新型コロナウイルスは、アドテック業界に思いがけない幸運をもたらしている。
英国のデータ保護規制当局はアドテック業界によるインターネットユーザーの個人情報の処理に対する調査を一時的に停止した。COVID-19の大流行によって事業に混乱がもたらされているため、対象となるプライバシー監視の一時停止は有益であるとしている。
情報コミッショナー事務局 (Information Commissioner’s Office:ICO)によるアドテック業界の慣行に対する調査は、2018年に当局に寄せられた、プログラマティック広告のリアルタイム入札に伴う体系的で大規模な個人データの高速取引に対する苦情に関連するものである。
それ以来この問題についてはEU全域で多くの苦情が申し立てられており、「現在までに記録された中で最大の個人データの漏洩である」と言われている。
これらの苦情が最初に申し立てられたのは英国のICOに対してであったが、この苦情は未だに解決されていない。
そして、今後もさらに待ち続けなければならない…
We (I and @jimkillock and @mikarv) have just received this remarkable e-mail. For 2 years the ICO (UK privacy watchdog) @ICOnews still has failed to use its powers to end the enormous (and on-going) RTB data breach which leaks UK citizens’ online habits to 1000s of companies. pic.twitter.com/8yLtgTOfYF
— Johnny Ryan (@johnnyryan) May 7, 2020
苦情申立人の1人、 BraveのJohnny Ryan(ジョニー・ライアン)博士は、彼が監視機関に継承を鳴らして以降、2年に渡り監視機関がなんらの規制も行わなかった事を「大変な驚き」と表現した。
「規制当局は、調査も含め、同局の持つ法的強制力を行使できていません」とライアン氏はTechCrunchに語った。「これは執行どころの話ではないのです。彼らの無策には驚くほかありません」
「これは驚愕に値します。私は英国における最大のデータ侵害であると申し立てていますが、これに対し誰かが異議を唱えるのを聞いたことはありません。この巨大な違反は日々継続しているのです。RTBによる膨大なデータ侵害はすでに終息した単独の出来事ではなく、繰り返されることで害は絶えず蓄積されています」
TechCrunchからもICOに対し、アドテックに対する調査見合わせの決定について問い合わせを行った。問い合わせには、高度な業界プラットフォームによる侵害に対し、英国市民は自らのデータに関する権利が守られていることをどう確信したらよいか、という質問を含めた。
規制当局は我々の質問には答えず、かわりに次のような一般的な声明を送ってきた。
ICOは先日、COVID-19の感染拡大を受け、その間の規制手法に関する提示を行い、その中で当局の優先事項とリソースの再評価についてお伝えしました。
これを念頭に、当局ではリアルタイム入札およびアドテック業界への調査を一時的に見合わせる決定を行ったものです。
現状においては、どの業界に対しても過度の圧力をかけることは避けたく思っております。ただしアドテックに対する懸念が解消されたわけではありませんので、当局では、適切なタイミングで数か月以内に調査を再開することを目指しております。
規制当局がこの苦情に関し、アドテック業界に対し「一時的休息」を与えるのは今回が初めてのことではない。
実際、今までに数々の「警告」が発せられ、穏やかな文言が並ぶブログ(これや、これ、それにこれのような)が投稿される期間がそれに続いた。規制の執行は、というと、皆無なのである。
一方、EU一般データ保護規則 (GDPR)は今月末で2歳になる。つまり、更新されたフレームワークが適用されることになってから、丸2年が経過する。
多くのプライバシー専門家や運動家は、市民のデータへの法的保護措置に対して行われた最も重要なアップデートに伴って実施された規制執行(1995年にまで遡る)の量と質に疑問を投げかけている。
ライアン氏は、ICOによる規制放棄はEUデータ保護体制全般の成功を反映していないと述べ、英国の規制当局はEUに加盟する(ブレグジット後の)27カ国の中で最も豊富なリソースを持った機関であると指摘した(ブレグジットの移行期間が終了するまでは英国は加盟国と見なされるので、現時点で英国は実質上は加盟国である)。
「EUのデータ保護において最大かつ最も資金に富んだ規制機関が、自国が今まで経験した中で最も大規模なデータ侵害を取り締まることができないとしたら、GDPRは一種の集団妄想なのでしょうか?それともこれは英国に限定された出来事なのでしょうか?」とライアン氏は述べた。
ライアン氏が指摘するより大きな問題とは、ブレグジット後に英国がEUの企業との間で今までのような自由なデータ交換を望む場合、欧州委員会にデータ保護の「妥当性合意」を要請する必要があることである。
英国が欧州委員会に対し、EUからの個人情報が自由に流れてもよい安全で適切な第三国と見なすように要請した場合、EU側で検討すべき事項の1つは、そうした個人データを保護する規制機関があるかどうか、ということです。現時点での答えは『ノー』でしょう。英国には欧州市民の個人データを保護することのできる規制機関はないのです」とライアン氏。
「ICOの無策はブレグジット後に影響をもたらします。 これにより英国経済の非常に多くの分野に影響が出るでしょう」と彼は警告した。
ライアン氏を雇用するブレイブは、プライバシーの保護を重視するウェブブラウザを製作しているが、最近欧州委員会に対しEU加盟国を相手取り、自国のデータ保護機関に対し十分なリソースを与えていない政府を非難する報告書を提出し、委員会に対し侵害訴訟を開始するよう要請した。
「ICOでデジタル分野を専門に扱う人員がわずか3%に過ぎないのは一体なぜなのでしょう?」とライアン氏は続ける。「侵害の3%以上がデジタルであり、生活の3%以上がデジタルで占められているのは明白です。ICOは、我が国がデジタル移行の初期段階にあるという誤った認識の元に人員を配置しているのです。ICOはこの十年に対応できる規制機関ではなく、その人員配置は前世紀向けのものです。ICOに大きな管理上の問題があることは明確です。彼らはデジタルの問題を規制することを望まない、あるいはできないように見受けられます。ICOは目的に合わせて体制を整える必要があります」。
「彼らは依然として印刷物ベースの世界に生きているのです。私たちは印刷物ベースではない、私たちの生活のあらゆる側面に影響する問題を彼らに切実に突きつけています。もちろん、これには前回の選挙が含まれます。そしておそらく次の選挙でも…ですから、ICOがデータ保護を適切に行えていないという事実は、あらゆるレベルでの大きな問題なのです」。
ブレグジットの結果、他のEU規制当局が、例えば現在EU外の法的管轄下にあることが多い大手テックプラットフォームから英国市民を守ってくれているように権利の保護に関与してくれることはなくなる。英国市民にとって個人情報に対する権利を保護してくれる唯一のデータ保護規制機関はICOのみとなるのだ。
例を挙げるならば、Googleはブレグジットへの対応として、英国のユーザーを米国の管轄下に移すと述べている。
関連記事:EUデータ保護当局が指針を発表、Cookieウォールの同意はNG、スクロールで同意もNG
Category:セキュリティ
Tag:ヨーロッパ / EU 広告業界 GDPR
[原文へ]
(翻訳:Dragonfly)
