今週、欧州当局は新たな判決を下し、デジタルデータマイニング産業複合体に甚大な打撃を与えました。GDPR成立後にウェブサイトに一斉に導入を強制された、あの煩わしいCookieアラートバナーのほとんどは、実際にはGDPRに準拠していないというものです。申し訳ありません。
ベルギーのデータ保護当局が水曜日に発表したこの判決は、EU最大の広告業界団体の一つであるインタラクティブ広告協会(略称IAB Europe)に対する長年にわたる調査の終盤に発表された。GDPR施行から約1年後の2019年、データ保護当局は、IABが「GDPRの様々な規定に違反」し、同意を求めるポップアップ広告を管理するために策定された技術基準によって無数の人々のプライバシーが侵害されたとして、IABに対する苦情が相次ぎ始めたと報告している。
3年経った今、これらの指摘は正しかったようです。当局はIAB Europeに28万ドルの罰金を科し、データ保護責任者の任命を命じ、2ヶ月以内に技術をコンプライアンスに適合させるよう命じました。また、この違法技術によって収集されたデータもすべて削除する必要があります。
この判決は、当初から醜悪で、しばしば露骨に操作的なCookieポップアップを非難してきたプライバシー保護主義者にとっては朗報だが、必ずしも驚くべきことでもない。IAB Europeは、悪評を先取りしようと昨年11月に声明を発表し、今回の判決は「IAB EuropeによるGDPR違反を特定するものと思われる」ものの、それらの違反は修正可能であり、ベルギーでの判決から数ヶ月はCookie同意バナーの表示が継続されるだろうと述べている。
しかし、この声明は2021年に出された。デジタル広告業界のいわゆる「セルサイド」、つまりデジタルメディアやウェブ上の他のサイトと密接に連携するテクノロジー事業者にとって、この決定は避けられないものだった。私はこうした業界専門家3人に話を聞いたが、IABが業界に及ぼす影響力の大きさゆえに、専門家としての報復を恐れ、全員名前を挙げないよう要請した。
この判決はGDPRが依然として有効であることを示したものの、これらの違反行為がどれほど露骨であったか、あるいは業界内の批判者がどれほど声高に警告を発していたかを説明するには至っていません。簡単に言えば、GDPRがアドテク業界に対し、ユーザーを追跡する前に同意を得るよう求めた際、IABは同意なしにデータが漏れてしまうほど大きな抜け穴のあるガイドラインを提示しました。そして今、こうした行為が公になった今、どうすれば止められるのか誰も確信が持てないようです。
しかし、IAB EuropeがどのようにGDPRに違反したのかを真に説明するのは、アドテク業界の既に非常に複雑な基準を踏まえてもなお複雑です。そこで、ほとんど誰もが理解できる例え話、つまり「最悪なデート」を使って説明したいと思います。
欧州の包括的なテクノロジー関連法を、誰かの悪夢のようなTinder体験と比較するのは突飛に聞こえるかもしれませんが、どちらも同じもの、つまり「同意」を中心に据えています。だからこそ、規制当局はGDPRをプライバシー法の最高基準として擁護するのです。米国のCPRAのような法律では、企業がデータをマイニングした後にユーザーがデータを取り戻すことが認められていますが、カリフォルニア州法では、ユーザーが望んでいたかどうかに関わらず、そもそもマイニングが行われたという事実は変わりません。一方、GDPRでは、サイトがトラッキングを行う前にユーザーの同意を得ることが義務付けられています。これは、まともなデート相手が(願わくば)バーであなたにべったりとキスをする前に、同意を求めるのと同じです。
紙面上では、同意とは二人(あるいは一人の人間とウェブサイト)の間の合意に過ぎません。しかし、Tinderでデートした相手は「同意」の意味について、あなたとは異なる考えを持っているかもしれません。もし相手が「よだれを垂らしましょう」と誘ってきたのに、あなたが笑ってそれを無視したら、相手は「ノー」ではないことを「イエス」と受け取るかもしれません。また、飲み物を勧めてきたり、脅迫して「イエス」を言わせようとしたりするかもしれません。しかし、それは(これはいくら強調してもしすぎることはありませんが)同意ではありません。たとえその瞬間に同意がどのようなものか言葉で説明できなくても、おそらくその感覚は直感的に理解できるでしょう。同意とは、明確で、自由に与えられた「イエス」なのです。
GDPRでもまさにそのように定義されています。サイトがユーザーを追跡するには、GDPR第4条で「データ主体が、自らの意思に基づき、具体的に、十分な情報に基づいて、かつ明確な意思表示をすること」が必要だと定められています。つまり、データ主体が、自らの意思表示または明確な肯定的な行動によって、自己に関する個人データの処理に同意する意思を示すことが必要です。しかも、事前に同意のチェックボックスにチェックを入れる必要もありません。
しかし、その小さなチェックマークは、文字通り、巨大な氷山の頂上にある小さな雪の塊に過ぎません。あなたが訪れるすべてのページには、数社、数十社、あるいは数百社の小さなテクノロジー企業が協力し、あなたが訪れるウェブページから漏洩したあらゆるデータを何らかのターゲット広告に利用している可能性があります。あなたが読んでいるブログに、あの醜いTシャツの迷惑な広告が表示される頃には、その広告スペース(ページ上の広告が表示される場所)をめぐっては、既に数え切れないほどのアルゴリズムによる入札合戦が繰り広げられており、それぞれが巨大テック企業のオリンピックのような技巧を凝らした技となっています。もしこれがこれほどまでに侵略的で不快なものでなければ、むしろ感銘を受けるほどです。
つまり、ウェブトラッキングの仕組みは、バーで一人の男がいやらしいことをしているようなものではなく、いやらしい連中のコンガラインのようなものだ。そして、あなたの同意を得るために、あなたが今出会ったばかりのTinderの男(仮に「デヴィン」と呼ぼう)は、あなたと一緒に列に並び、一人ずつ他の男たちとキスをすることに同意し、初めてキスをすることになるという法的義務を負っているのだ。
「もし私がこの状況のデヴィンだったら、変な友達全員の同意を得るのは諦めて、もっと基準の低い人にちょっかいを出そうと思う」と思うかもしれませんね。でも、あなただけではありません!GDPR発効に先立ち、数え切れないほどのレシピブログ、ニュースメディア、そしてごく普通の個人ブログが、EU規制当局が義務付けようとしているこの一見不可能な基準を見て、ただただパニックに陥りました。彼らを責められるでしょうか?
「ほぼすべてのパブリッシャーが懸念していたのは、これだけの作業を行っても結局は規制当局に追及されるということだった」と、IABからの報復を恐れて匿名を条件に話したあるアドテクエンジニアは語った。「法律の文言では、技術的な方法がどのように機能するのか、何をブロックして何をブロックできないのか、ユーザーにどのレベルのIDを要求できるのか、といった点が明確に示されていなかったのだ」
彼が言うように「具体性が足りず、具体性が高すぎる」法律を解釈して実際に効果を発揮しようとするのではなく、一部の出版社はただ撤退した。GDPR発効直後、EUからアクセスしようとした1,000以上のニュースサイトが突然アクセスできなくなり、その大部分は小規模な地方メディアだったと、当時ある研究者が作成したリストには記されている。これは偶然ではない。ニューヨーク・タイムズとワシントン・ポストは、GDPRによる巨額の罰金に脅かされることなく現状維持できるだけの法務チームと技術体制を維持できたが、地方メディアは既に苦境に立たされていた。
しかし、GDPRの施行後も、EUで運営されている無数のウェブサイトは訪問者の同意を必要としました。そこで登場するのがIABです。多くのアドテクが規制の対象外であるため、この巨大で影響力のある業界団体は、広告主、パブリッシャー、その他すべての企業がプライバシー法に抵触しないよう遵守すべきガイドラインを策定する機関として認められるようになりました。IABとその欧州支部はロビー活動に非常に熱心であり、理想的には、IABはこれらの法律の仕組みと業界がそれらにどう対応できるかを正確に把握しているはずです。
そのため、当然のことながら、IAB Europeは、サイトの運営に支障をきたすことなくユーザーの同意を得たいウェブサイト向けの標準を策定する責任を負っていました。そして、私が話を聞いた業界の専門家によると、彼らは待ち続けていました。2018年4月、つまりGDPR施行の文字通り1ヶ月前に、IAB Europeは新たな標準を発表しました。いわゆる「GDPR透明性・同意フレームワーク」(TCF)です。ウェブサイトは、このTCFによって包括的かつ標準化された方法で同意を取得し、同時に各サイトが連携するサードパーティパートナーにも同意を伝達できるようになると説明されました。
このフレームワークは、率直に言って、ひどい出来栄えでした。批評家が最初から指摘した明らかな問題点がいくつかありましたが、中でも最も大きな問題点の一つは、このフレームワークがサイトに対し、提携するすべてのサードパーティからの同意リクエストを「すべて承認」ボタン一つにまとめることを推奨していたことです。ボタンの下に隠れている膨大な数のパートナーを一つ一つ開示する必要がなかったのです。
つまり、これらのガイドラインは、デヴィンが仲間全員をトレンチコートの中に隠すように指示していたのです。つまり、彼にキスすることに同意するなら、仲間全員にもキスすることに同意するだろうという暗黙の了解です。しかし、現実世界では同意はそうは機能しませんし、GDPRの下でも同意はそう機能するはずがありません。
そのため、欧州の法律が大幅に変更される1か月前にこれらの新しいTCF仕様が発表されたとき、ウェブサイト運営者は、自力でサイトを準拠させるための高額で退屈な法的手続きを実行するか、IABが提示したものに従うかという、かなり厳しい選択に直面しました。
ある大手出版社の広告収入担当者は、IABの基準は法律の文言に固執する一方で、その精神を無視しているように見えると述べた。別の業界専門家は、TCFの基準は出版社が規制を回避できるように意図的に複雑化されているように思われると述べた。
しかし、他に選択肢がなかったため、出版社は渋々ながらもTCF基準に従うことを決断しました。ある専門家が説明したように、プライバシー遵守の不備の責任を負わされるのはIABであり、出版社自身ではないという暗黙の了解がありました。そして、少なくともこれまでのところ、まさにその通りになっています。データ保護当局はIAB Europeに罰金を科しましたが、TCF基準の使用によってGDPRに違反しているにもかかわらず、出版社自身を追及していません。
このフレームワークに従うため、パブリッシャーは「同意管理プラットフォーム」(CMP)と呼ばれるサードパーティ製の広告ソフトウェアを導入する必要がありました。CMPはユーザーから同意を取得し、必要な場所に配信する役割を担います。数十種類存在するこれらのCMPは、「コンプライアンス」のためにIABに登録する必要があります。これには約1,700ドルの前払い料金も必要で、毎年登録リストに掲載されます。
これらのCMPは、サイトに恐ろしいCookieバナーを表示する責任を負っています。サイトからのトラッキングリクエストに対して「はい」または「いいえ」を選択すると、その選択はブラウザに「同意文字列」として保存されます。ブラウザのキャッシュをクリアしない限り(正直に言うと、おそらくクリアするべきですが)、そのウェブページはあなたがアクセスするたびにその文字列を読み込み、サイトへの広告配信に関与する第三者(前述の悪徳業者の集団)に渡します。
しかし、TCFが定めたルールでは間に合わないことがすぐに明らかになりました。そして、TCFの後に作られたCookieバナーは、あらゆる点でGDPRの中核ルールを露骨に違反していました。中には、IABと提携しているすべての企業と、単一サイトにおけるユーザーの同意設定を共有するものや、サイト訪問者にCookieを受け入れる選択肢は残しつつも拒否する選択肢を与えないもの、そして全く機能しないものもありました。
最終的にGoogleを参加させたのは、IABが新たに改良したTCF 2.0でした。これはGDPRの施行から約1年半後に発表されました。すべての変更点についてはここでは触れませんが(変更点についてはこちらをご覧ください)、簡単にまとめると、この新しいフレームワークは、パブリッシャーの権限強化、エンドユーザーのプライバシー保護強化、そして全体的な法的混乱の減少を約束していました。しかし、デジタル広告は年間数千億ドルもの資金が潤沢に動き、法的監視が不十分な分野であるため、悪質な行為者は悪質なままです。ダークパターンはアップデート後も依然として存在し続け、CMPからさらに下流に位置する仲介業者は、これらのCookieバナーを完全に回避するための代替手段を提供し始めました。つまり、GDPRの中核を成す同意の必要性は、もはや考慮されなくなったということです。
極めて忌まわしいシナリオでは、CMPがエンドユーザーからの同意シグナルを偽造し始めました。文字通り、追跡されたくないというリクエストを「はい、追跡してください」と言わんばかりに。当初はIABでさえ誰も確認していませんでした。業界団体が昨年秋に提携ベンダーの監査を開始した後も、アドテク業界以外の研究者たちは、同意詐欺が依然として蔓延しており、悪質な行為を阻止する簡単な方法はないように思われることを発見しました。
この問題についてDigidayに語ったあるアドテク幹部は、「誰もが商業的な動機を持っているため、完全に取り締まるインセンティブを持つ企業は多くありません。法令遵守でボーナスをもらえる人はいません。目標達成でボーナスをもらえるのです。ルールを遵守しているアドエクスチェンジにとって、これは商業的に大きな不利益となるため、フラストレーションの原因となっています。私たちはIABのルールを遵守していますが、それが私たちにとって大きな痛手となっています」と述べています。
彼らのジレンマは、EU内外の規制当局がデジタルデータ産業複合体を統制しようとする試みの縮図と言えるでしょう。規制当局が、誰も実質的に遵守できないほど厳しい基準を設定すると、業界内の有識者たちは、法的要件をすべて満たしつつも、創造性のある人なら通常通りのビジネスを続けられるような独自の対応策を練ります。出版社が文字通り「不正行為が簡単すぎる」と「遵守不可能」の間で板挟みになっている時、彼らはどちらを選ぶと思いますか?
IAB Europeに対する今回の判決は、これらの下流事業者の不正行為そのものには言及していません。むしろ、IAB Europeの劣悪な基準、特にコンセントストリングスを具体的に批判しています。「IAB Europeの主張とは反対に、BE DPAの訴訟部は、IAB Europeが、識別可能なユーザーに紐付けられた固有の透明性と同意(TC)ストリングを用いて、個々のユーザーの同意シグナル、異議申し立て、および嗜好を登録することに関して、データ管理者として行動していると判断しました」と、当局は今回の判決に関する声明で述べています。「これは、IAB EuropeがGDPR違反の可能性について責任を負う可能性があることを意味します。」
これに基づき、欧州委員会はついにIABを、一連の違反行為と称する行為について直接追及することができました。まず、この判決はIAB Europeが「GDPRに基づくこれらの同意文字列の処理について、いかなる法的根拠も示していない」こと、そして収集したデータをGDPR基準に照らして「機密」に保つことを怠ったことを主張しています。さらに、今回の判決は、長年多くの人がCookieポップアップについて抱いてきた不満を裏付けるものとなっています。つまり、ポップアップはあまりにも曖昧で、オプトアウトが難しく、約束された機能を果たしていないということです。
「CMPインターフェースを通じてユーザーに提供される情報は、特にTCFの複雑さを考えると、ユーザーが処理の性質と範囲を理解するにはあまりにも一般的で曖昧です」と当局は書き、GDPRが保証するユーザーによるデータ管理が実際に「困難」になっていると指摘した。
では、次に何が起こるのでしょうか?今のところ、誰も分からないようです。IAB Europeはこの判決について簡潔な声明を発表し、「TCFの市場における継続的な有用性を確保するために、規定の6ヶ月以内に実行される行動計画について、ベルギーのデータプライバシー機関と協力することを楽しみにしている」と述べました。
「以前お伝えした通り、このフレームワークをGDPRの国際的な行動規範として承認を得るため提出することが、私たちの長年の意図でした」とグループは記している。「本日の決定により、その作業開始への道が開かれたように思われます。」まあ、頑張ってください。当面は、EU全体の広告配信市場の重要な部分が…完全に違法化されるという状況に陥るしかありません。少なくとも今のところは。
今後何が起こるかは予測できませんが、アドテク業界は長年にわたり、悪質な行為者を徹底的に阻止するのではなく、隠蔽してきた実績があります。また、悪質な行為者には悪事を続けるための莫大な金銭的インセンティブが与えられていることを考えると、今後も同様の行為が続くと見て間違いないでしょう。オンライン経済の大部分が底辺への競争に陥っている今、立法府がまずそこに踏み込んでくれることを祈るしかありません。
