英ICO、仏CNILが相次いで広告目的のcookie利用の取締り強化を表明


イギリス監督機関(ICO)、フランスデータ保護監督機関(CNIL)が相次いで広告目的のクッキー(Cookie)利用の取締り強化を表明

フランスのデータ保護監督機関CNILは、6月28日、公式Webサイトで、オンラインターゲティング広告の取締りに関するアクションプランを公表(https://www.cnil.fr/en/online-targeted-advertisement-what-action-plan-cnil)した。これによると、CNILは、2019年の重点取締分野としてオンラインターゲティング広告の監視を強めるという。2019年7月には、とくに同意の意思表示の方法を重点的に扱う新たなガイドラインを公開する。本格的な法執行は、12か月間の順守猶予期間の後に始めるとしているが、順守猶予期間中でも苦情があり次第調査を進め、場合によっては法執行の可能性もあるとしている。

イギリスのデータ保護監督機関ICOは、6月20日、「広告テクノロジーおよびリアルタイム入札に関する更新報告書」と題するレポートを発表(https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf)した。報告書の中で、ICOは、オンライン広告枠のリアルタイム入札(RTB)に関して、以下の懸念を表明した。

(1) 「正当な利益」を適法根拠としてクッキー等を利用することはできない。(e-Privacy Directiveを実装する国内法の文言に明確に違反)
(2) RTBでは、特別カテゴリー個人データが「明確な同意」なく処理されている。例えば、RTBで用いられるデータスキーマには、政治的・宗教的信条、人種、健康に関するデータフィールドが含まれており、特別カテゴリー個人データが処理されている。
(3) たとえ「正当利益」を適法根拠とするにしても、プライバシーとの均衡について目的テスト・必要性テスト・バランシングテストが適切に行われていない。
(4) DPIA実施義務が正しく理解されておらず、RTBのリスクが完全に評価され、緩和されているとはいえない。
(5) 関係個人への情報提供が明確性を欠き、複雑である。広告業界団体IABによるTCR、GoogleのABなどのフレームワークは透明性・公正性の確保の観点から不十分であり、自由で情報提供を受けたうえでの同意というEU一般データ保護規則(GDPR)の同意有効要件の観点で不十分である。
(6) 個人について生成されるプロファイル情報はきわめて詳細で、関係個人が知らないまま、RTBごとに何百もの事業者と共有されている。
(7) 個人データのセキュリティ確保について十分な組織的・技術的対策がとられておらず、個人データの国際移転に伴うデータ保護法の要求についてもほとんど考慮されていない。
(8) 個人データの最小化、保持期間最短化について一貫性がみられない。
(9) 個人データのセキュリティについていかなる保証も与えられていない。

今後、ICOは、さらに情報収集活動を続け、業界関係者、欧州(ヨーロッパ)各国の監督機関と協力しつつ、実用的な規制基準を決めていく方向性を表明した。

欧州主要国であるイギリス、フランスの監督機関がこのような方針を表明したこと、ドイツでは企業のWebサイトにおけるクッキー利用に関する調査が続いていることなどから、欧州では、クッキーおよびモバイルデバイスIDの利用に関する法執行がさらに強化されることが予想される。

関連記事