アドテクとパーソナルデータについての勉強会に出席。

いわゆる“クッキー(cookie)”が、ネット広告エコシステムの中で広告主/広告メディア/エンドユーザーの間をどのように流通し取り扱われているかについて、過去アドテク企業で働いたご経験をお持ちの法務パーソンから、お話を伺いました。その勉強会のお話の中で、特に私が興味を抱いたのがこの図(発表者の方に掲載許可を頂きました。ありがとうございます)。

s-benkyoukai20140913-1s-benkyoukai20140913-2

ネット広告エコシステムの中には、ネット上の様々なサーバーに蓄積されたビッグデータやサイトのログデータなどを一元管理・分析し広告配信の最適化を実現するDMP(Data Management Platform)という存在がいます。そして、このDMPに対し、表示する広告の最適化を目的に、エンドユーザーが使うブラウザのクッキーをKeyにして属性情報に関する問い合わせを行うのが、DSP(Demand-Side Platform)とSSP(Supply-Side Platform)です。そしてそのDSP/SSPは、DMPからの属性情報照会結果(DMPデータ)を使って、RTB(Real Time Bidding)=広告枠の入札/応札を行います。さて、ここで問題となりそうなのが、DSP/SSPがこのDMPデータを意志を持って溜め込んだ場合、個人情報保護法違反またはプライバシー権侵害とならないと考えてよいか?という論点です。

勉強会出席者(主にアドテクではない法務な方々)からは、

・DMPが提供している個々のDMPデータ自体は個人データではないから、第三者提供にもならない
・それをDSPやSSPが溜め込んでも、容易照合性はないだろう
・仮にDMPデータの集積から特定識別できたとしても、個人側に具体的な損害がないのでは
・そもそも、広告事業者側にDMPデータを溜め込むインセンティブはあるのか
・結局は、自己情報コントロール権みたいな話でしょう

と、総じて「それほど問題はないのでは」という反応でした。アドテクに使われているパーソナルデータが内包しうるプライバシー性は理解しつつも、保護法で定義される個人データとは一致しないというところに、これを保護・規制しようとする流れには直ちには首肯できない、といった様子(出席者全員がそうだったわけではありません)。

その一方で、少なくともEUの一般データ保護規則提案では、このような論点が「プロファイリング」問題として取り上げられ、すでに規制される流れになっていると私は認識しています。以下、石井夏生利先生の『個人情報保護法の現在と未来』より引用。

 第20条「プロファイリングに基づく措置」は、現在のネットワーク社会におけるプライバシー・個人情報保護の問題を捉える上で重要性を増している。この権利に違反した場合も、異議申立権違反と同様、最も思い行政的制裁が課せられる(第79条6項(d)号)
 第20条は、次のように定めている。

「1 すべての自然人は、当該自然人との関連で法的効果を生じさせ、又は当該自然人に重大な影響を与える措置であって、当該自然人に関連する一定の個人的側面を評価し、又は、とりわけその自然人の業績、経済状況、位置、健康、個人的嗜好、信頼性若しくは行動を分析又は予測することを意図した自動処理のみに基づく措置に服さない権利を有するものとする。」

 第20条は、自然人に対し、コンピュータ処理を手段としたプロファイリングに基づく措置に服さない権利を有する旨を定めている(1項)。ただし、(a)契約の締結又は履行の過程において実施される場合であって、それがデータ主体の求めによるか、適切な安全保護措置が提示されたものである場合、(b)EU法又は加盟国の法が明示的に権限を付与し、データ主体の適法な利益を保護するための適切な措置を定める場合、(c)データ主体が同意した場合であって、同意の条件を満たし、かつ適切な安全保護措置を講じた場合は適用除外される(2項)。しかし、その場合でも、管理者は、特別な種類の個人データのみに基づく評価を行ってはならない。また、2項の場合にデータ主体へ提供すべき情報には、プロファイリングに関する措置を講じるための取扱いの存在や、当該取扱いがデータ主体に与え得る影響等が含まれる(4項)

また、米国でも、雇用や信用情報をプロファイリングし販売していたSpokeoに対してFCRA(公正信用報告法)違反で罰金を課した実例があります。


発表者の方曰く、

「DMPデータは鮮度も重要なので相当な頻度で更新されているので溜めたところで使えないだろうし、DSP/SSPも、法律に触れないにしてもDMPデータは蓄積すべきではないという考えはもっていて、ほとんどの事業者がプロファイリングを目的としたデータ蓄積はしていないはず。」

とのこと。そうだろうなと思いつつも、例えばヤフージャパンさんのような、大きな集客メディアと人気ある広告枠を持っている企業が、尖った属性情報を持つデータアグリゲーターと提携し、容易照合性が疑われるようなことがあると、日本でもこの論点がもう少し注目を集めることになるのかも。と、ここまで書いて、ヤフージャパンさんが最近データアグリゲーター大手と提携されていたことを思い出したり・・・。


このプロファイリングというキーワード、日本のパーソナルデータ検討会では継続検討課題として大綱にはかろうじて入っているものの、議事次第を追跡すると、鈴木委員以外の委員からは規制をかけることにネガティブな意見が相次いでいた部分でもあり、優先度が低いテーマになっているように見受けられます。が、名簿屋規制というパンドラの箱まで開かれた今、バズワードに育つのも時間の問題のように思われます。

広告という商業活動に無縁な事業者など皆無なだけに、なかなかにヘヴィーなテーマです。
 
タグ :
アドテク
パーソナルデータ
プロファイリング