IABヨーロッパ、ベルギーのDPAからGDPR違反で罰金を科される

IABヨーロッパとは？

IAB（Interactive Advertising Bureau）ヨーロッパは、各国のIAB、メディア企業、ハイテク企業、マーケティング・広告代理店などで構成されるデジタルマーケティング・広告協会です。IABヨーロッパは、各国のIAB、メディア企業、ハイテク企業、マーケティング・広告代理店などで構成されるデジタルマーケティング・広告関連団体で、政治家と広告・マーケティング業界との連携を促進し、ヨーロッパ全体のビジネス発展に役立つ業界標準や慣行を構築することを使命としています。

Transparency and Consent Framework (TCF)とは？

彼らの最大の功績のひとつは、TCFの作成と実施です。TCFは、"業界が業界のために構築した唯一のGDPR同意ソリューション であり、真の業界標準アプローチを実現するものである "と説明しています。

基本的にTCFは、ウェブサイトの所有者が、どのような種類の個人データが収集されているのか、そのデータがどのように処理され使用されるのか、また、どの第三者がそのデータにアクセスできるのかを、訪問者に知らせることができる環境を作ります。また、TCFは、個人データの収集に関するインフォームド・コンセントについての情報を提供する際に使用する共通言語を専門家に提供します。

その目的は、デジタルマーケティングや広告のプロセスに関わるすべての人が、クッキー、ID、その他のトラッキング技術を使用して個人データを処理したり、デバイスに情報を保存したりする際に、GDPRおよびePrivacyに準拠していることを確認できるようにすることでした。

これは、最も広く使用されているリアルタイム入札プロトコルの1つであるOpenRTBプロトコルを使用している企業にとって特に重要であり、ウェブサイト上の広告スペースに入札する広告主にとって重要です。一般のユーザーは、自分たちをターゲットにし、裏でプロセスをコントロールしているこれらのプロトコルやアルゴリズムに気づかないことが多いのですが、ポップアップについてはよく知られています。これらのポップアップやバナーは、通常、同意管理プラットフォーム（CMP）によって運営されており、ユーザーは個人データの収集と使用に同意することができます。TCFは、CMPを介してユーザーの好みを把握するのに役立ちます。

その後、嗜好はTCストリングに保存され、OpenTRBシステム内で他の組織と共有することができます。この文字列は、クッキーとともに、ユーザーのIPアドレスに関連付けられ、ユーザーを特定できるようになります。

IABヨーロッパに対する訴訟

2019年以降、ベルギーのDPAは、IAB Europeについて、TCFとそれがGDPRに違反していることに特化した数多くの苦情を受けています。ちょうど今週、彼らは事件を終結させ、苦情の主張に同意しました。

TCFの使用に基づき、DPAは、IAB Europeが「識別可能なユーザーにリンクされた固有のTransparency and Consent (TC) Stringによって、個々のユーザーの同意信号、異議、嗜好を登録することに関して、データ管理者として行動している」と述べています。これは、GDPRに拘束され、違反した場合には責任を負うことを意味します。続けて、様々なGDPR違反を列挙しました。

• 合法性。IAB Europeは、TCストリングを処理する法的根拠を確立していない。
• 透明性。CMPが提供する情報は、あまりにも一般的で曖昧なため、ユーザーが自分の個人データをコントロールすることが困難である。
• 説明責任とセキュリティ。デザインによるデータ保護およびデフォルトによるデータ保護に沿った組織的または技術的措置がない。
• その他の義務。IAB Europeは、DPOを任命しておらず、DPIA（データ保護影響評価）を完了しておらず、処理活動のログを保持していませんでした。

これらの調査結果に基づき、ベルギーのDPAは、IAB Europeに対して25万ユーロの罰金を科すとともに、これらの違反行為を是正するためのアクションプランを作成するために2ヶ月、それを実施するために6ヶ月の猶予を与えました。また、DPA は、IAB Europe に対し、現在の TCF システムで処理されたすべてのユーザーデータを遅滞なく削除することを表明しました。

IAB Europeはこの決定を不服として、Forbes誌に次のように述べています。「我々は、TCFの文脈において我々がデータ管理者であるとの認定を拒否する。この認定は法律的に間違っており、デジタル広告業界にとどまらず、意図しない大きな悪影響を及ぼすと考えています。当社は、法的な異議申し立てに関して、あらゆる選択肢を検討しています」。

ベルギーDPAの決定の影響について

Google Analyticsに対するオーストリアのDPAの決定と同様に、今回のベルギーの決定も、ヨーロッパと米国に広く影響を及ぼすことになるでしょう。

ベルギーDPAの訴訟会議所議長であるHielke Hijmans氏は、今回の決定について次のように述べています。「現行バージョンのTCFによる個人データの処理（ユーザーの好みの把握など）は、公平性と合法性の原則に反するため、GDPRとは相容れません。ユーザーは同意を求められますが、ほとんどのユーザーは、パーソナライズされた広告を表示するために、自分のプロフィールが1日に何度も販売されていることを知りません。これはTCFに関するものであり、リアルタイム入札システム全体に関するものではないが、本日の我々の決定は、インターネットユーザーの個人情報保護に大きな影響を与えるだろう。ユーザーが自分のデータをコントロールできるように、TCFシステムの秩序を回復しなければならない」と述べた。

ワンストップメカニズムに基づき、ベルギーでの今回の決定は、EU全体で直ちに執行可能です。アイルランド自由人権協会によると、現在、ヨーロッパのインターネットの約80％がTCFに依存しています。IABヨーロッパへの制裁とTCFの使用制限という決定は、現在のデータをすべて削除するという要求とともに、パブリッシャー、広告主、テック企業、そしてグーグルやアマゾンなどの大手テック企業に影響を与えることになります。

多くの広告主は、今後の方向性を模索していますが、パブリッシャーやウェブサイトのオーナーにとっての次のステップは、IPアドレスを追跡したり、ユーザーのデバイスにデータを保存したり、CMPによる同意設定を要求したりしない、cookielessオプションを導入することかもしれません。

ビジターアナリティクスでは、プライバシーを第一に考え、GDPR/CCPAに準拠し、クッキーや同意バナー、データの保存を必要とせずに機能する製品を提供しています。