イギリス監督機関ICO局長がアドテク企業への対応方針を公式ブログに投稿


イギリス監督機関ICO局長がアドテク企業への対応方針を公式ブログに投稿

イギリス監督機関(ICO)の技術・イノベーション担当マクドゥーガル局長が、個人データ保護をめぐるアドテク企業への対応方針をICOの公式ブログに投稿した。

同委員は記事の中で、アドテク業界の個人データ保護の取り組みについて、6月から始まった6ヶ月間の対応期間が終りを迎えたこと、対応期間中に業界団体や利害関係者と幅広い意見交換ができたと評価をしている。一方、アドテク業界のRTB(リアルタイム入札)における特別カテゴリーデータ処理の適法根拠や、処理に対する同意の不備を「深刻に」懸念している。

それらを踏まえ、同委員は以下の三点について、RTBに関係するすべての企業や組織に対応を求めている。
1 広告業界のプラクティスが変化するとともに、業界の(顧客)アプローチにも変化が求められていることを経営層に理解させるとともに、アプローチを見直しさせること。
2 RTBを利用する場合は、プライバシー・バイ・デザインアプローチをRTBに組み込むこと。
3 各企業の業界団体との関係を維持し、法制度の変化に応じて業界の代表者を通じた意見表明の場を確保すること。

記事では最後に、ICOが今後数週間利用可能なすべての選択肢を評価し、ICOの立場と今後取るべき対応に関する更新情報を2020年初頭に提示するとしている。

この投稿の基本にあるのは、広告目的のために個人データを取り扱う業界内部の慣行が、前回の警告から6ヶ月経った後もまだ目に見える改善を示していないという認識である。欧州のデジタル単一市場化にとって、個人データが合法的に取り扱われているという消費者からの信頼が不可欠であるにもかかわらず、個人データの取扱いが不適切なケースは後を絶たない。本年10月にはツイッターが、二段階認証用の電話番号とメールアドレスをターゲット広告に用いていたことを公表した。アドテクやオンライン広告業界の行動主義的なビジネス慣行に対する経営面でのガバナンスが機能していないこと、個人のデータプライバシー保護の制度化が広告業界内で一般化していないことにICOが不満を示しているという側面がある。

ICOは、準備期間として設定した6ヶ月がすでに経過したものの、すぐに違反行為の摘発に動く姿勢を見せておらず、あくまでも業界自身による対応を求める立場である。とはいえアドテク企業側としては、Webに設置したクッキー(Cookie)同意管理ツールが偽の同意情報を送信していたとの苦情がフランス監督機関(CNIL)に申し立てられたりしており、透明性および同意に関するIABフレームワーク(TCF)の同意管理プラットフォームへの実装が滞っているのが現状である。クリスマスを挟んだ年末年始期間中には大きな動きはないと見られるが、2020年の早い時期には監督機関側から何らかの行動が起こされる可能性がある。

Adtech and the data protection debate – where next?
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/12/adtech-and-the-data-protection-debate-where-next/

関連記事