IAB欧州の基準とGDPRで求められる水準の違い

※免責：筆者は弁護士資格を有していないため、法的なアドバイスではなく英語記事、動画から情報を整理した内容としてご覧ください

デジタル広告を取り巻く環境はクッキーレスから始まり大きく変化し始めてきています。業界団体のIABが発表したTCF（Transparency and Consent Framework）はデジタル広告業界の一つの指針として、新たな大体の広告同意手段として普及してきました。

（動画：Transparency & Consent Framework）

欧州GDPR、ePrivacy法への対応を見据えて開発されたフレームワークは、データを取得する事業者の透明性及び同意管理を効率的に実施するための仕組みとして2018年4月25日（GPDR施行前）にバージョン1が発表され、2019年8月21日には新しくバージョン2が発表されることになります。

バージョン2が発行されて変わったこと

プライバシーテクノロジー企業のOnetrustが運営するメディアCookieProの記事よるとバージョン2に更新されてから以下の点が変更になったと紹介されています。

1. 消費者が選択できる設計

GDPRでは消費者（ユーザー）が企業が実施するデータ処理に対して権利を行使することが認められていますが、消費者が選択できる設計をアップデートを通じて実装しています。

2. データ処理の透明性

消費者が自ら同意した目的に沿ってデータが処理されているか理解し、処理されるべきかを選択できるような設計を実装しています。

3. ベンダーごとの同意管理

ベンダーがそれぞれ設定した許可内容に従ってデータの処理ができるように実装しています。

4. GDPRに準拠したコンプライアンス

IAB欧州はGDPRに準拠したフレームワークを実装しています。

IAB欧州がYoutube上で公開している動画ではバージョン1とバージョン2の違いをよりわかりやすく紹介しています。

（画像：IAB Europe webinar for CMPs & Vendors - TCF v2 0 Release for Public Comment）

IAB欧州がYoutubeで紹介している内容を見ていくと、バージョン2は1と比べてより詳細に目的を設定して設計されていることがわかります。バージョン1では4つの目的に注力して設計されていますが、バージョン2では特別な目的も加えて12の目的に拡張しています。

（画像：IAB Europe webinar for CMPs & Vendors - TCF v2 0 Release for Public Comment）

バージョン2で設定された特別な目的は、それ以外の目的（定期的にデータを取得、処理する際にユーザに関連した内容）とは異なりユーザーとは直接関連性がない目的として設定されています。

バージョン1は発表された翌年にバージョン2が発表されたように、現時点でもTCFはまだ改善途中のフレームワークであり、同意管理を適切に行うための基準がまだ存在していないというのが大きなポイントです。

IAB欧州の基準とGDPRで求められる水準の違い

IAB欧州がフレームワークを準備した背景にはデジタル広告のビジネスエコシステムを透明化していきたい意図も含まれています。これまでのデジタル広告はブラックボックスで個人のデータを処理するケースが多く、Googleが提供するRTB（リアルタイム入札）のようなオークションモデルに対してはデータ保護違反であるという指摘も数多く寄せられていました。

（動画：詳しいRTBの仕組み）

RTBを狙った訴訟案件はGoogleだけに止まらず、セールスフォースやオラクルなどマーケティングツールを展開する企業に対しても行われています。

オラクルとセールスフォースのCookie追跡がGDPR違反の集団訴訟に発展 | TechCrunch Japan

RTB以外に問題になっているのがCMP（同意管理プラットフォーム）と呼ばれるサービスです。

適切に同意管理が行われているかどうかが問題に

（動画：【同意管理プラットフォームとは？】Cookieは個人情報？CMP（コンセントマネジメントプラットフォーム）を調べた）

CMP（同意管理プラットフォーム）はIAB欧州が開発したValidator（承認者）によってTCFの技術仕様に沿っているか確認を行い、技術的な認証を行います。

この仕組みを活用することで事業者はGDPRやePrivacy法に準拠した仕様で利用者から同意を効率的に取得することができるものであると考えられていました。しかし、このCMPサービス自体が果たしてGDPRで求められる実質的な同意に対応したものであるかどうか疑問視されてきています。

特に以下の点が懸念されると、約2年前に私が書いたノートでは紹介しました。

・同意ポリシー情報が不十分である事

・各社のサービスによってバラツキがある事

これ以外にもTCF自体に問題があるとの指摘もあり、IAB欧州が提供するサービス自体が果たして適法かどうかを見ていく必要があります。

TCFへの逆風

TCFを利用する企業及び、開発元であるIAB欧州にとってベルギーデータ保護監督当局の決定は大きなインパクトがありました。

IAB Europeの広告トラッキング同意フレームワークがGDPR規格に適合しないことが判明 | TechCrunch Japan

今回問題になった点は以下のポイントが挙げられます。

1. アプリやウェブサイトを通じてポップアップで同意を取得する際は "personal data” に該当するためGDPRが適応されるということ

2. IAB欧州は“data controller”（データ管理者）に該当するため、管理者として個人データ保護の責務を追うこと

3. RTBを利用してターゲティング広告を配信する場合はサービスを導入している企業とともにIAB欧州も責務を追うこと

4. 上記の点からGDPRの元でIAB欧州が展開するポップアップ同意システムは違法である

という結論に至りました。特にGoogleが採用するRTBではこの仕組みを利用していることもあり、訴えを起こした側からは反発が起こっていました。

最後に

アドテク業界はTCFの取り組みもあり一時期ポップアップ同意を中心とした動きが盛んに広がっていましたが、今回のケースによって大きな見直しが入るのではないかと考えられます。

データ保護をテーマにデジタル広告分野を見ていくことで、今後大きな変化が起きると考えられることと、クッキーレス以上に同意の問題はこれから大きな争点になるかと思うので注目です。

データ保護しつつも、データを利用する事業やプロダクト開発の考え方として「Privacy by Design」と呼ばれる方法があります。これは欧州のデータ保護法のもとにもなっている考え方で、「Privacy by Design」なプロダクト開発も徐々に広がってきています。

デジタルマーケティングを展開してデジタル広告等の活用を進めていく際にも、事前にリスクを検討し評価しておく必要がこれからより注目されていくと思います。

そんな「Privacy by Design」に関心がある方は、気軽にお声がけください👇

Facebookにログイン