01 情報セキュリティ, 個人情報保護法, 外国法

今回は, オンライン行動広告(Online behavioural advertising)(OBA)(またはターゲティング広告)について解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: オンライン行動広告(OBA)とは?

Q2: オンライン行動広告(OBA)の種類・仕組みは?

Q3: GDPRにおけるオンライン行動広告(OBA)の扱いは?

Q4: ePrivacy指令におけるオンライン行動広告(OBA)の扱いは?

本稿のPDFはこちらから　

Q1: オンライン行動広告(OBA)とは?

A1： オンライン行動広告(Online behavioural advertising)(またはターゲティング広告)(以下「OBA」ともいう)は, マーケティング(広告宣伝)の相手方(以下「消費者」という)のWebサイト閲覧・利用に関するデータ(以下「行動履歴」という)に基づき消費者の嗜好・関心等を推測しこれに基づいた広告を配信・表示するものです。

page top

Q2: オンライン行動広告(OBA)の種類・仕組みは?

A2：以下の通りです。

(a) ファーストパーティー広告(first-party advertising)

ある特定のサイトのユーザの同サイト上での行動履歴に基づき, 同サイト上に表示される, 同サイト運営企業自身(ファーストパーティー)の商品・サービスの広告を意味します。(例) オンライン書店のユーザの同書店サイト上での購入履歴に基づき同サイト上で表示される同書店で販売する小説の推奨。

(b) サードパーティー広告(third-party advertising)

以下の「提携サイト運営者」の複数サイト上での特定消費者の行動履歴に基づき, それらのサイトに表示される, サイト運営企業以外の「広告主」(サードパーティー：第三者)の商品・サービスの広告を意味します。

【サードパーティー広告の当事者】

(i) 広告主 (Advertiser) ：特定の消費者層(a specific audience)への広告配信を希望する企業

(ii) アドネットワーク運営者 (Ad network provider)：広告主から広告配信を受託して提携広告サイトに配信する企業。

以下, アドネットワーク運営者が運営するサードパーティー広告(ターゲティング広告)システムはアドネットワークと呼びます(例：Google AdSense ^[1])。

(iii) 提携サイト運営者(Partnering Website publishers, Website owner)：アドネットワーク運営者(通常複数)に対し自社サイト上のスペース(広告スペース)に広告を表示することを引き受けた企業。そのサイトをP1, P2, P3, .......PXとします。なお, "Publisher"とは本来出版社等を意味しますが, オンライン広告の用語としては, オンライン広告を表示するWebサイトの運営者をWebサイトの発行者という意味で"Website Publisher" または単に”Publisher"と呼んでいます。

(iv) 消費者 (User)：

【サードパーティー広告の仕組み】

1) 広告主がアドネットワーク運営者に広告配信を依頼

2) 特定の消費者Uが提携サイトP1にアクセス

⇒アドネットワーク運営者のサーバから, 自動的に消費者Uが利用しているブラウザを通じて, 消費者のパソコンにCookie (Tracking Cookie／サードパーティーCookie)を送信しかつCookie ID付与。

3) 上記2)と同時に, アドネットワークはこのCookie ID(および場合によりパソコンのIPアドレス・利用ブラウザの種類等)をアドネットワークのデータベースに記録。

4) その後, 消費者Uが他の提携サイトP1, P2, P3, ..... でも閲覧・検索・広告クリック・商品購入等。

⇒アドネットワークがこれらの行動履歴のデータを自動的に記録し, 消費者Uの属性データ(profile)を作成しその消費者のCookie IDに紐づけ。

この属性データ(profile)は, 行動履歴のデータが増えれば増えるほど詳細になっていく。

(属性データの例)"ABC12345：new mother", "DEF6789：young professional"

5) 更にその後, 消費者Uが提携サイトPXにアクセス

⇒アドネットワークが消費者UのCookieと, そのCookie IDに紐づけられた属性(profile)を確認し, その属性に応じた広告を提携サイトPXに配信し表示。

page top

Q3: GDPRにおけるオンライン行動広告(OBA)の扱いは?

A2：以下の通りです。

(a) 「個人データ」に当たるか?

オンライン行動広告(OBA)のために取得されるCookieデータはGDPR上の「個人データ」に該当するか? 該当するとすれば, OBAは個人データの処理を伴うことになり, GDPRの適用を受けます。

WP29は, 2010年にオンライン行動広告に関する意見書(00909/10/EN: WP 171)^[2](以下「OBA意見書」という)を公表しています。OBA意見書(p9)によれば, Cookieによりユーザのパソコン等のIPアドレスが取得されユーザの行動が追跡(tacking)可能となりますが, これにより蓄積されたユーザのオンライン上の行動履歴データは,次の(i)の場合は勿論, (ii)の場合も, 個人データに該当します。

(i) この行動履歴データを, ユーザを直接特定可能な(identifiable)情報 [例：ユーザのサイトやアプリのアカウント情報] と結び付けることができる場合

(ii) [この行動履歴データの蓄積により] 特定の個人が「be 'singled out'」　[他者から区別して選別] できるようになった場合

(b) 誰が「管理者」に当たるか?

OBAのため取得されるデータが「個人データ」に該当するとした場合, 次に, どの事業者がアドネットワーク利用における「管理者」(単独でまたは他の者と共同して個人データの処理の目的および方法を決定する者)(4(7))に該当し, GDPR上の義務を負うかが問題となります。OBA意見書におけるWP29の見解は次の通りです。

(i) アドネットワーク運営者

アドネットワーク運営者は, 提携サイト運営者から広告スペースを"rent"し, IPアドレスその他ユーザのパソコン(ブラウザ)からのデータを取得し, ユーザの行動履歴(profile)を記録・蓄積し, そのprofileに応じた広告を選定しユーザのパソコンに表示する。従って, 「管理者」に該当することは明らか(OBA意見書p9)。

(ii) 提携サイト運営者

ユーザが提携サイトのいずれかを訪問した場合, ユーザのパソコンのブラウザが自動的にアドネットワークにそのIPアドレスを送信し, これに対しアドネットワークからCookieが送信され広告が表示される。

技術的には, 提携サイト運営者は, これらの処理に関与していないと言えるかもしれないが, 最初のユーザのIPアドレスの自動送信は, 提携サイト運営者の行為(アドネットワークとの提携。具体的には自己のサイト上の広告スペース貸し)がなければ生じることはない。

従って, 提携サイト運営者は, 少なくともこの最初のIPアドレスの自動送信についてはその処理の目的(広告)をアドネットワーク運営者と共同決定した(co-determine)[のでアドネットワーク運営者との共同管理者の関係にある]と言える(OBA意見書p9)。

このWPの見解と同様の判断が, 2019年7月29日のFacebookの「いいね(Like)」ボタンに関するCJEU先決裁定^[3]で示されています。この事案では, Webサイトの運営者がそのサイトにFacebookの「いいね(Like)」ボタンを埋め込みサイト訪問者のIPアドレスやボタンをクリックしたデータがFacebookに自動送信されるようにしただけでこのデータの取得・送信について両者を共同管理者と認定しています。

(iii) 広告主

サイト訪問者がそのサイト上に表示された広告をクリックすると, 広告主のWebサイトに遷移する。

広告主はその後, そのサイト訪問者の以後のWebサイト閲覧(browse)履歴を監視し(monitor), その履歴データと相手方のターゲティング用プロファイル(例：「若い母親」, 「熱狂的スポーツファン」)とを組み合わせより精度の高い広告を行うことができる。

従って, この場合, 広告主も, 「管理者」に当たる可能性があり, また, 具体的事情によっては, アドネットワーク運営者またはサイト運営者と「共同管理者」に該当し得る。

(c) 誰が情報提供・同意取得をすべきか

OBA意見書では, ユーザ(データ主体)の立場からすれば, サイト運営者がCookieデータ取得・処理に関し情報提供すべきであると結論付けています(p19)。

上記のFacebookの「いいね(Like)」ボタンに関するCJEU先決裁定でも, 情報提供, 同意取得, いずれもサイト運営者が行うべきであるとしています。

page top

Q4: ePrivacy指令におけるオンライン行動広告(OBA)の扱いは?

A4：以下の通りです。

ePrivacy指令上, ユーザ(ここではサイト訪問者等)の「端末機器への情報の保存または当該情報へのアクセスは, ユーザが「データ保護指令(現在はGDPR)に従い当該情報の処理目的その他について情報が提供された上で同意した場合に限り許される」(5(3)とされています。この情報が「個人データ」か否かは問われません。OBA広告では, Cookieが利用され上記保存・アクセスが行われるのでこの規定が適用されます。なお, 上記下線部分の「データ保護指令」は現時点ではGDPRと読み替えられます(GDPR94(2))^[4]。

従って, ePrivacy指令上のユーザの同意は, GDPR上の以下の全ての条件を満たすものでなければなりません。

- 言葉または明確な能動的・肯定的行為による(by a statement or by a clear affirmative action),

- 自由意思による(freely given),

- 目的ごとの(specific),

- 適切な情報を与えられた上での(informed),

- 曖昧さのない(unambiguous),

- 自己に関する個人データが処理されることに対する意思表示で(以上4(11)),

- いつでも撤回可能(7(2))

OBAに関しては, この情報提供がされた上でのユーザの同意は, (i) ファーストパーティー広告(first-party advertising)に用いられるファーストパーティーCookie, および, (ii) サードパーティー広告(third-party advertising)に用いられるサードパーティーCookie, 両方のCookieによる保存・アクセスについて要求されます。

そして, この両方のCookieについてユーザに情報提供しかつ同意を得なければならない者は, 前述のFacebookの「いいね(Like)」ボタンに関するCJEU先決裁定によれば, サイト運営者です。

page top

今回はここまでです。

^[5]

【注】　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

^[1] 【アドネットワーク】WP29 OBA意見書(2010年6月22日)では, Google AdSenseが, 他のアドネットワークを傘下に抱える最大規模のアドネットワークとして示されている。

^[2] 【WP29 OBA意見書】Article 29 Working Party Opinion on online behavioural advertising (00909/10/EN: WP 171).

^[3] 【Facebook「いいね(Like)」ボタン事件2019年CJEU先決裁定】】先決裁定本文, CJEUのプレスリリース

^[4] 【ePrivacy指令上の「同意」】　GDPRはその正式名称の通りデータ保護指令(Directive 95/46)を廃止する規則であるが(94(1)), GDPR第94条第2項には, [EUまたは加盟国の法令における]「廃止される指令(すなわちデータ保護指令)への言及はGDPRへの言及と解釈されなければならない」と規定している。

[5]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を米系(IT関連)・日本(データ関連)・仏系(ブランド関連)の三社で歴任。元弁理士(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録