ページを見ると最初に表示されるあの「同意を求めるポップアップ」のIAB Europe版がGDPR違反だと指摘される

ヨーロッパにおいて、ウェブサイトを訪れたユーザーの個人情報利用について同意を求めるポップアップは、IAB Europeという広告機関を中心にそのフレームワークが策定されました。このフレームワーク「TCF」がヨーロッパの「EU一般データ保護規則(General Data Protection Regulation)」に違反するとして、IAB Europeに約3200万円の罰金が科されています。

GDPR enforcer rules that IAB Europe's consent popups are unlawful - Irish Council for Civil Liberties
https://www.iccl.ie/news/gdpr-enforcer-rules-that-iab-europes-consent-popups-are-unlawful/

APD Ruling Clears Way For Work on Developing TCF into a Formal GDPR Code of Conduct: IAB Europe Statement on the APD Decision Announced Today – IAB Europe
https://iabeurope.eu/all-news/apd-ruling-clears-way-for-work-on-developing-tcf-into-a-formal-gdpr-code-of-conduct-iab-europe-statement-on-the-apd-decision-announced-today/

テクノロジーの進化とともに、企業によるインターネットユーザーのプライバシー侵害が問題視されるようになり、2016年にヨーロッパではGDPRが制定されました。GDPRの施行によって企業のオンライン活動が規制されるようになり、特に広告を運用するメディアやアドテク企業は大きな影響を受けました。

そして2022年2月2日新たに、ベルギーのデータ保護機関が広告エコシステムの協会であるIAB Europeに対し、「プライバシー法に違反するターゲティングツールを開発した」として25万ユーロ(約3200万円)の罰金を科したことがわかりました。IABは「Interactive Advertising Bureau(双方向広告業界団体)」の略であり、主にオンライン広告の技術的標準規格を策定するほか、動向調査や法整備などを行っています。

問題となっているのは「Transparency＆Consent Framework(TCF／透明性と同意の枠組み)」と呼ばれる、IAB EuropeとIAB Tech Labが策定したフレームワーク。ウェブサイトの運営者はウェブサイトを訪れたユーザーについての情報を取得することになりますが、GDPRではこの情報の利用についてユーザー本人の同意を必要とします。TCFはこの同意がどのようなプロセスで行われるのかを定めたもの。

ベルギーのデータ保護機関は調査の結果、TCFは「個人データの機密性や安全性を確保できない」「人々に何が起こるのかという透明性を提供しない」といった理由からGDPRに違反していると判断しました。

TCFは広告の仕組みであるリアルタイムビッディング(RTB)の促進を目的としています。広告企業であるGoogleはRTBにおいても中心的な役割を果たしますが、その慣行が不適切だったとして独占禁止法で調査されています。

Googleが自社広告を不当に優先させたとして独占禁止法違反の疑いの「プロジェクト・バーナンキ」についてさらなる詳細が明らかに - GIGAZINE

IAB Europeはこれを受けて「ベルギーデータ保護機関の決定を受け入れます」「この決定にはTCFの禁止が含まれていないこと、そしてGDPR違反と判断された行為が過去6か月の間で改善されたと当局が認めていることに注意してください」と声明を発表。一方で「IAB Europeがデータについて責任を負う」とする当局の決定については「TCFの文脈において私たちはデータ管理者ではありません」と否定。この決定がデジタル広告業界をはるかに超えた重大かつ意図しない悪影響をもたらすとして、法的な異議申し立てを検討しているとのことです。