筆者は、自身のブログの(筆者注10)で簡単に言及したが、2018年11月9日、フランスのデータ保護監督機関である「情報処理及び自由に関する国家委員会(以下、CNIL)は、正式な警告(仏語で入手可能)を公表し、オンライン広告スペース購入業者”Vectaury”の顧客に対する「同意」の方法を変更し、アプリのインストール以前に取得した「無効な同意」を基礎とすべきでない旨の警告を行い、併せて適切な法的根拠なしに広告目的で地理位置情報データの処理を中止するよう同社に命じた。
今回のブログは、(1)さる2018年11月16日付け”Inside Privacy”Blogを仮訳するとともに、(2)このCNILの命令措置に対する欧州インタラクティブ広告協会(IAB Europe)のTransparency&Consent Framework(TCF)の独自のコメント内容を紹介し、最後に(3)CNIL命令のリリースの要旨を仮訳、引用するものである。
本文を読んで気が付くと思われるが、CNILをはじめEU加盟国のDPAの「EU一般情報保護規則(以下、DGPR)」の解釈はきわめて厳格である。これをわが国の企業に当てはめるとどうなるであろうか。また、わが国の個人情報保護委員が同様の技術的査定が可能であるか。これらを検証する意味で今回のブログをまとめた。
今回のブログは、2回に分けて掲載する。
1.2018年11月16日付け”Inside Privacy”Blogの概要
以下で、概要を仮訳する。
”Vectaury”は、顧客(広告主)に代わってオンライン広告スペースを購入する広告ネットワーク業者である。同社はまた、広告主が自分のアプリに統合して、ユーザーのデバイスやブラウザに関する位置情報データや情報を収集できるソフトウェアツールも提供している。同社はこのデータを分析し、それを特定の地理的な関心のあるポイント(実店舗など)と比較し、ユーザーの習慣のプロファイルを作成する。これらのプロファイルに基づいて、同社は広告主に代わってターゲットを絞った広告キャンペーンを実施する。 広告キャンペーンの効果を評価するために、広告主の実際の店舗にいる間にユーザーを追跡する。
広告主のアプリが提供する「同意」メカニズムは、アプリケーションがターゲットマーケティングの目的でユーザーのブラウザ履歴と地理的位置を収集することを説明する短い通知を提供した。それはユーザーに3つの選択肢を提供しました。すなわち、「受け入れる」、「拒否する」、または「彼らの好みでカスタマイズする」である。CNILによると、ツールを通じて収集された同意は、「同意」に関するGDPRの要件につき、次の3つの点で準拠していない。
(1) 第一に、CNILは、提供された情報が不明確で、複雑な用語を使用し、そして容易にアクセスできないという理由で「同意」が通知されていないことを明らかにした(特に個人データを受信するサードパーティ・エンティティのリストがない)。
(2) 第二に、アプリケーションのインストール時に得られた「同意」は、ユーザーに同意または拒否の選択肢を与えただけなので、十分に具体的なものではない。 ユーザーは、ターゲットを絞ったマーケティング目的で、地理位置情報データの処理に特に「同意」することを求められていなかった。
(3) 第三に、CNILは、ツールを通して得られた「同意」は肯定的な行動に基づいていないと指摘した。「自分の設定をカスタマイズする」を選択したユーザーは、事前にチェックされたオプションを含む別のポップアップに誘導された。
CNILの調査中に、”Vectaury”はInteractive Advertising Bureauが開発した「CONSENT MANAGEMENT PROVIDERS (CMPs)」ツールを実装した。しかし、CNILは、このツールによって提供された情報と「同意」がGDPRによって提示された同意の要件を満たしていないことを明らかにした。
これはCNILがオンラインマーケティング会社に対して実施しているもう1つの法的措置であり、CNILが適用する高い基準は考慮されるべきものである。 ”Vectaury”には同意の経験があり、ユーザーが同意を与えることを拒否することを許可し、さらにはユーザーにきめ細かい設定を提供することさえできたが、それでもまだ十分ではなかった。 興味深いことに、これまでの機会と同様に、CNILはこれらのツールをアプリに組み込んだ広告主を調査していないようである。
2.欧州インタラクティブ広告協会(IAB Europe)のTransparency&Consent Framework(TCF)の観点から見た”VECTAURY”の運用の課題
2018年11月21日IAB Europeは、CNILの査定決定とIAB Europeが策定した「透明性」と「同意」の枠組み(The CNIL’s VECTAURY Decision and the IAB Europe Transparency & Consent Framework」) (注1)に関する客観的に評価した。以下で、その概要を仮訳する。CNILの命令等の内容は3で詳しく述べる。
(1) IAB Europeの Transparency&Consent Framework(TCF)実装との関係
一部のコメンテーターは、IAB Europeの Transparency&Consent Framework(TCF)を実装したConsent Management Provider(以下、CMPという) (注2)を構築したため、”VECTAURY”はCNILの照準になったと示唆している。”VECTAURY” は2018年5月にTCF CMPとしての地位を確立した。
しかし、そのコメンテーターの提案は間違っている。CNILの調査は、”VECTAURY”がTCF CMPとして登録される前に開始された。さらに、CNILが”VECTAURY”の行動がEUの一般データ保護規則(GDPR)に違反していると考える多くの点で、それはTCFのポリシーにも違反している。
(2) CNILがなぜVECTAURYの行動がGDPRに違反したと認めたのか
CNILは、その通知の中で、2つのシナリオで”VECTAURY”がGDPRの下で個人データを処理するための法的根拠を持っていなかったことを発見した。 1つ目は、”VECTAURY”がモバイルアプリのモバイルアプリユーザーからその「SDK」(注3)を介して地理位置情報データを収集して処理し、もう1つはモバイルアプリの目録作成(inventory)に対してリアルタイム入札で受け取った個人データを収集して処理したことである。
””VECTAURYが主張する法的根拠は、データが処理されたユーザーの「同意」である。 CNILの警告通知は、両方のシナリオにおいて、”VECTAURY”とそのパートナーは有効な「同意」の条件を満たしていないことを宣言している。その結果、それは処理の法的根拠として役立つことができなかった。
(3) GDPRの要件を満たしていない具体的な行為
最初のシナリオでは、”VECTAURY”が自社のSDKを介してモバイルアプリのモバイルアプリ・ユーザーから位置情報を収集して処理したため、CNILは、デフォルトのAndroid OSまたはiOS通知ウィンドウで地理位置情報の収集の許可を求めることができなかったと指摘した。有効な「同意」を得てください。それから”VECTAURY”はそれがCNILに提出したそれからの推薦された方法としてTCFに基づいて造られたCMPを開発した。CNILは、”VECTAURY”のCMPは次の点でユーザーの透明性を向上させる一方で、有効な「同意」に関するCNILの基準をまだ満たしていないと述べた。(a)ユーザーがデータを処理したい企業の身元について適切に知らされたことを保証できなかった、(b)同意が明確で肯定的な行動によって表明されたことを保証できなかった。
この通知には、状況によっては、ユーザーがVECTAURY(または他の会社)が自分のデータを処理することに同意を求めているという事実を知らされず、”VECTAURY”が開発した同意要求UIでは合意を伝えるために設定を切り替えるか、または他のアクションを実行しなければならない。
どちらの場合も、”VECTAURY”のCMPもTCFの方針に基づく義務を果たすことができなかった。
GDPRの下で有効であるためには、ユーザーの同意は「通知され」かつ「具体的」でなければならない。ユーザーは、どの会社がデータを処理したいのか、またどの目的のために使用したいのかを知る必要がある。他の情報開示は、誰が同意を要求しているか、そしてその理由についての透明性を伴う必要がある。”VECTAURY”のパートナーが自分の個人データを処理することへの同意を求めている企業の1つであるという事実を”VECTAURY”のパートナーがユーザーに明らかにしなかった場合、パートナーと”VECTAURY”の両方の行動は明らかに不適合である。 TCFのポリシーでは、同意要求がユーザーに、ユーザーの個人データを処理しようとする会社の身元と、ユーザーがその目的を理解できるように処理の目的を伝えることを要求している。この2つの会社は明確に区別されており、互いに別の会社である。
「肯定的な行動」の項目では、その立場も明白である。”VECTAURY”は、同意を伝えるためにいかなる種類の肯定的な行動も取らないにもかかわらず、ユーザがデータ処理に同意したと見なされるであろう同意するユーザーインターフェイス(UI)を実装したように思われる。これはGDPRとTCFのポリシーの明らかな違反であり、どちらもユーザーが肯定的、積極的にに「同意」することを要求する。
(4) データ保護当局の意見を反映しなかった行為
CNILがGDPRに違反していると解釈した行為の中には、”VECTAURY”が提携しているアプリのUIに情報がどのように提示されたかに関連しているものがあった。ここでCNILは、違法性の認定に到達するために、EU加盟国のデータ保護当局(DPA)からなるEU指令第29条専門家会議の意見、そして場合によってはそのガイダンスの独自の解釈に依拠した。
たとえば、CNILは、アプリケーションのユーザーインターフェイス(UI)が、すべてのコントローラのユーザーに同意の要求として正確な瞬間に、または正確なUIレイヤでデータ処理の同意を求めてる通知を行っていないことを発見した。同様に、「同意」が要求されているデータ処理に関する詳細な情報も同時に提供されていなかった。また、CNILは、理解しにくいデータを処理する必要がある理由を消費者に説明するために使用される言語を発見した。
これらは、合理的な人々が反対することができるより主観的な項目である。
「同意」の要求自体と同時に「同意」を求めるコントローラの詳細をユーザに提示する場合、CMPは、ユーザが単一の画面でどれだけの情報を吸収できるかについて判断する必要がある。”VECTAURY” がそのアプリケーションパートナーに推奨したCMPで実装したUIは、データを処理したい会社のリスト(VECTAURYを含む)にナビゲートするためにいくつかのリンクをクリックすることをユーザーに要求したようである。おそらく、より良い実装では必要なクリック数が減ったであろう。実際、TCFのポリシーでは、会社のリストへのリンクを提供し、処理目的を「同意」通知の最初の層(レイヤー)に開示することを要求している。
(5) TCFを改善するための継続的な作業に役立つ情報
ユーザーの「同意」が求められていたデータ処理目的の定義の場合、ここでCNILは明らかにポイントを持っている。しかし、一方では特異性と細分性、そして他方では単純さと理解しやすさの間で正しいバランスをとることは容易ではない。違法性の発見を促したと思われる定義には、現在TCFに含まれている5つの定義のうちのいくつかが含まれている。それらは、CNILを含むDPAとの最初の会合に続く夏の間に始まったプロセスで、フレームワークを提示するために修正されている。改訂の目的の1つは、定義をユーザーが理解しやすいようにすることである。
おそらくもっと重要なのは、GDPR自体が沈黙しているか不明瞭な点で、フレームワークとユーザーにとって最善の方法を検討する必要があるということであり、一方で、「同意」要求の文脈におけるユーザーへの情報開示に関しては、タイムリーで完全な情報が必要となる。
CNILが入札要求を通じて受け取ったデータを”VECTAURY”が取得して処理するという2番目のシナリオについての議論も、フレームワークとGDPRのルールのCMPによる適切な実装をサポートするためにもっとやらなければならないことを明らかにした。 TCFのシグナルが信頼できる企業によって信頼され、ユーザーに適切な透明性が提供され、有効な「同意」が得られたことを意味する場合、これは不可欠である。 CNILは、信頼できる同意がその出所で有効であることを会社が保証し証明することができるとCNILが確認していることを確認しているため、フレームワークのシグナルは信頼できるものである必要がある。有効です。何百万ものWebサイトやアプリを何千ものテクノロジパートナーが個別に検証することは完全に不可能であるため、適切な実装によってGDPRに沿って「透明性」と「同意」が確立されていることを保証できることになる。
3.モバイルアプリケーション:広告のターゲティングを目的とした位置情報データ処理への同意の得ていない点にかかる正式な警告通知
前述の内容と一部重複するが、あえて2018年11月9日のCNILのリリース文を以下、仮訳する。
(1) CNILの”VECTAURY”に対する警告
CNILのイザベル・ファルケ・ピエロタン(Isabelle Falque-Pierrotin)委員長(写真)は、モバイル・アプリケーションを介した広告ターゲティングの目的で、地理位置情報データを処理することについて、本人の「同意」を求めることを”VECTAURY”に忠実であるよう促した。
CNILは、多機能モバイルを介して個人データを収集し、モバイルでの広告キャンペーンを実施するための技術を使用している会社”VECTAURY”によって実行されるデータ処理を管理している。
同社は、パートナーのモバイルアプリケーションコードに埋め込まれた「SDK」と呼ばれるテクニカル・ツールを使用している。 彼らはそれがこれらのアプリケーションが動作しないときでさえそれが多機能モバイルのユーザーからデータを集めることを可能にする。この「SDK」は、多機能移動体の広告識別子および個人の地理的位置データを収集することを可能にする。さらに、これらのデータは、パートナーが決定した関心点(店の看板)と相互参照され、訪問した場所から人々の端末にターゲット広告を表示する。
”VECTAURY”は、またプロファイリング目的および広告ターゲティングのために、会社が広告スペースを購入できるようにするために最初に送信されたリアルタイム入札オファーを介して受信する地理位置データも処理する。
(2) VECTUARYのSDKデータに関する「同意」の収集に失敗
”VECTAURY”は、関係者の同意を得てこれらのデータを処理することを示しているが、しかしながら、CNILの検証によると「同意」が正当に集められなかったことが明らかとなった。
まず第一に、モバイルアプリケーションをダウンロードするとき、人々は体系的に「SDK」が彼らの位置データを収集することを知らされていない。 インストール時に、ユーザーは広告ターゲティングの目的についても、この治療の責任者の身元についても知らされない。 アプリケーションの一般的な使用条件で提供される情報はデータの処理後に得られるが、必要となる「同意」は事前の情報提供を前提としている。
ユーザーが「SDK」をアクティブにせずにモバイルアプリケーションをダウンロードすることは、常に可能とは限らない。 両者が切り離せない場合は、アプリケーションを使用すると自動的にデータが”VECTAURY”に送信される。
同社は最近、情報を強化するために同意の管理プロバイダ(CONSENT MANAGEMENT PROVIDERS (CMPs)」ツールの実装を提案した。 それにもかかわらず、CNILはこのCMPが体系的にアプリケーションに実装されていないことを認めた。それはまた、特にユーザに与えられる情報が不十分であるという点で、依然として不十分であり、かつ位置情報データ収集はデフォルトで有効になっている。また、広告スペースのリアルタイムオークション入札(注4)からデータ主体の同意を得られなかった
また、コントロール(管理)では、ユーザーの「同意」が、個人データが広告プロファイリングに使用されるまで収集されなかったことを発見した。 ユーザーに提供される情報は、彼のデータがこのリアルタイム入札システムに使用されることを説明するものでも、ビジネスプロファイルを定義する目的で保持されるものでもない。「SDK」と同様に、データ収集はデフォルトで有効になっていた。
広告スペース入札システムにより、同社は32,000以上のアプリから4200万以上の広告IDと位置情報を収集することができた。
「SDK」とリアルタイム入札に起因するこれらの処理は、プライバシーに対する特別なリスクをもたらす。彼らは確かに人々の動きと彼らのライフスタイルを明らかにしている。 さらに、これらの行為は、関係者に気付かれることなく、またEU一般保護規定(GDPR)が規定する権利を行使することもできずに行われる。
したがって、CNILは”VECTAURY”は、関係するすべてのユーザーの有効な「同意」を集めるよう正式な命令通知を行うとともに 過度に収集したデータを削除することも通知する。
すなわち、指摘された問題点を考慮して、CNIL委員長は、 3ヶ月以内に法律および「自由」を遵守することを ”VECTAURY”に 通知することを決定した。同社が法令遵守に入っても、この手順のフォローアップは行われません。また 手続きの終了は公表される。そうでないと、委員長はCNILによる制限的措置を行うまたは罰金を科すかもしれない。
問題の性質、これらの影響を受ける人々の数、およびこの種の技術の使用に関連する問題についての業界の専門家の意識を高める必要性を考えと、CNILはこの通知を公表することとした。 それが以前に発表したように、CNILは「SDK」の使用が介入する一連の事業者の様々な行為に特に注意を払う。
〇CNIL公式文書
(1) 2018年10月30日のCNIL決定官報
Décision n°MED-2018-042 du 30 octobre 2018
Décision n° MED 2018-042 du 30 octobre 2018 mettant en demeure la société VECTAURY
(2) 2018年11月8.日の CNIL審決 Délibération n°2018-343 du 8 novembre 2018
Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-343 du 8 novembre 2018 décidant de rendre publique la mise en demeure n°MED-2018-042 du 30 octobre 2018 prise à l’encontre de la société VECTAURY
**********************************************************************
(注1) IAB EuropeとIAB Tech Labは、「GDPR Transparency&Consent Frameworkの技術仕様」をリリースした。 この仕様は、IAB Europeのポリシーおよび法的専門知識とIAB Tech Labの技術的専門知識を活用した、IAB EuropeとIAB Tech Labの間のコラボレーションにより、今後のIAB Tech Labのワーキンググループによって維持される。(IAB Europeサイトから引用)
https://iabtechlab.com/standards/gdpr-transparency-and-consent-framework/
(注2) GoogleのAdsenseヘルプ画面を見ておく。
EU ユーザーの同意ポリシー:サイト運営者様が EU ユーザーの同意を得る方法の3つ目で以下の解説がある。
3. IAB のフレームワークを使用する
Google は IAB Transparency & Consent Framework(TCF:透明性と同意に関するフレームワーク)との統合がまだ完了していません。この数か月間にわたり Google は IAB Europe と協力して、サービスとポリシーが TCF に適合したものとなるよう作業を進め、技術的統合の完成を目指しています。
Google の IAB 統合が完了するまでは、サイト運営者様が ATP 設定画面で選択した広告技術プロバイダのパーソナライズド広告が表示されます。サイト運営者様は引き続き AdSense の管理画面で、広告リクエストにパーソナライズされていない広告シグナルを含めるか、欧州経済領域のすべてのユーザーにパーソナライズされていない広告のみを配信するかを選択できます。なお、IAB の TCF 技術仕様サポート ウェブでは、モバイル アプリの仕様はまだ確定していません。
(筆者注3) SDK(「Software Development Kit(ソフトウェア開発キット)」)とは、あるシステムに対応したソフトウェアを開発するために必要なプログラムや文書などをひとまとめにしたパッケージのこと。システムの開発元や販売元が希望する開発者に配布あるいは販売する。近年ではインターネットを通じてダウンロードできるようWebサイトで公開されることが多い(IT用語辞典から抜粋)
(筆者注4) REAL-Time Auction Offer の意味はReal-Time Bidding?と同義と思う。
**********************************************************************:
Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
