RTB
ICO
アドテック

英国のデータ保護監視当局がアドテック業界に「冷静に法を守る」よう要請

次の記事

Uber創業者トラビス・カラニック氏が取締役を辞任

英国のデータ保護監視当局がオンライン広告システムのリアルタイム入札(RTB)の無法状態に警告を発してから6カ月後、無策の半年間に区切りをつけるために、当局は広告業界に対して「業界の問題」の解決策を講じるよう求めるブログ記事を投稿した。

欧州の法を軽視するアドテック業界に対してICO(プライバシー監視機関)が送ったクリスマス前のメッセージを読んだ一般読者は、当局が「冷静になって自主規制を進めなさい」と言っているように感じただろう。

しかし事情に詳しい読者で、リアルタイム入札が広告ターゲティングのために人々の個人データを高速に取引きするシステマティックでプライバシーをないがしろにした仕組みだと理解している者なら、そんな自主規制こそが、アドテック業界の絶望的な状態を示していると指摘したいだろう。

それゆえに、同じような組織的失敗を要求しているデータ保護当局には失望するしかない。

ICOの技術・革新担当執行役員のSimon McDougall(サイモン・マクドゥーガル)氏(強制執行とはかけ離れた部門に属している)による控えめな内容のブログ記事には、アドテックの無法者たちに対して「業界団体と協力するように」という崇高な助言が書かれている。

申し訳ないが、そんなやり方でプライバシーが守られる方向に動くとは思えない。あるいはマクドゥーガル氏が言う「イノベーションとプライバシーを融合するソリューション」もだ。

法的問題を解決するために彼が業界に求めているもう1つの非現実的な発想は、アドテック業界で働く人たちに「自分たちのアプローチをレビューする」よう上級幹部に「チャレンジ」を求めていることだ。

たしかに、最近、社員の会社内での積極的な活動は流行している。少なくとも、一部の独占的なIT巨人であまりにもスケールが大きくなりすぎて、強大な弁護士団を擁して社会的行動規範に無頓着になっている会社ではそうかもしれない。しかし、英国のデータ監視当局がアドテックのプロフェッショナルたちに向かって、自分の仕事を全うして法を守るのではなく、上司に伺いを立てることを推奨するのは見るに値するものではない。

もしかしたら比較的最近入局したばかりのマクドゥーガル氏は、自ら率いる「技術・革新」部門の視点から現状を読み取れていないのかもしれない。しかし、最近のICOは強力な武器を持っている。たとえばEU一般データ保護規則の枠組みの下では、重大な違反を犯した組織に対して全世界売上の最大4%の罰金を科すことができる。

さらに、違法なデータ処理を停止させる命令を下すこともできる。しかし、運用型広告が引き起こす大規模なプライバシー違反を阻止する何よりもすぐれた方法は、リアルタイム入札に個人データを使わないように規制することだとは思わないだろうか?

これは、オンライン広告のターゲティングをなくそうという意味ではない。コンテキスト的ターゲティングに個人情報は必要ない。そしてトラッキングをしない検索エンジンであるDuckDuckGoはその方法を使って(利益ができるほど)成功している。これは、極めて不気味でストーカー的なやり方を終わらせようというだけだ。そんなやり方は消費者に嫌悪感をいただけれるだけでなく、社会的悪影響も引き起こす。インターネットユーザーの一括プロファイリングは、差別や弱者からの搾取を助長するからだ。

マイクロターゲティング広告もまた、みなさんご存知のように、民主主義と社会に対する攻撃の温床であり、悪質な誤情報の蔓延を誘発する。

社会的影響の大きさは計り知れない。それなのにICOは、アドテック業界に冷静さを求めて任せているだけのようで、強制執行することなく、ただ年に2回「合法性」に関する「懸念」のリマインダーを発信するだけだ。

To wit: “We have significant concerns about the lawfulness of the processing of special category data which we’ve seen in the industry, and the lack of explicit consent for that processing,” as McDougall admits in the post.

すなわち「我々はこれまで業界で見られた特殊カテゴリーのデータ処理の合法性、およびその処理に対する明示的な同意を得ていないことに対して重大な懸念を抱いている」ことをマクドゥーガル氏はブログで認めている。

「さらに我々は、契約条項に頼ってその後のデータ共有を正当化することが法の遵守に十分であるかどうかについての懸念もある。これを適切に正当化したと思われる事例研究をまだ見たことがない」

「しくじった」というトーンだろうか。

ICOのブログ記事のタイトル「アドテックおよびデータ保護に関するディベート--次はどこへ?」も、矛盾をはらんでいる。業界がデータ保護法を遵守するかどうかに、果たして「ディベート」が必要だろうか?

では、ICOが「リアルタイム入札の利用におけるプライバシーを前提とした設計」(これもブログ記事にある大きな提案)の実装を失敗をし続け、その結果、法律違反が続くことになった時、ICOは何を「実際に」やってくれるとアドテック業界は期待できるのだろうか?

ICOの「今後数週間」の計画についてマクドゥーガル氏が言うには、時間をかけて「集めたすべての情報と一年を通じて行った中身の濃い議論をすべて吸収」してからギアをシフトし、「我々に可能な選択肢をすべて評価する」と言っている。

急ぐ必要はない、ということだろうか?

「次の報告」は「2020年早期」に出てくる予定で、そこでICOの立ち位置が決まるはずだ。3度目の正直なるのだろうか。

聞くところによると、その次期報告には「現在進行中の行動すべて」も含まれるらしいので、何もないまま、ということも考えられる。

「リアルタイム入札の未来は今も存続の危機にあり、関連するあらゆる組織の手にかかっている」とマクドゥーガル氏は書いている。あたかも、当局の強制執行には業界の承諾が必要かのようだ。

英国の納税者が、データ保護当局は一体何のために存在しているのか、不思議に思うのも無理はない。今からの数カ月のうちに、なにか方法を見つけることを期待したい。

関連記事:GDPR adtech complaints keep stacking up in Europe

[原文へ]

(翻訳:Nob Takahashi / facebook