Last Updated :february 6,2019
2.行動ターゲット広告、プロファイリング、自動化された意思決定に関する主要なWP29のGDPRの解釈ガイダンス 草案
2017年10月24日、米国ローファームPrivacy & Security Matters「Key GDPR Guidance on Behavioral Advertising, Profiling and Automated Decision-Making」の解説文を仮訳する。
間もなくより透明性の高いかつ非常に強力な権限を持った「欧州データ保護委員会(European Data Protection Board (”EDPB”)」になる「EU指令第29条専門家会議(WP29:欧州委員会の諮問グループ)」は、EU加盟国のデータ保護当局が「一般データ保護規則(GDPR)」の様々な要求要件をどのように解釈するのかを組織、団体等が理解する助けとなるガイダンスを作成した。すなわち、”WP29”は最近、これらの活動を行うすべての組織・団体にとって重要となる「自動化された意思決定とプロファイリングに関するガイダンス草案」を発行した。このガイダンスの草案は、2017年11月28日までのコメントのために公開されている。本記事は、このガイドラインの特に興味深い点を要約している (ここでは「採択済のガイドライン」セクションに列記された項目までスクロールしている) 。
(1)まず、GDPRに基づく「自動化された意思決定」とは何か?また「プロファイリング」とは何か?
「自動化された意思決定」はGDPRには明示的に定義されていないが、WP29ガイダンスが確認しているとおり、それはあなたが考えるもの、すなわち人間の意思決定者からの実質的なインプットなしに技術的手段を使用して個人についての決定を行うことをいう。例えば、クレジットカード会社は、アルゴリズムを適用し、イエスまたはノーの決定を生成するソフトウェア・アプリケーションを介してクレジットカードの申込を受付・実行することができる。自動化された意思決定は、当該申込人のプロファイルに基づいている可能性があるが、必ずしもそうである必要はない。
GDPR第4条(4)項は、プロファイリングを「自然人に関するある一定の個人的な側面を評価するために、特に、自然人の業務実績、経済状況、健康、個人的嗜好、興味、信頼、行動、所在又は移動に関連する側面の分析又は予測をするためになされる、個人データの利用から成る個人データのあらゆる形態の自動的な処理をいう」と定義する。
プロファイリングは、典型的にはウェブサイトやアプリで使用される非常に一般的な広告「行動ターゲッテイング広告(behavioral advertising)」と関連する。これは、たとえば、背部痛の治療法をオンラインで検索していたとき、突然、人間工学的なデスクチェアの広告が表示される事実上すべてのあなたが訪問したウェブサイト、お気に入りのソーシャルメディアのニュースフィード、天気予報、交通アプリなどが出てくる.。このプロファイリングには、必然的に「自動化された意思決定」が必要である。
”GDPR”は、自動化された意思決定またはプロファイリングを一切禁止するものではないことを認識することが重要である。代わりに、GDPR第22条(1)項は、データ主体に少数の例外を除いて( 彼または彼女に法的効果をもたらすか、同様に彼または彼女に同様に重大な影響を及ぼすプロファイリングを含む、自動化された処理のみに基づく決定の対象とならない権利を与える。その人の法的地位または権利に影響を与える自動化された意思決定、またはその影響において「同様に重要な」意思決定のみが禁止されている。つまり、ダイレクト・マーケティングのためにプロファイリングに意義を唱える別個の権利がある。この点は詳しくは後述する)。
一部の企業は、「法的効果」の資質を金銭的に言えば、インターネットを動かすプロファイリング/広告エコシステムの一部である企業に幅広い寛容度を与えると解釈していた。しかし、”WP29”ガイダンス草案はその考えに冷たい水を投じた。
”WP29”は、データ処理が誰かに重大な影響を及ぼすためには、処理の効果は、注目に値するほど十分に大きくなければならない。言い換えれば、「意思決定」は、関係する個人の状況、行動または選択に大きく影響する可能性を持たなければならない。最も極端な場合、その決定は個人の排除または差別につながる可能性がある。この点が17/EN WP251、10頁で強調され追加された。
したがって、重要な疑問は、意思決定(プロファイリングを含む)が、関係する個人の状況、行動または選択に大きく影響する可能性があるかどうかである。そして、この点がガイダンス草案が行動ターゲテイング指向の広告業界にとって非常に興味深いものである背景である。
多くの典型的なケースでは、単純化された人口統計プロファイル「ブリュッセル地域の女性」に基づく主流のオンラインファッション店の広告など、ターゲットを絞った広告は個人のプライバシーに大きな影響を与えない。
しかし、具体的ケースにおいては特性に応じて、次のようなことが起こる可能性がある(17/EN WP 251, p. 11頁)点でガイダンスに追加された。
① プロファイリング・プロセスの押しつけがましさ
② 関係者の期待と希望
③ 広告が配信される方法
④ 対象となるデータ主体が有する特定の脆弱性
言い換えれば、主観的要因は、制限されていないプロファイリング活動を制限されたカテゴリに移動することができる。”WP29”は、私たちの大部分が経験しているウェブ上の広告によって「ストーカー」されているという過度といえるプロファイリングが、プロファイリングと自動化された意思決定の完全な制限を引き起こすことを暗示しているようである。それが事実”WP29”の意図であれば、そのガイダンスの最終版で事例をより明確に述べるほうがよいであろう。
さらに、最後の箇条書きを詳述するために、 対象とされている人物の識別可能な特徴によって 、プロファイリングが限定的なカテゴリーに持ち込まれる可能性がある。
個人にほとんど影響を及ぼさない処理でも、実際にはマイノリティ・グループや脆弱性を持った大人(筆者注5)のような特定の社会グループの人々に実際に大きな影響を与える可能性がある。例えば、定期的にオンライン・ギャンブルの広告を表示する財政難の人は、これらのオファーにサインアップし、潜在的にさらなる債務を負う可能性がある。
では、いったいこれはどういう意味か?「行動ターゲッテイング広告(behavioral advertising)がGDPR 第 22条(1)の「同様に大きな影響」を引き起こした場合、広告(および関連するプロファイリング)は、次の要件に基づきプロファイリングと自動化された意思決定が行われている場合にのみ実行できる。
① データ主体ととデータ管理者の間の契約の締結または履行の実行に必要性があること 。
② EU加盟国の法律がデータ主体の権利と自由と正当な利益を保護するための適切な措置を定めていること。
③ データ主体の明示的同意に基づいていること。
これらの条件のいずれも、一般に宣伝(契約を実行しない)に使用され、当該国の法律の下で特別な配慮を得ることはほとんどなく、「背後にある」ことに根ざしている行動ターゲッテイング広告の文脈では、プロファイルを作成して広告を展開する企業に対し厳格な同意を得させることができる。
オンライン広告業界が”WP29”に対しコメントを提供しているかどうか、そしてガイダンスが結果として変化するかどうかを確認することは興味深いであろう。その一方で、WP29ガイダンス草案は、プロファイリングまたは他の形態の自動化された意思決定を使用するすべての企業にとって必須のものといえる。
************************************************************
(筆者注5) 欧米でいう「脆弱な大人(vulnerable adult)」とはいかなる概念を指すのか。以下の筆者が訳した説明文を参照されたい。
「脆弱な大人」は、最も基本的な(中間レベルまたは典型的なレベルとは異なる)絶対的に人間生活を過ごすスキルを欠いている人である。脆弱な大人は、これらのスキルを適切に学んだり、適切に維持することができず、また、家族、友人、知人、その他の援助者を完全に雇用することができない大人である。 脆弱性として分類されるためには、より典型的な大人の直接の助けなしに、成人の状況を成人自身の個別の行動によって変更または改善できないようでなければならない。援助が提供されなければ、脆弱な大人は、ある程度の重要なレベルで、自分自身のリスクが示されなければならない。
*****************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます