欧州ではクッキーバナーは違法なのか？

ターゲティングとクッキーバナーのためのセントラルモジュール違法

広告会社がGDPRの同意をオンラインで収集するために使用している技術基準は違法である。メディア企業だけでなく、GoogleやAmazonなどの業界大手にも大きな影響を与える可能性があります。

ベルギーのDPAは何を決定したのか？

ベルギーのデータ保護当局APDは、クッキーバナーの中央メカニズムが欧州一般データ保護規則（GDPR）に違反するとの判断を下しました。この決定は、いわゆるワンストップ手続きで行われました。つまり、EU全体に適用される。この手続きは、アイルランド自由人権協会をはじめとする欧州の市民権団体の申し立てに起因しており、欧州の広告業界にとって大きな打撃となる可能性があります。

この決定について、詳しくはこちらをご覧ください。

データ産業への厳しい打撃

アイルランド自由人権協会のジョニー・ライアン博士は、「これは長い戦いでした」と述べ、「今日の決定により、何億ものヨーロッパの人々が、同意スパムや、最も親密なオンライン活動が何千もの企業によって回されるという深い危険から解放されます」と述べています。

クッキーの同意とターゲット広告はどのように機能するのですか？

クッキーの使用許諾

インターネット上のターゲティング広告は、次のような仕組みになっています（簡略化した説明）。ターゲット広告のためにクッキーのトラッキングを使用しているウェブサイトへのすべての訪問は、広告のプロバイダ間のオークションをトリガーします。ユーザーのプロファイルやその他の要素に基づき、どの広告を表示するか、数ミリ秒のうちに決定されます（＝リアルタイム入札）。

リアルタイムビッディング

このリアルタイム入札（RTB）が機能するために、広告会社は現在ウェブサイトを閲覧している人について多くのことを知りたいと考えている。年齢、性別、興味、閲覧したウェブサイト、居住地、購買力などだ。このデータをもとに、ユーザーが最もクリックしやすい最適な広告を表示するのです。

**ターゲティング広告の禁止**を求める理由はこちら。

同意なしのトラッキング？

しかし、GDPRの下では、このようなトラッキングは、ユーザーが同意した場合にのみ許可されます。広告協会IABヨーロッパのTransparent and Consent Framework (TCF)では、この同意を求めていると思われます。ユーザーが「cookieを受け入れる」をクリックするか、またはデータの使用がプロバイダーの正当な利益であることに異議を唱えない場合、TCFはいわゆるTCストリングを生成します。この識別子は、個々のプロフィールを作成するための基礎となるものです。そして、そのプロフィールは、表示される広告と照合するために使用されます。その際、TCストリングはOpenRTBシステム内の何百ものパートナーに転送される。

広告業界全体が（ターゲティング広告について語る場合）TCストリングをベースにしており、オンライン広告のエコシステムにおいて最も重要な規格となっています。

今回の決定は、広告業界にどのような影響を与えるのでしょうか？

今回、ベルギーのAPDは、TCストリングを何百ものパートナーと共有することは、一般データ保護規則に違反すると決定しました。監督官庁によると、広告主がインターネット上のターゲット広告の同意を集めるために使用しているシステムは、合法性と公平性の原則に準拠していないとのことです。

ベルギーAPDは、その裁定において、TCFの仕組みを開発・運営している広告協会IABヨーロッパに対し、25万ユーロの罰金を科しました。さらに、IABはすでに収集した個人情報を削除しなければならない。しかし、それ以上に重要なのは、APDが広告業界に課している「透明性と同意の枠組み」の使用を継続するための条件である。

何千ものウェブサイト運営者、ほとんどすべてのオンラインメディア、そしてGoogleやAmazonなどの大手広告会社は、広告目的の個人データ処理に対するユーザーの同意と思われるものを伝えるために、この仕組みを利用しています。

ベルギーAPDの訴訟部会長であるHielke Hijmansは、次のように述べています。

「しかし、ほとんどの人は、パーソナライズされた広告を表示するために、自分のプロフィールが1日に何度も販売されていることを知らないのです。今回の判決は、リアルタイム入札システム全体ではなく、TCFに関するものですが、インターネットユーザーの個人情報保護に大きな影響を与えるものです。TCFのシステムに秩序を取り戻し、ユーザーが自分のデータをコントロールできるようにしなければならない。"

今回の決定がインターネット上の広告システム全体に直接影響しないとしても、ウェブユーザーの個人情報保護に大きな影響を与えるだろうと、Hijmansは言う。

なぜこの決定が重要なのか？

ベルギーのデータ保護当局は、広告のプロフィールだけでなく、ターゲット広告に使われるTC文字列も個人情報であると主張する。この文字列は、IPアドレスと組み合わせることで、あらゆるユーザーを特定することができます。

その結果、IABヨーロッパは、TC文字列の生成に使用されるTCFプロトコルでGDPRに違反している。さらに、データトラッキング（Cookie）に対するユーザーの同意は、そもそもそのような同意を求めるだけの十分な正当な利益がウェブサイト所有者にないため、有効ではありません。

当局は、トラッキングに基づくリアルタイム入札広告には高いリスクが伴うため、ユーザーの正当な利益は広告会社の正当な利益を上回ると主張しています。

さらに、同意を与える際にユーザーに提供された情報は、特にトラッキングベース広告の複雑さを考慮すると、ユーザーがデータの処理の性質と範囲を理解するには、あまりにも一般的で漠然としていた。

今後どうなるのか？

この決定は、トラッキング広告を使用しているパブリッシャーやマーケティング会社に直ちに影響を与えるものではありません。

今のところ、この決定は、TCFプロトコルのプロバイダーである広告協会IABヨーロッパにのみ影響を与えます。

今後、2つの大きな展開が予想されます。

1. より多くの情報。同意の前にユーザーに提供される情報は、今後より具体的で曖昧なものではなくなります。

2. この決定のもう一つの帰結は、今後、企業がデータ処理の法的根拠として「正当な利益」を主張することが困難になることです。その場合、唯一の法的根拠は、ユーザーの同意となります。

最初の結果は？グーグルの新しい「すべてを拒否する」ボタン

欧州当局が顧客の権利をより厳格に適用する最初の兆候は、Googleが ついに自社のCookieバナーに「すべて拒否」ボタンを追加したことである。

2022年4月までは、「すべてを拒否する」ボタンがないため、グーグルによるクッキーの追跡を制限することは非常に面倒でした。

プライバシー保護ファンへの朗報

データ保護を重視するインターネットユーザーにとって、ベルギーのDPAがクッキーのバナーを違法とする決定を下したことは、非常に良いニュースです。

まず、アドテク企業は、TCFの仕組みを通じて収集したユーザーデータを削除しなければならないからです。

第二に--そしてもっと重要なことだが--ベルギーのデータ保護当局の決定により、パーソナライズド広告のシステム全体が覆される可能性があることだ。

そうなれば、ついにターゲティング広告に終止符が打たれるかもしれない。