企業法務マンサバイバル

ビジネス法務に関する本・トピックのご紹介を通して、サバイバルな時代を生きる皆様に貢献するブログ

アドテクとパーソナルデータとプロファイリングと

 
アドテクとパーソナルデータについての勉強会に出席。

いわゆる“クッキー(cookie)”が、ネット広告エコシステムの中で広告主/広告メディア/エンドユーザーの間をどのように流通し取り扱われているかについて、過去アドテク企業で働いたご経験をお持ちの法務パーソンから、お話を伺いました。その勉強会のお話の中で、特に私が興味を抱いたのがこの図(発表者の方に掲載許可を頂きました。ありがとうございます)。

s-benkyoukai20140913-1s-benkyoukai20140913-2

ネット広告エコシステムの中には、ネット上の様々なサーバーに蓄積されたビッグデータやサイトのログデータなどを一元管理・分析し広告配信の最適化を実現するDMP(Data Management Platform)という存在がいます。そして、このDMPに対し、表示する広告の最適化を目的に、エンドユーザーが使うブラウザのクッキーをKeyにして属性情報に関する問い合わせを行うのが、DSP(Demand-Side Platform)とSSP(Supply-Side Platform)です。そしてそのDSP/SSPは、DMPからの属性情報照会結果(DMPデータ)を使って、RTB(Real Time Bidding)=広告枠の入札/応札を行います。さて、ここで問題となりそうなのが、DSP/SSPがこのDMPデータを意志を持って溜め込んだ場合、個人情報保護法違反またはプライバシー権侵害とならないと考えてよいか?という論点です。

勉強会出席者(主にアドテクではない法務な方々)からは、
・DMPが提供している個々のDMPデータ自体は個人データではないから、第三者提供にもならない
・それをDSPやSSPが溜め込んでも、容易照合性はないだろう
・仮にDMPデータの集積から特定識別できたとしても、個人側に具体的な損害がないのでは
・そもそも、広告事業者側にDMPデータを溜め込むインセンティブはあるのか
・結局は、自己情報コントロール権みたいな話でしょう
と、総じて「それほど問題はないのでは」という反応でした。アドテクに使われているパーソナルデータが内包しうるプライバシー性は理解しつつも、保護法で定義される個人データとは一致しないというところに、これを保護・規制しようとする流れには直ちには首肯できない、といった様子(出席者全員がそうだったわけではありません)。

その一方で、少なくともEUの一般データ保護規則提案では、このような論点が「プロファイリング」問題として取り上げられ、すでに規制される流れになっていると私は認識しています。以下、石井夏生利先生の『個人情報保護法の現在と未来』より引用。

 第20条「プロファイリングに基づく措置」は、現在のネットワーク社会におけるプライバシー・個人情報保護の問題を捉える上で重要性を増している。この権利に違反した場合も、異議申立権違反と同様、最も思い行政的制裁が課せられる(第79条6項(d)号)
 第20条は、次のように定めている。

「1 すべての自然人は、当該自然人との関連で法的効果を生じさせ、又は当該自然人に重大な影響を与える措置であって、当該自然人に関連する一定の個人的側面を評価し、又は、とりわけその自然人の業績、経済状況、位置、健康、個人的嗜好、信頼性若しくは行動を分析又は予測することを意図した自動処理のみに基づく措置に服さない権利を有するものとする。」

 第20条は、自然人に対し、コンピュータ処理を手段としたプロファイリングに基づく措置に服さない権利を有する旨を定めている(1項)。ただし、(a)契約の締結又は履行の過程において実施される場合であって、それがデータ主体の求めによるか、適切な安全保護措置が提示されたものである場合、(b)EU法又は加盟国の法が明示的に権限を付与し、データ主体の適法な利益を保護するための適切な措置を定める場合、(c)データ主体が同意した場合であって、同意の条件を満たし、かつ適切な安全保護措置を講じた場合は適用除外される(2項)。しかし、その場合でも、管理者は、特別な種類の個人データのみに基づく評価を行ってはならない。また、2項の場合にデータ主体へ提供すべき情報には、プロファイリングに関する措置を講じるための取扱いの存在や、当該取扱いがデータ主体に与え得る影響等が含まれる(4項)

また、米国でも、雇用や信用情報をプロファイリングし販売していたSpokeoに対してFCRA(公正信用報告法)違反で罰金を課した実例があります。


講師の方曰く、
「DMPデータは鮮度も重要なので相当な頻度で更新されているので溜めたところで使えないだろうし、DSP/SSPも、法律に触れないにしてもDMPデータは蓄積すべきではないという考えはもっていて、ほとんどの事業者がプロファイリングを目的としたデータ蓄積はしていないはず。」
とのこと。そうだろうなと思いつつも、例えばヤフージャパンさんのような、大きな集客メディアと人気ある広告枠を持っている企業が、尖った属性情報を持つデータアグリゲーターと提携し、容易照合性が疑われるようなことがあると、日本でもこの論点がもう少し注目を集めることになるのかも。と、ここまで書いて、ヤフージャパンさんが最近データアグリゲーター大手と提携されていたことを思い出したり・・・。


このプロファイリングというキーワード、日本のパーソナルデータ検討会では継続検討課題として大綱にはかろうじて入っているものの、議事次第を追跡すると、鈴木委員以外の委員からは規制をかけることにネガティブな意見が相次いでいた部分でもあり、優先度が低いテーマになっているように見受けられます。が、名簿屋規制というパンドラの箱まで開かれた今、バズワードに育つのも時間の問題のように思われます。

広告という商業活動に無縁な事業者など皆無なだけに、なかなかにヘヴィーなテーマです。
 

【学会誌】法とコンピュータ No.32 ― 提供元基準 vs 提供先基準論争は続くよどこまでも

 
法とコンピュータ学会の2014年7月版学会誌を入手。当然ながらパーソナルデータネタ盛りだくさんとなっていて、関心のある方も多いのではと思います。しかし、学会ウェブサイトは更新・運営の手が止まっている様子で、弁護士会館ブックセンターさんあたりに行かないと入手困難かもしれません。


s-IMG_4068


中でも、岡村久道先生の基調講演録(論稿+スライド)がアツかったです。個人情報保護法における容易照合性の判断基準について、提供元基準か提供先基準かという論争について、「政府解釈は提供元基準」ということですでに終止符が打たれたかのように早とちりしていた私でしたが、この講演では岡村先生が
・『石に泳ぐ魚』事件(最判ではなく東京高判平成13年2月15日のほう)
・長良川少年報道事件(最判平成15年3月14日)
・東京地判平成24年8月6日事件
・さいたま地判平成23年1月25日事件
等、プライバシー情報の公表や提供に関するいくつかの判例理論を分析した上で、やはり提供先基準と考えるのが適切であると力説されています。また、マサチューセッツ州知事の医療データが識別された事件に代表されるような、ネットやSNS上から入手しうる情報を用いて照合(link attacks)し再識別化されるケースにおける保護法の適用についても言及。


s-IMG_4079


法務パーソンとしてどちらに与するかは別として、日ごろは安全サイドに立って提供先での特定可能性も検討するのですが、考えてみれば「政府解釈は提供元基準」だからといって、司法においてもそれが踏襲されるという保証は無いわけです。個人情報保護法の容易照合性の判断基準について明言する最高裁判例が無い中では、岡村先生がここで取られているような裁判例を紐解くアプローチの方が正攻法では、という気もしました。


そしてもう一つ、「ビッグデータビジネスと程よいWebプライバシー」という、なんとも興味を引くタイトルの論稿が。こちらは通信事業者にお勤めの実務者の方による研究報告で、ネット広告エコシステムを転々流通する情報に、電気通信事業法(通信の秘密)と個人情報保護法を重畳して適用する必要があるのか?という論点。


s-IMG_4078


このアドテク×プライバシーという論点については、写真中の図にも表されているように登場人物(関係する事業者)が多く、理解するのをなかば放棄していた分野なのですが、遅まきながらきちんと勉強しておこうと、先日勉強会にも参加した次第。次回はその模様について書きたいと思います。
 

iOSデベロッパー規約の改定 ― 課金まわりの審査がさらに厳しくなる予感


iPhoneアプリの開発者であれば必ず同意を求められるiOSデベロッパー規約(iOS Developer Program License Agreement)に付属する“Schedule2"と呼ばれる文書。今年に入ってからすでに一度改定されていたのですが、この8月にも何箇所か改定され、v19となりました。開発コンソール上でのクリックで同意する方式なので、法人だとアカウントを管理している開発者の方がしっかり意識してないと、反射的に同意してしまっていたりするかも。
s-S2_v19


で、今回の改定ポイントで一ヶ所目を引いたところがあります。5. Content Restrictions and Software Ratingに、特に子どもを対象としたアプリでの課金煽りを禁止する条文が追加された点。

5. Content Restrictions and Software Rating
(略)
5.4 Licensed Applications that are targeted at children or otherwise likely to appeal to children, and which pressure children to make purchases (including, but not limited to, phrases such as “buy now” or “upgrade now”) or persuade others to make purchases for them, should not be made available in any Territory that has deemed such marketing practices illegal. You expressly accept and agree to take full responsibility for your Licensed Applications’ compliance with applicable laws pursuant to Section 5.1(c) of this Schedule 2, including without limitation consumer protection, marketing, and gaming laws. For more information on legal requirements of countries in the European Union, see http://ec.europa.eu/justice/consumer-marketing/unfairtrade/index_en.htm

“buy now” or “upgrade now”程度でもNGと例示があるところに、相当厳しい姿勢が垣間見えます。昨年にも審査ガイドラインが強化され、キッズカテゴリで配信されるアプリの課金まわりに厳しめのチェックが入るようになっていたところ。今年に入ってAppleがFTCのペナルティ受け入れを決め、さらに7月にはAmazonがFTCから提訴されていますので、これらに対応してのさらなるバージョンアップと思われます。
EUの消費者保護ウェブサイトにダイレクトリンクを張っているのも面白いところです。位置情報取得プロセスの厳格さといい、Appleが対EU政策も重視しているのがここにも現れています。


各国当局がスマートフォンの決済プラットフォームに対して規制を強めていく流れが加速する中、プラットフォーマーとしても、デベロッパーが制作するアプリの課金導線・画面遷移チェックをより厳密に行わざるを得なくなるものと思います。
 
記事検索
プロフィール
月別アーカイブ
Google
  • ライブドアブログ