ネット広告大手にGDPR違反の苦情申立


1990年に設立され、ロンドンに本拠地をおくプライバシー保護団体のPrivacy International(以下「PI」)は、現地時間11月8日、ネット広告大手のCriteo、Quantcast、Tapadの3社が行う行動ターゲティング広告事業(behavioural advertising)について、イギリス、フランス、アイルランドのデータ保護監督機関に対して苦情申立を行った。

PIは、これら3社による行動ターゲティング広告事業に伴う個人データ処理は、適法根拠を欠き、透明・公正・目的限定・データ最小限など、GDPRが規定する個人データ処理の原則に違反しデータ保護監督機関が詳細な調査を行うべきであると訴えている。

PIは、今回苦情申立の対象とした3社に限らず、ネット広告業界全体の個人データ処理のGDPR遵守を疑問視し、データ保護監督機関に対して適切な措置を求めており、クッキー(Cookie)、webビーコン、デバイスフィンガープリントなどのトラッキング技術を利用するターゲティング広告を欧州で展開する事業者にとって、予断を許さない状況となった。PIによる苦情申立の主な論点は以下の通り。

透明性:
3社がどのような個人データ処理をしているかについて、ほとんどの個人は詳細を知らされていない。 PIメンバーによるアクセス権行使に対する回答は、一般的な説明に終始しており、プロファイリングの詳細過程が明らかにされていない。また、どのような広告主が彼らの顧客であるか、どのようなWebから個人データを得ているのか明らかにされなかった。3社は本来、GDPR14条に基づき、直接個人に対してこのような情報提供をすべきであるのに、媒体であるWebなどを通じて間接的にしか情報提供をしていない。

プロファイリング:
GDPR前文60項は、データ主体に対してプロファイリングの影響について説明しなければならないとしている。また29条作業部会のガイドラインは、プロファイリングのしくみ、プロファイリングによりどのような個人データが導出されるかについて説明しなければならないとしている。3社はこれらの義務を果たしていない。

データ主体の権利行使への影響:
ターゲティング広告において行なわれるプロファイリングの内容についての情報提供が不十分であることは、GDPRの根底にあるデータ主体による権利行使を阻害している。

公正性:
プロファイリングのメカニズムと影響、データの取得源・提供先に関する不十分な情報提供のもとで行なわれる個人データ処理は、説明を受けた個人の合理的期待を逸脱するものであり、公正性を欠く。

適法根拠:
3社が取得したとする同意は、GDPRが規定する同意の有効要件(自由に与えられた、目的特定、十分な情報提供、あいまいでない意思表示など)を欠き、有効な同意とはいえない。

センシティブな個人データ:
3社が行う高度なプロファイリングにより、センシティブな個人データが導き出される可能性がある。PIのメンバーが行ったアクセス権行使により、3社は、実際には、センシティブな、またはセンシティブである可能性がある個人データを処理していたことが判明した。3社はこれらについて有効な同意を取得していない。

目的限定・データ最小限:
3社はプロファイリングにより、個人について広範な属性情報を得ており、これは情報提供からデータ主体が合理的に期待する範囲を超え、GDPRが求める目的限定・データ最小限の原則に違反する。

正確性:
プロファイリングによる個人のさまざまな属性の導出は、正確性を欠く可能性があり、GDPRが求める個人データの正確性の原則に違反する。

Privacy Internationalによる苦情申立書:
https://privacyinternational.org/sites/default/files/2018-11/08.11.2018%20Final%20Complaint%20AdTech%20Criteo%2C%20Quantcast%20and%20Tapad.pdf

関連記事