オラクルとセールスフォースのCookie追跡がGDPR違反の集団訴訟に発展

次の記事

企業・自治体がエリア限定で「ローカル5G」ネットを構築できるルーターをシャープが開発、9月以降に提供予定

米国時間8月14日、データブローカー大手のOracle(オラクル)とSalesforce(セールスフォース)による広告のトラッキングとターゲティングのためのサードパーティ製Cookieの使用は、英国とオランダで発表された集団訴訟(クラスアクション)形式の訴訟の焦点となった。

この訴訟では、リアルタイム入札型広告オークションを実施するためにネットユーザーを大量に監視することは、個人データの処理に同意することをめぐるEUの厳格な法律に適合するとは考えられないと主張している。

訴訟当事者によると最終的に主張が認められて勝訴すれば、集団請求は100億ユーロ(約1兆2600億円)を超える可能性があると考えている。

英国では、データの権利に関連するケースで集団的損害賠償を追求するための確立されたモデルがないことを考えると、この訴訟は法的なハードルに直面する可能性も出てくるが、変化の兆しはある。

非営利財団のThe Privacy Collectiveは米国時間8月14日、オランダ・アムステルダムの地方裁判所で1件の訴訟を起こし、オラクルとセールスフォースが第三者のトラッキングCookieにやその他のアドテクノロジーを介した人々の情報の処理と共有において、EUの一般データ保護規則(GDPR)に違反していることを告発した。

このオランダでの訴訟は、法律事務所のBrandeisが主導するもので、GDPR違反に関連した集団訴訟としてはオランダ史上最大となる。この財団は、両社によって個人データが同意と認識なしに使用されたオランダ国民全員の利益を代表することになる。

同様の訴訟が今月下旬、英国・ロンドンの高等裁判所にも提出される予定で、GDPRと英国のPECR(Privacy of Electronic Communications Regulation)に言及することになっている。この裁判は、法律事務所のCadwaladerが主導する。

GDPRの下では、個人データを処理するためにEU市民に同意を得るには、必要な情報を提供したうえで、同意するかどうかを自由に選択できるようにしなければならない。この規則はまた、個人情報のコピーを受け取ることができるなど、個人情報に関する権利を個人に与えられている。

今回の訴訟では、このような要件に焦点が当てられている。テック大手のサードパーティ製のトラッキングCookieであるBlueKaiやKrux、Amazon、Booking.com、Dropbox、Reddit、Spotifyなどの人気ウェブサイトでホストされているトラッカー、その他多数のトラッキング技術が、ヨーロッパ人のデータを大規模に悪用するために使用されていることを主張している。

オラクルのマーケティング資料によると、同社のData CloudとBlueKai Marketplaceプロバイダーのパートナーは、約20億人のグローバルな消費者プロファイルにアクセスできる。なお、TechCrunchが6月に報告したように、BlueKaiはデータ侵害に遭い、数十億件の記録がウェブ上に晒された(未訳記事)。

一方セールスフォースは、そのマーケティング・クラウドが毎月30億件以上のブラウザやデバイスと「相互作用」していると主張(セールスフォースサイト)している。なお、オラクルは2014年にBlueKai(ad exchange記事)を、セールスフォースは2016年にKruxを買収(未訳記事)した。

イングランド&ウェールズの集団代表であり請求者でもあるRebecca Rumbul(レベッカ・ルンブル)博士はTechCrunchとの電話会談で、この訴訟について「オラクルとセールスフォースがウェブサイトに配置したCookieによって自分のデータが処理される方法に、普通の人が本当に十分な情報を得たうえでの合意を与えることができる方法はないと思います」と述べている。

同博士はさらに「Cookieの同期や個人データの集約など、Cookieが動作する可能性のある、おそらくは非常に悪質な方法が多数存在します。かなり深刻なプライバシーの懸念があります」と続ける。

リアルタイムビディング(RTB、Real-Time-Bidding)プロセスは、トラッキングCookieと技術の組み合わせによって、ダイナミックな広告オークションが裏で動いているウェブサイトをユーザーが閲覧しすると、個々のユーザーのプロファイルをリアルタイムにやり取りして、各ユーザーに適した広告をリアルタイムに表示するわけだ。これは近年、英国を含む多くのGDPR関連の訴えの対象となっている(未訳記事)。

これらの訴えは、RTBによる人々の情報の取り扱いが規制に違反していると主張している。なぜなら、個人のデータをほかの多くの組織に配信することは本質的に安全ではないからだ。逆にGDPRでは、そのサイトの設計および初期設定によってプライバシー保護の要件を満す必要があることが定められている。

一方、英国の政府外公共機関であるICO(Information Commissioner’s Office、情報コミッショナーオフィス)は、アドテクノロジーには合法性に問題がある(未訳記事)と1年以上前から認めてきた(未訳記事)。しかし規制当局はこれまでのところ法律に則って対処せず、訴えを放置(未訳記事)してきた。なお昨年、アイルランドのDPC(Data Protection Commissioner、データ保護委員会)は、同様の苦情を受けてグーグルのアドテクについて正式な調査を開始(未訳記事)したが、国境を越えた申し立てについては統一されたGDPRの裁決は出ていない(未訳記事)。

ルンブル博士によればRTBを標的とした今回の2つの訴訟は「セキュリティの申し立てに焦点を当てたものではなく、ユーザーの同意とデータアクセスの権利に関するものがほとんど」とのこと。同博士は、技術の巨人に対してクレームを持ち込むことの「ダビデ対ゴリアテ」(弱小な者が強大な者を打ち負かす)という事情を考慮して、自分たちの権利を行使する方法として規制当局へ苦情を申し立てるよりも、訴訟を起こすことを選択したことを認めている。

「私のような一人の人間がオラクルに苦情を申し立てるために英国ICOを利用しようとしても、オラクルのような大企業に対して一度にすべての問題を申し立てられるほどのリソースを持っているわけではありません」とルンブル博士はTechCrunchに語った。

「この問題を証明するという意味では非常に多くの労力が必要であり、その対価として得られるものは非常に少ないでしょう。集団代表訴訟を採ることで、私は英国でトラッキングCookieなどの影響を受けたすべての人を代表して訴訟を進められます」と続ける。

「今回の賠償金額は、オラクルの資金力や膨大な訴訟のコストを考えると効果があると考えています。単に賠償金を得ることが目的ではなく、このような大規模で公開された場で争うことで、願わくば個人情報の取り扱いに対する業界標準が変化させたいと思います」とルンブル博士。

「セールスフォースとオラクルが今回の戦いに破れた場合、うまくいけばアドテク業界全体に波紋が広がり、非常に悪質なCookieを使用している企業に行動を変えるように促すことができるでしょう」と同博士は付け加える。

この訴訟は、ロンドンの裁判所でのMastercardに対する4600万人の消費者を対象としたWalter Merricks(ウォルター・メリックス)弁護士の集団訴訟にも関わった訴訟ファンドのInnsworth Advisorsが資金を提供している。そしてGDPRは、個人が個人情報について法的措置を取ることを可能にすることで、英国の集団訴訟の状況を変えることに貢献しているように見える。GDPRの枠組みでは、第三者が個人に代わって救済を求める訴えを起こすことを支援することもできるのだ。国内の消費者権利法の改正も、集団訴訟を後押ししているようだ。

Innsworth Advisorsのマネージングディレクターを務めるIan Garrard(イアン・ガラード)氏は声明で「英国での集団訴訟制度の発展とEU、EEA(European Economic Area、欧州経済領域)での集団救済が可能になったことで、Innsworth Advisorsは個人データが悪用された何百万人もの個人のために裁判に訴える資金を投入することができるようになりました」と語る。

英国で進行中の別の訴訟では、グーグルに損害賠償を求めている。この訴訟は、プライバシー設定を歴史的に無視していたSafariユーザーに代わって起こされたものだが、これもまたデータの取り扱いに関連した集団訴訟型の法的措置の可能性を高めている。

裁判所は昨年に訴訟を棄却(未訳記事)したが、控訴裁判所はその判決を覆し、英国とEUの法律はデータ管理の喪失に関連する請求をするために「因果関係と結果的損害の証明」を要求しているというグーグルの主張を退けた。

裁判官は、原告は損害賠償を請求するために「金銭的損失または苦痛」を証明する必要はないと述べ、全員が同じ利益を得ることなく集団訴訟を進めることを認めた。

そのケースについてルンブル博士は「自身が関与している訴訟が英国で進められるかどうかについて、保留中の最終判決(おそらく来年)が影響を及ぼす可能性がある」ことを指摘した。

「私は、英国の司法当局がこの種の訴訟に前向きであることを大いに期待しています。なぜなら、個人情報に関する大規模な集団訴訟を起こさなければ、この種の訴訟全体の扉を閉ざしてしまうからです。この種の訴訟は進められないという法的判断が出た場合、 司法が個人情報の取り扱いについて民間企業にどのように依頼できるのか、どのように考えているかを理解したいと思います」と語る。

ルンブル博士には、アドテクに関与する非常に多くの企業があるにもかかわらず、訴訟がオラクルとセールスフォースに焦点を当てている理由も尋ねた。「私は、これらの企業が必ずしも最悪であるとは言っていませんし、このようなことをしている唯一の企業であるとも言っていません。しかし、彼らは巨大で国際的な数百億ドル規模の企業です。彼らは特に、この分野でのプレゼンスを高めるために、つまり自分たちの利益を高めるために、BlueKaiのようなさまざまなアドテクソフトウェアを買収しています」と説明する。

「一連の買収は、デジタル広告分野に進出して巨大なプレーヤーになるための戦略的なビジネス上の決断だったのです。つまり、アドテク市場においては、彼らは非常に大きなプレーヤーなのです。もし両社をこの件で責任を問うことができれば、業界全体を変えることができるでしょう。これがうまくいけば、より悪質なCookieを減らすこともできるでしょう。両社は巨額の収益を上げているので、被害を被っている多くの人を補償をする余裕があるという意味では、ターゲットにするのに適した企業です」と続ける。

ルンブル博士はまた、非営利財団のThe Privacy Collectiveがオンライントラッキングに関連した被害を経験したと感じているウェブユーザーからの話を集めようとしていることも話してくれた。

これらのCookieがどのように機能するかを示す証拠はたくさんあります(未訳記事)が、それは個人レベルで人々に酷い結果をもたらす可能性があることを意味します。それが個人金融に関連するものであれ、中毒性のある行動の操作に関連するものであれ、要するに何であってもすべて追跡可能で、私たちの生活のあらゆる側面をカバーしています」と説明する。

イングランド、ウェールズ、そしてオランダの消費者に、The Privacy Collectiveのウェブサイトを介して、この行動への支持を登録することを勧めている。

声明の中で、オランダの法律事務所のBrandeisの主任弁護士であるChristiaan Alberdingk Thijm(クリスティアン・アルバーディンク・ティイム)氏は「あなたのデータはEUのデータ保護規則に違反して、最高入札者にリアルタイムで売却されています。この広告ターゲティング技術は、ほとんどの人がその影響や、それに伴うプライバシーやデータの権利の侵害に気付いていないという点でやっかいなものです。このアドテク環境の中で、オラクルとセールスフォースは日常的に欧州のプライバシー規則に違反する活動を行っていますが、責任を問われるのは今回が初めてです。これらの事例は、人々の個人情報から莫大な利益を得ていること、そしてこの説明責任の欠如が個人や社会にもたらすリスクに注意を喚起することになるでしょう」とコメントしている。

「何千もの組織が毎週何十億もの入札依頼を処理していますが、データの安全性を確保するための適切な技術的・組織的な対策に一貫性はなく、個人データの国際的な転送に関するデータ保護法の要件をほとんど、あるいはまったく考慮されていません。GDPRは、個人の権利を主張するためのツールを提供してくれます。集団訴訟は、私たちが受けた被害を集計できることを意味します」と英国の法律事務所CadwaladerのパートナーであるMelis Acuner(メリス・アクナー)氏は、別の支援声明の中で付け加えている。

この訴訟についてTechCrunchは、オラクルとセールスフォースにコメントを求めた。

オラクルの副社長兼法務顧問のDorian Daley(ドリアン・デイリー)氏は以下のコメントを残した。

The Privacy Collectiveは、故意に事実の意図的な虚偽表示に基づいて無益な訴訟を起こしました。 オラクルが以前にThe Privacy Collectiveに伝えたように、オラクルはリアルタイム入札プロセス(RTB)で直接の役割を果たしておらず、EUにおけるデータフットプリントも最小限に抑えられており、包括的なGDPRコンプライアンスプログラムを実施しています。このようなオラクルの取り組みを説明をしたにもかかわらず、The Privacy Collectiveは悪意を持って提訴された訴訟を通じて賠償金を請求することを決定しました。 オラクルは、これらの根拠のない主張に対して強い姿勢で臨みます。

セールスフォースの広報担当者は次のようなコメントを残した。

セールスフォースでは、信頼が第一の価値であり、企業の顧客のデータのプライバシーとセキュリティほど重要なものはありません。当社は、プライバシーを最優先に考えてサービスを設計・構築しています。法人顧客には、EUのGDPRを含む適用されるプライバシー法の下で、顧客自身のプライバシー権を保護するための義務を遵守するためのツールを提供しています。

セールスフォースと別のデータ管理プラットフォームプロバイダは、The Privacy Collectiveと呼ばれるオランダのグループからプライバシー関連の訴えを受けました。この訴えは、Salesforce Audience Studioサービスに適用されるもので、ほかのセールスフォースのサービスとは無関係です。

セールスフォースは、The Privacy Collectiveの今回の申し立てに同意せず、正当性がないことを証明したいと考えています。

当社の包括的なプライバシープログラムでは、顧客のプライバシー権を保護するためのツールを提供しています。当社が法人顧客に提供しているツールと当社のプライバシーへの取り組みの詳細については、salesforce.com/privacy/products/をご覧ください。

関連記事:英国、新型コロナ危機で広告業界に対するプライバシー侵害調査を一時見合わせ

カテゴリー:セキュリティ

タグ:オラクル セールスフォース GDPR

画像クレジット:Getty Images

原文へ

(翻訳:TechCrunch Japan)