仏CNIL、GDPR違反の疑いでネット広告大手Criteoへの査察開始


仏CNIL、GDPR違反の疑いでネット広告大手Criteoへの査察開始

ロンドンに本拠を置く国際的なプライバシー保護活動団体Privacy International(以下「PI」)は、9日、公式ウェブサイトで、PIがフランス保護当局CNILに対して行ったGDPR違反苦情申立に対応し、CNILから、同国に本拠を置く国際的なアドテク大手Criteoに対する公式な査察を開始するとの通知を受けたことを明らかにした。CNILの査察では、リアルタイム入札を中心とするターゲティング広告の実務における透明性、公正性、同意の有効性などの問題点が調査されることになる。

苦情申立の中で、PIは、Criteoなどアドテク大手による消費者のネット行動の追跡・分析をもとにした広告手法について、次のような問題点を指摘していた。苦情申立書は70ページ以上に及ぶので、主な主張だけを紹介する。
■透明性に関する問題
・ 情報源、データ開示先、消費者プロファイリングの方法に関する情報提供が不十分
・ 情報提供が足りないことにより、消費者はGDPR等で与えられたデータ主体の権利を行使することが困難
・ 広告エコシステムの中で関係主体が多数に及び、どの主体に何を求めるべきかが分からず、データ主体の権利行使が困難
■公正性に関する問題
・ 情報源、開示先、分析方法が不透明な個人データ処理はデータ主体の合理的期待を超えるもので、公正とは言えない
・ このような個人データ処理を回避する方法の多くは消費者からの行動(オプトアウト)に委ねられている
・ 分析の結果、消費者が仕分けされるデモグラフィック・セグメントが明らかにされていない
・ 個々の消費者が属するデモグラフィック・セグメントを推論する根拠が明らかにされていないことがある
・ 消費者に関するプロファイルは、広告をターゲットする目的で、不特定の多数の主体に開示されている
・ 例えば求人求職市場において推論されたプロファイルによって得られる情報が異なることは、差別につながる
■適法性に関する問題
・ 同意取得方法において、GDPRが求める同意有効要件(任意、特定、情報提供、曖昧でないこと)を満たさない
・ 同意撤回の手続が極めて複雑
・ 取得されたデータの結合で生じるセンシティブな個人データについてGDPR9条の処理適法条件を満たしていない
・ PIメンバーによるアクセス権行使により、Criteoが健康に関するセンシティブデータを処理していることは明らか
■目的限定原則に関する問題
・ 行動分析によりターゲティング広告を行う、などのプライバシーポリシーでの目的記載は広すぎて、目的限定原則に反する
■データ最小化原則に関する問題
・ Criteoが毎月14億人の消費者行動を取得していることは、目的に照らし、最小限のデータだけを処理しているとはいえない
■データ正確性原則に関する問題
・ データ分析によるプロファイリングは正確でないリスクがあり、これによりデータ主体の権利が侵害されるリスクがある。報告された事例では、死産したばかりの女性に新生児に向けた製品の広告があった

Privacy International の苦情申立書:
https://privacyinternational.org/sites/default/files/2018-11/08.11.2018%20Final%20Complaint%20AdTech%20Criteo%2C%20Quantcast%20and%20Tapad.pdf

関連記事