毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2020年9月24日 
  • タイトル: ソーシャルメディアにおけるターゲティングのガイドライン(後編)
  • 発表者:株式会社データサイン 代表取締役社長 太田祐一

観測データによるターゲティング

欧州データ保護会議(EDPB:European Data Protection Board)が2020年8月に発表した「Guidelines on the targeting of social media users」(ver1.0)におけるポイントは何でしょうか。前編では、データ主体から提供された(provided)データに基づいた、カスタムオーディエンス機能を含むターゲティング広告を中心に、データサインの太田祐一が解説しました。後編では、観測された(observed)データ、推定された(inferred)データ、その他の論点にフォーカスします。

同ガイドラインでは、観測データによるターゲティングについて「ゴルバニ夫人(Mrs. Ghorbani)」のストーリーを例に、共同管理者(joint controller)および法的解釈がなされています。

ゴルバニ夫人はソーシャルメディアプラットフォーム(端的にはFacebook。以下、同様)に登録する際に、「いいね!」ボタン(※)やピクセルタグ(広告主のサイトに埋め込まれたプログラムコードでFacebookがブラウザ上でのユーザーの行動を検知することができる)で行動履歴が収集され、また共同で責任を負う他の主体が関与している事実を明確に説明された。また、収集されたデータがターゲティング広告に利用されることに対して同意するかどうか尋ねられ、彼女は同意した。その後、彼女は、「いいね!」ボタンが組み込まれているサイト「Thelatesthotnews.com」を訪れた際に、ソーシャルメディアプラグインによって彼女の個人データをFacebookに送信することについて同意を求められた。この時、「Thelatesthotnews.com」運営者は、彼女が同意するまで個人データがFacebookに送信されないようにする技術的な措置を講じていた。

この事例では、Fcdebookと、「Thelatesthotnews.com」は共同管理者となります。そして、Cookieや「いいね!」ボタンを設置する場合には、ユーザーの同意取得が必要であること、そして同意が完了するまでは、個人データがFacebookに送信されないように技術的な措置を講じるといった対応が、Webサイト運営者に求められています。

さらにガイドラインにはGDPR第5条(3)、すなわちePrivacy Directiveの要件も考慮しなければならないと指摘されています。

「たとえば、Cookieの使用がサービス提供者により、『事前に(デフォルトで)チェックされたチェックボックス』によって許可されている場合、ユーザーは同意を拒否したい時に選択(チェック)を解除しなければなりません。このやり方では、同意は有効に成立しないと見なされます」(太田)

ガイドラインではまた、Webページのスクロールやスワイプおよび類似の操作は曖昧さが残るため、いかなる状況においても、明確で肯定的なアクションの要件を満たしていないとしています。つまり、「このページを見続けたならば同意を得たと見なす」は通用しないとEDPBは述べています。

推定データによるターゲティング

推定データ(プロファイリング)よるターゲティングでは、「レオン氏(Mr. Leon)」のストーリーが示されています。

レオン氏は自身のFacebookのページで、スポーツに興味があることを示している。彼はまた、いくつかのオンラインギャンブルのWebサイトも訪れている。Facebookは、レオン氏が利用する複数のデバイスでのオンライン行動を追跡している。彼の行動と提供された情報に基づいて、Facebookは、彼がオンライン上の賭け事に興味を持つだろうと推定し、衝動的に行動する傾向のある低所得者層を標的にするようなターゲット基準を開発した。オンライン賭博会社の「bestpaydayloans」社は、賭け事に興味あるユーザー、大儲けを目論むユーザーを標的とするため、このターゲット基準を利用して広告を配信する。

推定データを用いるターゲティングでは、広告主とFacebookは共同管理者になります。これは、(前回ランチタイムトークで説明した)データ主体から提供されたデータ(利用者がFacebookに登録した性別などの属性情報)を用いて広告主がターゲティングするケースと同様です。

「ただ、Facebookが行うプロファイリングがデータ主体に対して、重要な影響を及ぼす可能性がある場合に、GDPR 22条(プロファイリングを含む個人に対する自動化された意思決定)が適用される可能性があります。つまり、ユーザーの明示的な同意が必要です。しかし、同意が得られても、GDPR第5条(個人データの取扱いと関連する基本原則)に規定される公正性、必要性、比例性(proportionality)、データの質の要件を遵守する義務が軽減されるものではありません」(太田)

データ保護影響評価(DPIA)も共同管理者が対応すべし

ガイドラインでは、GDPR第35条、すなわちデータ保護影響評価(DPIA:Data Protection Impact Assessments)について記載があります。

政党「Letschangetheworld」は来たる選挙で、特定の政治候補に投票するようにFacebook利用者に奨励したいと考えている。政党のターゲットは、田舎に在住する、教会に定期的に通い、過去2年間海外旅行をしていない高齢者を想定している。

この場合、政党とFacebookが、プロファイリングとターゲティング広告表示において共同管理者になります。この例では、ターゲティングに関する技術を含めて高い知見を有するFacebookが処理作業について影響評価を行うこと、とされています。

「この例では、Facebookと政党がともに、開示できる範囲で、また脆弱性を露呈することなく、自らニーズを表明し、有用な情報を共有すべきである、と記されています。

どのようなデータを使うかだけでなく、何を広告するか、つまり広告された製品やサービスの性質、メッセージの内容、広告の配信方法などが個人に影響を及ぼす可能性がある場合、DPIAが必要となります」(太田)

さて、こちらのガイドライン(ver 1.0)は、2020年10月19日までパブリックコメントを募集しています。どのようなガイドラインになるのか、またするべきか、Web 担当者やマーケターの皆様もぜひご覧ください。


「いいね!」ボタンとアカウントおよびCookieの関係について、Facebookのヘルプセンターには以下の記述があります。

「アカウントを所有しているか、facebook.comにアクセスしたことがあるためにFacebookのCookieが保存されている場合、あなたが[いいね!]ボタンや他のソーシャルプラグインが実装されたサイトにアクセスする際に、ブラウザからFacebookにこのCookieに関する情報が送信されます」

前編はこちら