世界中のマーケターが南仏に集まった週に、デジタル広告に対してレッセフェール(自由放任主義的)な立場は取らないという強力なメッセージを、フランスのプライバシー監視機関が発した。
フランスのCNIL(情報処理と自由に関する国家委員会)は6月22日、ターゲティング広告用の個人データ処理に関連したGDPR(EU一般データ保護規則)違反があったとして、パリに本社を置くアドテク大手のクリテオ(Criteo)に4000万ユーロ(約63億円)の罰金を科したことを明らかにしたのだ。
この決定は、5年の歳月を経て下されたものだ。そもそもはGDPRが施行されてから間もない2018年11月に、英国の非営利団体であるプライバシーインターナショナル(Privacy International)がCNILに苦情申し立てを行ったことにさかのぼる。その1カ月後、オーストリアのデジタル権利保護団体であるNOYB(None Of Your Business、「あなたには関係のないこと、大きなお世話」の意)からも同様の苦情申し立てがあり、2020年にCNILによる正式な捜査が始まった。
捜査開始当初、専門家たちはこれがアドテク業界にとっての線引きとなる可能性があると見ていた。GDPRについて根拠とすることができる判例法がほとんどない状況でどのような前例を参照するのか、当局がクリテオに対して高額な罰金を科すことになるのかを推測する声もあった。当局が提示した罰金は6000万ユーロ(約95億円)だったが、クリテオが減額を強く求め、最終的には2000万ユーロ(約32億円)分、減額されたかたちだ。
アドテク業界に対する警告
一部の観測筋は、カンヌライオンズ国際クリエイティビティ・フェスティバルが開催される週に自国のアドテク企業の花形を狙うのは、業界に対する強いメッセージだと話す。
エンデバー(Endeavor)のデジタルイネーブルメント担当リードプロダクトマネージャーを務めるエリック・ラミー氏は、「データ保護監督機関は単に米国の大手ビッグテックだけでなく、自国内に目を向けることも辞さない」と述べる。「共同管理者契約の全関係者が負うべき責任を明確にしないだけでも、かなりの法的責任が問われることが示された」。
今回の判決の中心にあるのは、クリテオのトラッキングを行うCookieと、広告のパーソナライズを行うためのデータ処理方法だ。CNILは判決の概要のなかで、クリテオでのユーザー同意確認の実施を示す証拠がないことなど、「いくつかの規則抵触」に気付いたとしている。CNILによると、クリテオはユーザーの氏名は入手していなかったものの、場合によっては個人を特定できるだけの量のデータが収集されていたという。
プライバシー研究者のルカシュ・オレイニク氏は、今回の判決について発信した一連のツイートで、「アドテクにとって、これは大きな影響力を持つ事例になるだろう」と書いている。「大勢が結末を熱心に見守っている。判決資料の詳細版を読んだが、これが欧州司法裁判所に行く可能性は否定できない」。
4つの違反
CNILは判決概要で、クリテオが「十分な透明性を提供していない」「アクセス権の尊重に欠ける」「利用者のコンテンツの取り下げ・データ削除要求の権利に応じていない」「データ管理者間の契約に関する基準を満たしていない」という4つの点で、GDPRに違反していると主張している。罰金額に関しては、クリテオがヨーロッパ全体で所有する3億7000万個の識別子と、同社の収益化モデルを考慮して決定したそうだ。
The post クリテオ、フランス規制当局から4000万ユーロの罰金を課せられる。業界全体に警告か appeared first on DIGIDAY[日本版].
Source: New feed
