欧州連合の主管データ保護監督機関は、インターネットユーザーのデジタル活動の追跡に基づくターゲティング広告の禁止を、他の重要な目標の中でもとりわけ事業者の説明責任を強化することを目的としたデジタルサービス法の抜本改革に盛り込むよう勧告した。
欧州データ保護監督官(EDPS)のWojciech Wiewiorówski(ヴォイチェフ・ヴィエビオロフスキ)氏は、EUの議員からの協議要請を受け、欧州委員会のデジタルサービス法(DSA)を参照して、行動監視に基づくターゲティング広告の禁止を求める決断を下した。
DSAの法案は、デジタル市場法(DMA)の案と共に12月に提出された。これにより、EUの(しばしば長期化する)共同立法プロセスが始まり、最終案が承認される前に、欧州議会と欧州連合理事会での修正案の議論と交渉が行われることになる。これは、数十年にもわたって行われてきたEU全体でのデジタル規則の大改革において、その最終形に影響を与えるためにすべてを賭けたせめぎ合いが始まることを意味する。
ターゲティング広告の禁止を求める欧州の主管データ保護監督機関による介入は、消費者の利益の保護を目的とした法案を骨抜きにしようとする試みに対する強力な先制攻撃だ。
欧州委員会の提案ではそれほど深く踏み込んでいなかったが、大手テクノロジー企業のロビイストは確かに反対に向けて力を注いでいたので、EDPSがここで強硬な措置を講じたことの意義は大きいと考えられる。
EDPSのヴィエビオロフスキ氏は、DSAに関する意見書において、欧州委員会が提案したリスク軽減措置を補完するために「追加のセーフガード」が必要であると述べ、「オンラインプラットフォームにおけるある種の行為は、個人の権利だけでなく、社会全体に対するリスクを増大させている」と主張している。
EDPSが特に懸念している分野は、オンライン広告、レコメンドシステム、コンテンツモデレーションだ。
ヴィエビオロフスキ氏は、「オンラインのターゲティング広告には数多くのリスクが関係するため、EDPSは、透明性からさらに踏み込む厳格な規則を検討するよう、共同立法者に強く求める」とし、「そのような措置には、広く浸透しているトラッキングに基づくターゲティング広告の禁止に向けた段階的な廃止、ターゲティングに利用できるデータカテゴリーに関する制限、およびターゲティング広告を可能または容易にするために広告主や第三者に開示しうるデータカテゴリーに関する制限が含まれるべきである」と述べている。
これは、欧州議会が昨年の10月、EUの議員に対して段階的禁止の検討を提案した際により厳格な規制を求めたことに続き、大衆の行動監視に基づくターゲティング広告をピンポイントで狙った直近の攻勢となる。
しかし、ここでも、EDPSは実際に同様のことを求めながら、さらにもう少し踏み込んでいる(FacebookのNick Clegg(ニック・クレッグ)氏は苦虫をかみつぶす思いだろう)。
最近、長年アドテックの利権を得てきた一人であり、欧州の大手出版社Axel Springer(アクセル・シュプリンガー)のCEOであるMathias Döpfner(マティアス・デップナー)氏は、米国の主導によるデータマイニング技術プラットフォームが市民を「資本主義的独占のマリオネット」に変えているとの(保護貿易主義的な)非難を公然と行い、地域のプライバシー規則を強化して、プラットフォームで個人データを保存することや商業利益を目的として利用することを一切禁止するようEUの議員に求めている。
同氏は2021年1月、Business Insider(ビジネス・インサイダー)に「自発的な同意を名目にしてデータ保護を弱体化させようとする目論見は、すべて排除されなければならない。データ使用の許可は、そもそも行えるようにすべきではない。機密性の高い個人情報は、市場を支配するプラットフォーム(いわゆるゲートキーパー)や国家が自由に利用できるものではない」と書いている。
Apple(アップル)のCEOであるTim Cook(ティム・クック)氏も2021年1月、(本来ならば)ブリュッセルで開催される予定だったカンファレンスのバーチャルセッションに登壇し、基幹法令である一般データ保護規則(GDPR)の施行を強化するよう欧州に要請した。
クック氏は演説で、アドテックの「データ企業集団」が、大衆操作で利益を得ようとして偽情報の拡散を促進し、社会の大惨事を引き起こそうとしていると警告した。同氏は、欧米両岸の議員に向けて、「ユーザーの個人情報に対する権利を主張する人に、何が許され何が許されないのか、普遍的かつ人道的な意思を示す」よう強く促した。つまり、アドテックにおけるプライバシー保護の改革を求めているのは、欧州の企業(と機関)だけではないということだ。
Appleは、アプリがiPhone内のデータを簡単に利用できないよう、トラッキングの許可をユーザーから取得しなければならないような仕組みにして、トラッキングをより厳格に制限することを検討している。当然、この動きは、「関連」広告を提供するために大衆監視を利用しているアドテック業界の反発を招いている。
そのため、アドテック業界は、同意のない監視を規制するプラットフォームレベルの動きを阻止するために、「独占禁止法違反」を訴えて競争規制当局を動かす戦術に頼ってきた。この点で注目に値することとして、市場で最も力のあるプラットフォームを仲介するための規則の追加を提案している、DMAに関するEDPSの意見書では、競争、消費者保護、データ保護法の3つは「オンラインプラットフォーム経済の観点では表裏一体の政策分野」であり、「ある分野が別の分野に取って代わったり、ある分野と別の分野が矛盾したりする関係ではなく、お互いに補完し合う関係であるべきだ」と述べ、これら3つの重要なつながりを改めて強調している。
ヴィエビオロフスキ氏はDSAの意見書でレコメンドシステムにも狙いを定めており、各地域のデータ保護規則(設計と初期設定によってプライバシーを保護することが法律で規定されているものと仮定する)を確実に遵守するために、レコメンドシステムは初期設定でプロファイリングに基づかないものとすべきであると述べている。
ここでも同氏は、「透明性とユーザーによる管理をさらに促進する」ことを目的に、欧州委員会の立法案を強化するための追加措置を求めている。
EDPSの主張によると、レコメンドシステムのようなシステムは「大きな影響力」があるため、このような措置がどうしても必要である。
コンテンツレコメンデーションエンジンがインターネットユーザーを憎悪に満ちた過激主義的な視点に誘導するのに一役買っているのではないかという点は、長い間、議論の的となってきた。例えば2017年には、英国の国会議員らがこの話題について数社のテクノロジー企業を厳しく追及した。その議員らの懸念は、ユーザーのエンゲージメントを高めることでプラットフォームの利益を最大化するように設計されたAI駆動ツールには過激化を自動的に促進する危険性があり、そのアルゴリズムが生み出す憎悪に満ちた視点は、のめり込んだ個人を害するだけでなく、疑心暗鬼の目が社会の結束をむしばむことによって市民全員に波及する有害な連鎖反応を引き起こすというものだ。
しかし数年経過した今も、このようなアルゴリズムによるレコメンドシステムがどのように機能しているのかについては、ほとんど情報が得られていない。これらのAIを運用して利益を得ている民間企業が、その仕組みを独占的な企業秘密として保護しているためだ。
欧州委員会のDSA案は、説明責任の妨げとなるこの種の機密性に狙いを定め、透明性確保の義務化を求めている。草案で提案された義務には、プラットフォームへの要件として、ターゲティング広告に使用される「意味のある」基準を提供すること、レコメンドアルゴリズムの「主なパラメータ」を説明すること、ユーザーコントロール(「プロファイリングを拒否する」というオプションを少なくとも1つ含む)を前面に表示することが含まれている。
しかし、EDPSは、個人情報の搾取から個人を保護するため(そして、取得した個人情報を基に人々を操作する産業が生み出す有害な副産物から社会全体を保護するため)、EUの議員がさらに踏み込むことを望んでいる。
コンテンツモデレーションについて、ヴィエビオロフスキ氏の意見書では、これが「法の支配に従って行われるべきである」と強調している。一方、欧州委員会の草案では、法の解釈をプラットフォームに委ねた方がよいとしている。
同氏は、この分野における最近のCJEU(欧州連合司法裁判所)の判決を暗黙の了解のようにして、「地域独自にすでに行われている個人の行動監視を考慮すると、特にオンラインプラットフォームの観点では、『違法コンテンツ』に対抗するために、その検出、識別、対処を行う自動化された手段の使用をいつ合法化するのか、DSAは明確にすべきだ」と書いている。
「プロバイダーが、DSAによって明示的に特定されたシステムリスクに対処するため、そのような手段が厳密に必要であることを示すことができない限り、コンテンツモデレーションを目的としたプロファイリングは禁止されるべきだ」と同氏は付け加えている。
また、EDPSは、非常に大規模なプラットフォームや(DMAによって)「ゲートキーパー」として指定されたプラットフォームに対して最低限の相互運用性要件を提案しており、欧州レベルでの技術標準の開発を促進するようEUの議員らに求めている。
同氏はDMAについても、「関係者の基本的な権利と自由の保護を強化し、現行のデータ保護規則との整合性を保つ」ことを求め、修正案が「GDPRを効果的に補完する」ものとなることを強く要請している。
EDPSの具体的な提言には、ゲートキーパープラットフォームにおける同意の管理方法をユーザーにとってより簡単でアクセスしやすいものとしなければならないことをDMAで明示すること、草案で想定されているデータポータビリティの範囲を明確化すること、集約したユーザーデータへのアクセスを他の企業に提供することをゲートキーパーに要求する条項を書き換えることが含まれており、これも「GDPRとの完全な整合性」を確保することを念頭に置いている。
EDPSの意見書では「効果的な匿名化」の必要性についての問題も提起しており、「ゲートキーパーのオンライン検索エンジンにおいて、有料無料を問わずエンドユーザーが生成した検索に関連するクエリー、クリック、閲覧のデータを共有する際の再識別テスト」を求めている。
停滞を脱するePrivacy改革
ヴィエビオロフスキ氏の提言はやがて始まるプラットフォーム規制を方向付けるものであったが、この提言が行われたのは、欧州連合理事会が既存のePrivacy規則をめぐるEUの改革への交渉姿勢について、予定からかなり遅れてようやく合意に達した日と同じ日だった。
欧州委員会は、この進展を発表するプレスリリースで、電子通信サービスの利用におけるプライバシーと機密性の保護に関する規則の改訂について、加盟各国が交渉権限に関する合意に達したと述べている。
「これらの『ePrivacy』規則の改訂版では、サービスプロバイダーによる電子通信データの処理や、エンドユーザーのデバイスに保存されたデータへのアクセスが許可されるケースを決めることになる」とした上で、「本日の合意により、EU理事会の議長国であるポルトガル(2021年1月現在)は、最終案について欧州議会との協議を開始できるようになる」と続けている。
ePrivacy指令の改革は、利害の対立のために何年にもわたって停滞しており、2018年にはすべての取り組みが無事片付くだろうという(先任の)欧州委員会の期待はすっかり外れてしまった(当初のePrivacy改革案は2017年1月に発表されたが、4年後、欧州連合理事会が主張するところの授権に落ち着いた)。
GDPRが初めて可決されたという事実は、アドテックと電気通信事業の両方の分野で、データに飢えたePrivacyのロビイストたちの利害関係を激化させたように見える(後者は、メッセージングやVoIPのサービスを提供するライバルのインターネット大手が長年利用してきた膨大なユーザーデータの宝庫を狙って、通信データに関する既存の規制障壁を取り除くことに強い関心を持っている)。
ePrivacyを利用してGDPRに組み込まれた消費者保護を無効にしようとする協調的な取り組みが行われており、そうした動きには、機密性の高い個人データの保護を骨抜きにする試みも含まれている。そのため、欧州議会との交渉が始まると、醜い利権闘争の舞台の幕が上がることになる。
メタデータとクッキーの利用許可の規則もePrivacyと密接に結びついているため、この件に関してもさまざまな利権が絡む難題を解決する必要がある。
Finally! After swift agreement in @Europarl_EN in Oct 2017(!), national gov’s amongst themselves are done horse-trading endlessly on new ePrivacy Regulation.
Council’s position has more holes than Swiss cheese, but at least we can start negotiations on updating law from 2002! https://t.co/Kkge4o21Vu
— Sophie in ‘t Veld (@SophieintVeld) February 10, 2021
デジタル権利擁護団体のAccess Now(アクセスナウ)は、ePrivacy改革の経過を要約して、欧州連合理事会が「極めて」的外れだと非難している。
アクセスナウのシニアポリシーアナリストであるEstelle Massé(エステル・マッセ)氏は声明の中で、「この改革はEUでのプライバシー権を強化するもののはずだ。[しかし]、各国がさまざまなケチを付けたため、改正案が穴だらけになってしまった。今日採択された法案は、議会の法案や欧州委員会の以前の見解と比べて見劣りがする。行動監視の手段に関する言及がいくつか追加されている間に、プライバシー保護のための前向きな条文が削除されてしまった」と述べた。
アクセスナウは、サービスプロバイダーがオンラインユーザーのプライバシーを初期設定で保護するための要件を元に戻すことや、クッキー以外のオンライントラッキングに対する明確な規則を確立することを、他の優先ポリシーの中でも特に強く推し進めていくと述べている。
一方、欧州連合理事会は、「追跡しない」という非常に弱体化された(そして、おそらく役に立たない)方策を支持しているように見える。欧州委員会によると、これは、ユーザーが「ブラウザーの設定で1つまたは複数のプロバイダーをホワイトリストに登録し、特定の種類のクッキー」の使用に同意できるようにすべきであると提案するものだ。
欧州連合理事会はプレスリリースで、「ソフトウェアプロバイダーは、ユーザーがブラウザーでホワイトリストを簡単に設定したり、修正したり、いつでも同意を取り消したりできるようにすることが奨励される」と付け加えている。
抵抗勢力が欧州連合理事会内部に潜んでいることは明らかだ。(それに対して欧州議会は以前、ePrivacyのための「法的拘束力があり、強制力のある」追跡禁止メカニズムを明確に承認している。つまり、ここでも衝突が予想される)。
暗号化もまた、ePrivacy論争の種となる可能性が高い。
セキュリティとプライバシーの研究者であるLukasz Olejnik(ルーカス・オレイニク)博士が2017年半ばに述べたように、欧州議会は通信データの機密性を保護する手段としてエンドツーエンドの暗号化を強く支持している。また、加盟各国は強力な暗号化を弱めるような義務をサービスプロバイダーに課すべきではないとも述べている。
ここで注目すべきなのは、欧州連合理事会はエンドツーエンドの暗号化について、少なくとも公的立場のPR版では、あまり多くを語っていないということだ(「原則として、電子通信データは機密扱いとなる。エンドユーザー以外の者によるデータの盗聴、監視、処理などの干渉は、ePrivacy規則で許可されている場合を除いて禁止される」という記載はあるが、まったく安心できない)。
暗号化されたデータへの「合法的な」アクセスを支持する欧州連合理事会レベルでの最近の取り組みを考えると、確かに憂慮すべき不作為にも見える。デジタル権と人権の擁護団体は抗議活動を起こすと予想される。
関連記事:WhatsAppが新プライバシー規約を同意しないユーザーへの対応内容を説明
カテゴリー:セキュリティ
タグ:プライバシー 広告業界 EU
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)
