毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2020年9月10日 
  • タイトル: ソーシャルメディアにおけるターゲティングのガイドライン(前編)
  • 発表者:株式会社データサイン 代表取締役社長 太田祐一

欧州データ保護委員会が発表したガイドライン

欧州データ保護委員会(EDPB:European Data Protection Board)は、一般データ保護規則(GDPR)に基づいて設置され、EUにおける規則の適用や関係機関の連携を推進する組織です。同委員会が2020年8月に発表したのが、「Guidelines on the targeting of social media users」というガイドライン(ver1.0)でした。オープンに意見を公募している段階ですが、こちらの論点をデータサインの太田祐一が解説しました。

EDPBがガイドラインを発行した主たる目的は、SNSと広告主の役割とそれぞれの責任を明確化するため、と記されています。ガイドラインでは個人の権利および自由に対する潜在的なリスクを特定し、適用する重要なデータ保護要件や、SNSと広告主の間の取り決め事項などを取り上げています。

「リスクを網羅的に説明したいのではなく、EDPBが重要視するいくつかのリスクを取り上げ、事例を交えながらデータ保護の観点からどのように解釈し、どのような法的責任が誰に生じるのか、などを記述しています。ただ、きっちりとした線引きをするのが難しいケースもあり、議論を呼びそうです」(太田)

ガイドラインに登場するのは、主に以下4種類のアクターです。

  • ソーシャルメディアプロバイダー(FacebookなどSNSメディア)
  • ユーザー(SNS利用者)
  • ターゲター(Targeters:広告主)
  • その他関連アクター(Other relevant actors)

その他関連アクターに該当するのは、Facebookを例にとると、いいねボタンを設置したWebサイト、Facebookログインなどのソーシャルプラグインを埋め込んだWebサービス、Cookie連携を利用するいわゆるDMP(Data Management Platform)事業者、Facebook Audience Network(すでに一部サービスはFacebookにより廃止)に参加するメディア、といったFacebook経由で集まるデータをもとにターゲティング広告を展開する企業などです。

「いいねボタン」を設置するWebサイト運営者も共同管理者に

ガイドラインでは随所に、欧州司法裁判所の判例が示されています。

1つは、欧州で事業展開するビジネスアカデミー「Wirtschaftsakademie」の判例を挙げています。同社はFacebook上のファンページで自社の教育サービスを勧めていました。判例によると、同社はFacebookとともに、GDPR26条に定める共同管理者(Joint Controller)と見なされ、データ主体の権利保護とGDPR第13条、第14条に記された情報開示の義務履行を透明性の高い方法で行う必要性が指摘されてしています。

もう1つの判例は、自社サイトに「いいね」ボタンを設置した、オンライン小売業を営む「Fashion ID」という事業者のケースです。

「Webサイト運営者が、訪問者のブラウザ経由で訪問者の個人データをFacebookに送信できるようにしていたことで、Webサイト運営者も管理者(コントローラー)と見なす、と裁判所が判断しました。いいねボタンの設置におけるWebサイト運営者側の責任の範囲は日本でも論点になっており、この判例は注目されます」(太田)

データ主体から提供されたデータを用いたケースにおける責任の所在

ガイドラインでは、FacebookなどSNSユーザーが標的にされる際に用いられるデータを3つに区分しています。すなわち、ユーザーから提供された(provided)データ、観測された(observed)データ、推測(inferred)されたデータの3種類、ならびにそれらの組み合わせです。

今回のランチタイムトーク(前編)では主に、ユーザーから提供されたデータについて太田は解説しました。提供されたデータは以下の2つのケースに分けられます。

1つは広告主が、利用者がFacebookに登録した性別等の属性情報を使ってターゲティングをする場合です。もう1つは広告主が、顧客リストをアップロードしてターゲティングする場合です。

「前者は広告主とSNS(Facebook)が共同管理者になります。ポイントは、いいねボタンなどを設置したWebサイト運営者の共同管理者としての責任の発生は、個人データにアクセスできるか否か、を前提条件としていない、という欧州データ保護委員会の見解です」(太田)

一方、後者の広告主が顧客リストをアップロードしてターゲティングする場合では、銀行Xと過去1年間取引をしていた男性(Lopez氏)の事例が示されています。Lopez氏は取引期間中に銀行から提示された、メールアドレスを同氏が利用するサービスの広告に限って利用すること、およびいつでもこの処理に対して異議を唱えられるとの説明に同意しました。しかし、その後銀行はLopez氏のメールアドレスをもとに、同氏が利用していない金融サービスをターゲティング広告する際に利用しました。この場合、銀行(ターゲター)とSNSは共同管理者であると記されています。

「共同管理者である銀行は、同意撤回などに関する管理者側の情報開示義務を果たしたとしても、『データ主体の利益または基本的な権利および自由』が、『ソーシャルメディアプロバイダーとターゲターの正当な利益』よりも優先されると評価された場合、利益の衡量のために考慮されるべき透明性措置ではない、とあります」(太田)※文末補足参照

Lopez氏は、銀行に対して自分のメールアドレスの利用を認めた時点で、6(1)(a)に記されたデータ主体によるデータの取扱いに同意した、といえますが、利用するサービス以外のターゲティング広告に利用されている点で同意の範囲外、目的外利用と見なされます。

さて、今回はデータ主体から提供されたデータに基づくターゲティング広告の解説でした。観測されたデータ、推測されたデータを含むその他の論点については後編として、次回のランチタイムトークでお伝えします。

補足

GDPR第6条、個人データの取扱いの適法性に関する条項の第1項には、管理者が個人データを適法に扱っていると判断される6つの条件(a)-(f)が記されています。

6(1)(a)は、データ主体による同意です。

6(1)(f)には、「管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く」とあります。

『管理者側の正当な利益』と『データ主体の利益並びに基本的な権利及び自由』が比較され、適法性が判断されるということです。

後編はこちら