IABヨーロッパがGDPR違反をしている可能性|CookieFirst ブログ
IABヨーロッパGDPR違反か|同意ポップアップの合法性に言及した画期的な判決が現在進行中です。
IAB(Interactive Advertising Bureau)は、広告会社の調査、業界標準の設定、他のビジネスへの法的支援などを行う組織で、彼らはTransparency and Consent Framework – TCFを開発しました。Googleなどは、TCFのシステムを利用して、GDPRの同意ポップアップを管理しています。
しかし、現在、これらのポップアップの合法性に対処する画期的な判決が下されています。では、IABヨーロッパがGDPRに違反していることを規制当局が証明した場合、他のトラッキング業界にとってどのような意味があるのでしょうか。
ベルギーデータ局(APD)がIABに対して提起した苦情の意味について、引き続きお読みください。
TCFとは?
GDPR違反の詳細と、この判決があらゆる広告主にとってどう意味するか触れる前に、TCFの基本を理解しておくことが不可欠です。
Transparency and Consent Framework(TCF)は、個人データに関するユーザーの好みを符号化するための技術的な基準です。また、企業がデータを収集・処理し、最終的にターゲティング広告の開発に利用する際の最善の方法とガイドラインを定めています。
IABヨーロッパによると、TCFはGDPRガイドラインを満たすように設計されており、すべての要件を満たす唯一の同意ソリューションとして機能します。彼らの目的は、デジタル広告チェーンに関わるすべてのさまざまな関係者が、プライバシー指令や同様の規制に確実に準拠できるようにすることです。もちろん、これにはクッキーや広告識別子など、行動を追跡するための技術など、ユーザーデータの保存やアクセスも含まれます。
TCFの仕組みは、ウェブサイト公開者が、どのようなデータを収集しているのか、そのデータを使って企業が何をしようとしているのかを、ユーザーに伝えることができる環境を整えることです。また、このシステムにより、消費者は、パートナーである企業が自分のデータをどう扱うかを知ることができます。
マーケティング担当者がユーザーの同意を伝え、関連する開示を行うための共通言語を提供することで、TCFはGDPRの遵守を簡素化することになります。しかし、ベルギーの情報安全当局が発表した新たな報告書では、TCFがプライバシー規制に準拠していないことが指摘されています。
GDPRの違反
では、IABヨーロッパは、どのようにGDPRに違反したのでしょうか。
裁定案では、TCFはGDPRが定める公平性と説明責任、透明性、処理の適法性の要件を満たしていなかったとされています。ご想像の通り、企業のGDPR法遵守を支援することを目的とした組織が、違反しているのは問題行為です。
同意のポップアップ
トラッキングクッキーの同意ポップアップを受け取ったことがありますか?Googleのようなほとんどの広告主は、広告ターゲティングデータを収集するための同意を得るためにそれらを使用しています – これらは、プライバシー法に準拠していません。
実際、ヨーロッパでは、GDPRと本質的に矛盾する継続的な同意スパム行為に悩まされ続けてきました。これは4年以上続いています – そして、IABヨーロッパがTCFを立ち上げる前に問題があることを知っていたことを示す証拠です。
IABヨーロッパは、TCFを通じてウェブサイト上で作成されたデジタル信号を管理しているため、彼ら自身がデータ管理者になるのです。この過程で、データの収集や処理に関するユーザーの選択肢にアクセスできるようになりました。これには、ユーザーがアクセスするアプリやWebサイトにルールを適用するための識別コードも含まれます。
RTB(Real-Time Bidding)と呼ばれるトラッキングベースの広告システムについても、同様のことが言えます。このシステムは、位置情報や閲覧履歴など、ユーザーの行動を何千もの企業と共有しており、これほど大量のデータを安全に保管する方法はありません。
IABヨーロッパは、このデータの共同管理者なのです。これはデータ処理とプライバシーに関する新たな責任を課すだけでなく、すべての要件を満たさない場合、多額の罰金を科すリスクを伴う巨大な法的責任を生じさせることになります。
GDPR違反に関するその他の洞察
正式な声明は発表されていませんが、IABヨーロッパによるプライバシー規制の具体的な侵害を明らかにするものと思われます。広告主はこのニュースを先取りして問題の一部を修正しようとしていますが、どのようにそれを行うか、あるいはそれが可能かどうかは明言されていません。
彼らは、楽観的に修正可能な状況であると表現することで、市場を落ち着かせ、パニックを避けようとしています。IABヨーロッパは、この問題が簡単に解決できると示唆するのではなく、謝罪すべきなのです。
同様に、国境を越えた苦情に対処するための標準的な協力に関するGDPRの手続き上、他のEUのDPAはこの決定についてコメントしなければなりません。IABは約1年前に違反が発覚しましたが、プライバシー執行の標準となっているスローペースのおかげで、まだ決定は出されていません。
最終的な判決は?
最終的な判決はいつになるのだろうと思っているかもしれません。判決後、ヨーロッパの人々が、不愉快なクッキー同意のポップアップに対処する必要性がなくなるのしょうか?
簡単に言うと、最終的な判決はまだ何ヶ月も先のことです。2022年の中頃まで決定が出ないかもしれませんし、IABヨーロッパは必然的に控訴を選択するでしょう。いずれにせよ、これはデータトラッキング業界が直面する問題のほんの始まりに過ぎません。
数週間後には裁定案が発表され、ベルギーが他のDPAと共有する報告書により、30日間の審査期間が始まることが予想されます。この間、他の規制当局は裁定案についてコメントし、必要であれば異議を申し立てることができます。
もし同意できない場合は、欧州データ保護委員会が介入し、拘束力のある決定を下すことになります。しかし、原告側は、IABヨーロッパがGDPRに基づくヨーロッパ人の基本的権利を侵害していると確信していますが、拘束力のある決定を下すような事態には至らないかもしれません。
CookieFirstブログより引用
