同意ポップアップは違法？

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

• 配信日：2021年11月18日
• タイトル： 同意ポップアップは違法？
• 発表者：データサイン 代表取締役社長 太田祐一

データ保護当局 vs. アドテクギルドの戦いにピリオド？

「2021年11月5日、我々は勝利した（We have won.）」――。勝どきを上げるのはデジタル広告における欧州市民のプライバシー保護を掲げるアイルランドの非営利団体ICCL（Irish Council for Civil Liberties）です。広告ブロック機能などを持つオープンソースのブラウザ「Brave」の開発コミュニティメンバーが主要メンバーに名を連ねる組織です。そちらのウェブサイトによれば、広告業界団体IAB Europeが容認する「同意」ポップアップシステムがGDPR（一般データ保護規則）を侵害していることをベルギーのデータ保護当局（Belgian Data Protection Authority：ベルギーDPA）が認める決定案の採択が近づいているそうです。こちらの内容についてデータサイン 代表取締役社長 太田祐一が解説しました。

ICCLのサイトに掲載された情報によると、アドネットワークにおける（RTB：Real-Time Bidding）と呼ばれるトラッキングベースのデジタル広告入札システムでは、インターネットユーザーの行動や現実世界の位置を１日に何十億回も、何千もの企業に対してブロードキャストされているため、「RTBは過去最大のデータ漏洩」であると主張しています。

一方、IAB Europeが反論するのは、TCF（Transparency and Consent Framework）2.0の有効性です。

「私（太田）があるニュースサイトにアクセスし、TCF2.0に基づくIDの広告利用に同意すると、広告を表示したい広告主が参加する広告枠のオークションシステムに対し、サードパーティーCookieに紐づく私のIDを含む電文が一斉に配信（ブロードキャスト）されます。配信は、ニュースサイトが利用する広告配信側のプラットフォーム（SSP）から、SSPと提携する広告主側のプラットフォーム（DSP）へ行われます。DSPはDMP（利用者の属性を個人が特定されない形で収集・蓄積・活用するためのプラットフォーム）のデータや自社で保有するデータなどと照合してユーザー（太田）が興味を持ちそうな広告を表示する広告枠を購入する入札に参加するかどうか決めます。入札した場合、最高値を提示した広告主が落札して広告を表示することができます。これら一連のやりとりが瞬時に行われるオークションはRTBと呼ばれています。2010年頃からエコシステムが作られ始め、今日では全貌把握が困難なほどカオスなアドネットワークを形成しています」（太田）

アドテク事業者はデータのコントローラーか、プロセッサーか

2018年にGDPRが成立し、EUではCookie　IDを含むブラウザ識別子の利用にはユーザーの同意取得が必須になりました（日本では2021年時点でオンライン識別子は個人関連情報の扱いで個人情報の範疇ではありません）。するとRTBを容認するIAB Europeは、メディア側（ニュースサイトなど）が表示する同意ポップアップに対して一度ユーザーの同意が得られればその情報をRTBに参加する多数のSSPやDSPと瞬時に共有し、同意の状態を連携する仕組み（TCF2.0）を考案しました。そしてIAB Europeは、TCF2.0はGDPRに抵触しないと主張し、ICCLやデータ保護を推進する当局側と、IABヨーロッパに代表されるアドテク業界の間の溝は深まります。

争点の1つが、SSPやDSPがデータプロセッサーなのか、データコントローラーなのか、ということです。

「データコントローラーとはいわばデータの管理責任を負ってユーザーの同意取得の主体となるべき人、データプロセッサーとはデータの処理だけ担う人です。IAB側の認識では『ユーザーが接するメディア側がデータコントローラーで、SSP/DSPなどアドテク事業者はデータプロセッサーにすぎない』ようですが、実態はそうでしょうか。私見ですが、Cookie IDに紐づくSSPIDやDSPIDを広告に用いるSSPやDSPは実質的には、同意取得の主体となるべきデータコントローラーと思います」（太田）

サードパーティーCookieを代替する識別子を用いたとしても各事業者が同意取得の主体となるかどうかは大切な論点です。

欧州各国のデータ保護当局の対応に注目

さて、数年にわたる主張が正しかったと“勝利宣言”を出したICCLですが、今回決定された内容はあくまでワンストップショップメカニズムに基づくドラフト決定です。つまり今後、欧州の他のデータ保護当局と共有され、最終的な決定を下すかどうかのプロセスが残っています。欧州各当局の対応に注目が集まります。

なお、この日のランチタイムトークでは、英国個人情報保護機関（ICO）がG7各国のデータ保護およびプライバシー当局に、ウェブサイトのCookie同意ポップアップの見直しに協力するよう呼びかけたニュースも話題に上りました。