や契約の禁止、ターゲティング広告拒否のオプションの簡易化、未成年へのターゲティング広告の禁止、なども盛り込まれている。
また、オーストリアのデータ保護機関(DSB)は2021年12月22日付で、グーグルのサイト分析サービス「グーグル・アナリティクス」を使用していた健康サイトに対し、保護レベルが十分でない米国への個人データの送信はGDPR違反だとの認定をしている。
※参照:Googleへの個人データ送信、「違法」決定が相次ぐわけとは?(01/17/2022 新聞紙学的)
オーストリアのデータ保護機関の決定では、グーグルは米国企業であり、米国の情報機関などによる外国情報監視法(FISA)によるデータ監視の対象となっており、「標準的なデータ保護条項に加えて取られた措置は、米国の情報機関による監視およびアクセスの可能性を排除するものではないため、有効ではない」と指摘。このデータ送信が「GDPR違反」である、としている。
同様の申し立ては、EEA域内で100件に上るという。
米国へのデータ送信については、EU司法裁判所でも同様の認定がなされており、EUと米国のプライバシー協定である「セーフハーバー協定」「プライバシーシールド協定」が相次いで無効となった経緯がある。
※参照:「プライバシー保護失格」2度目のちゃぶ台返し、Facebookはデータ移転ができなくなるのか?(07/18/2020 新聞紙学的)
※参照:「米国はプライバシー保護不適合」EU判決でネット騒然(10/17/2015 新聞紙学的)
また、フランスのデータ保護機関(CNIL)は1月6日、クッキー受け入れと同じように拒否のボタンが提供されていなかったことが同国のデータ保護法に違反するとして、グーグルに過去最高額となる1億5,000万ユーロ(約200億円)、フェイスブック(メタ)に6,000万ユーロの制裁金を科している。
EUではこのほかにも、現行のeプライバシー指令を置き換える「eプライバシー規則案」が検討中であるほか、2021年11月末には、ネット政治広告に的を絞った法案も取りまとめている。
●「よそはよそ、うちはうち」
EUとは2019年1月に、相互に十分な個人データ保護レベルにあると認定した日本でも、いくつかの動きがあった。
総務省の有識者会議「電気通信事業ガバナンス検討会」は1月14日、電気通信事業法改正に向けた報告書案を公表している。だが、当初のユーザーIDなどを含むプライバシー保護強化の内容は、IT企業の業界団体などによる反発を受け、大きく後退したという。
またヤフーは2月1日、「法令順守のための対応コストの観点で継続不能と判断した」として、4月6日からEEAと英国からの利用を停止する、と発表している。EEAはGDPRの適用対象地域であり、英国にもGDPRと同様の法律がある。
ヤフーの月間アクティブユーザーはスマートフォンで6,800万人、パソコンで2,100万人で国内最大、と媒体資料はうたう。
改正個人情報保護法の全面施行に先立ち、事業者に参考となる情報を提供する観点から、一定の国又は地域における個人情報の保護に関する制度について調査し、我が国の個人情報保護法との間の本質的な差異の把握に資する一定の情報を公表いたします。
個人情報保護委員会は1月24日付で、「外国における個人情報の保護に関する制度等の調査」として、米国を含む25カ国の個人情報保護に関する現状を公表している。もとになっているのは、2021年11月に発表された外部委託の報告書だという。
11月の報告書では、米国について、EU司法裁判所がプライバシー協定無効判断の根拠とした外国情報監視法などの、いわゆる「ガバメント・アクセス」についても記載がある。
だが、1月24日に個人情報保護委員会が公表した米国(連邦)の資料には、「事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの」の欄には、「―」印があるのみで特段の記載もコメントもない。
EUのプライバシーと日本の「プライバシー」は別物、ということのようにも見える。
「よそはよそ、うちはうち」(NHK『カムカムエヴリバディ』第65話<2月2日放送分>主人公・大月るいのセリフ)という“ルール”が、日本における独自の「プライバシー」を広げていくのか。
(※2022年2月7日付「新聞紙学的」より加筆・修正のうえ転載)
