ブログ

ポストクッキー時代の広告(2)-「Transparency & Consent Framework」(TCF)(図解)とGDPR

ポストクッキー時代における「プライバシーのダークサイド研究」の続きです。

TCFに対するベルギーのデータ保護機関の解釈の報道

「トラッキング業界の団体であるIAB Europeは、GDPRを侵害しており、Googleやその他のハイテク企業が使用している「同意」のポップアップは違法であると伝えた」という記事がでています。Tech Crunchは、「IAB Europe’s ad tracking consent framework found to fail GDPR standard」と伝えています。

これは、アイルランド自由人権協会( Irish Council for Civil Liberties)が、IAB Europeの同意システム(「Transparency & Consent Framework」(TCF))に関して訴えていた事件において、ベルギーのデータ保護当局は、IABヨーロッパの「同意」ポップアップシステムがGDPRを侵害していると認める決定案を採択することになるというものです。上の「トラッキング業界の団体であるIAB Europeは、GDPRを侵害しており、Googleやその他のハイテク企業が使用している「同意」のポップアップは違法であると伝えた」という記事は、そのプレスリリースになります。

ここで、このような報道に対するIABのコメントをみます。コメントは、このリンク。まず、

AB Europe は、ベルギーのデータ保護当局である APD から、Transparency and Consent Framework (TCF) のマネージング・オーガナイゼーションとしての役割に関連して、IAB Europe のプライバシーとデータ保護の慣行に関する調査を完了したとの通知を受けました。APDの報告書は、APDの調査部門の予備的な見解を示すものであり、IABヨーロッパによる法律違反に関して拘束力を持つものではありません。

IAB Europe は現在 APD の報告書を評価中であるが、調査結果はフレームワークの Managing Organisation としての IAB Europe の役割にのみ起因する多くのコンプライアンス問題の疑いを指摘していることに留意している。我々は、ウエブサイトの公表者がTCFを実施するにあたり、IABヨーロッパがデータ管理者であるというAPDの明らかな法解釈には同意しかねます。仮にAPDの解釈が支持された場合、業界関係者を支援し、消費者を保護する役割を果たすオープンソースのコンプライアンス基準の発展を阻害することになります。

となります。

TCFとは何か?

ここで、そもそもそも、問題になっている「Transparency & Consent Framework」(TCF)をみます。Transparency & Consent Frameworkのリンクは、こちらです。

それによると、業界が業界のために構築した唯一のGDPR同意ソリューションであり、真の業界標準アプローチを生み出していますとしています。

TCFのシンプルな目的は、デジタル広告チェーンのすべての関係者が、個人データを処理したり、クッキー、広告識別子、デバイス識別子、その他のトラッキング技術など、ユーザーのデバイス上の情報にアクセスしたり/保存したりする際に、EUのGDPRおよびeプライバシー指令を確実に遵守できるようにすることです。

発展の歴史としては、2018年4月25日、IAB EuropeとIAB Tech Labのメンバー、およびより広範なデジタル広告業界との広範な業界協議を経て、IAB Europe Transparency and Consent Framework (TCF) v1.1が発表されました。 2019年8月21日には、特にパブリッシャーや業界のあらゆる側面を代表する業界団体との広範な業界協議を経て、TCFの改訂版であるTCF v2.0が発表されました。8月15日にはTCF v1.1が廃止され、すべての関係者がTCF v2.0を使用することになりました。

この点について、日本語のページだとグーグルのページはこちら。 愛用のアドセンスが、統合されるんですね。TCFは、「デジタル広告市場の競争評価 最終報告」でもコメントされています(194ページ)。

TCFのコンポーネント

GDPRが、個人データの取扱について法的根拠を要求していること、法的根拠としてはは、ユーザーの個人データの処理に対するユーザーの同意、およびユーザーの利益と基本的権利が優先されない場合の、ユーザーの個人データの処理に対する管理者または第三者の正当な利益の二つがあること、などが明らかにされており、GDPRの下では、管理者は、ユーザーの同意記録を含む(ただしこれに限定されない)コンプライアンスの記録を作成し、維持することが求められます。そのためには、影響を受けるすべての関係者に共通の技術的ソリューションを提供するための明確な基準と、そのソリューションの使用方法を管理するためのポリシーが必要であるこになります。

そして、IABヨーロッパは、デジタル広告におけるGDPRの遵守をサポートするために、TCFを設立しました。このフレームワークは、グローバルベンダーリスト(GVL)、透明性と同意の文字列(TCストリング)、同意管理プロバイダー(CMP)がTCストリングを作成・処理するためのAPI、そしてTCFの使用方法を規定するポリシーの4つの要素で構成されています。

TCFは

から成り立っています。

これらの関係を図示します。

この図は、

  • TCFの使用に参加するためには、ベンダーはTCFを使用するためのポリシーに準拠していることを公的に証明しなければならないこと、
  • グローバルなデータベースに保存されているオンラインサービスの透明性と同意が確立され、シグナルされた状態にするには、GVLへの追加を申請すること
  • 透明性とユーザーの同意に関するステータスをシグナリングするためのTCストリングを作成する役割を果たすには、IABヨーロッパに登録して同意管理プロバイダー(CMP)になる必要があること、
  • CMPは、TCFポリシーに準拠してTCストリングを作成するために、本文書に記載されている技術基準に従わなければならないこと、
  • 本文書に記載されているCMP APIを使用して、TCストリングで提供される情報を受け取り、処理するための技術基準ガイダンスにも従う必要があること

を示します。

ポリシー

ポリシーは、前文、1章 定義、2章 同意管理プロバイダ(CMP)、第3章 ベンダへのポリシ、第4章 公表者へのポリシ、第5章 ユーザとの相互関係 付録A 目的および特徴定義、付録B  ユーザインターフェース要件からなりたっています。

Transparency and Consent Frameworkは、一連の技術仕様およびポリシーで構成されており、公表者、広告主、テクノロジー・プロバイダー、およびFrameworkが関心を持つその他の人々が、自発的に遵守することを選択できるものです。この目的は、オンラインエコシステムのプレイヤーがePrivacy指令の特定の要件を満たせるようにすることです。
このフレームワークの目的は、特に、ユーザーのデバイスへの情報の保存および/またはアクセス、ユーザーの個人データが処理される事実、個人データが処理される目的、これらの目的のためにユーザーの個人データを処理しようとしている企業についてユーザーに通知する方法を提供することにより、ePrivacy指令(およびその後継である次期ePrivacy規則)および一般データ保護規則の特定の要件を満たすことを支援することであり、特に、どの情報がユーザーに開示され、ユーザーがどのような選択をするかを第三者に通知することでにあります。(なお、英国の一般データ保護規則および英国のプライバシー・電子通信規則の要件を満たすのにも役立つ)。

前者の関連規定はEUの一般データ保護規則の関連規定と同一であり、後者の関連規定はEUのePrivacy指令の実施と一致していることが条件となります。

なお、このivでは、このフレームワークは、特別なカテゴリーの個人データ、犯罪歴に関するデータの合法的な処理を促進することを意図しておらず、またそのように設計されていないことについてのディスクレーマーが明らかにされています。

TCF Terms & Conditions(利用条件)

利用条件は、1)序、2)グローバルベンダ(GV)の登録要件、3)同意管理プロバイダの登録要件、4)登録手続、5)(利用者の)義務、6)支払、7)(提供者の)義務、8)枠組における権利、9)条件および終了、10)責任、11)機密維持(Confidentiality)、12)一般からなりたっています。

この序では、このフレームワークの文脈での技術仕様書の使用、フレームワークへの参加登録、GVLに収録されるGV(以下に定義)の登録など、フレームワークのすべての使用は、IAB Europeが開発・管理するポリシーによって管理されることが確認されています。

そして、この規約は、「技術仕様書」利用する顧客とIAB Europeとの間の契約となること、「技術仕様書」を使用するために必要な権利が、(i) 技術仕様書に貢献した第三者からのオープンソースライセンス、または (ii) IAB Tech Lab からのオープンソースライセンス(いずれの場合も適宜更新されます)によって与えられることが記載されています。

IAB ヨーロッパが、顧客に対してポータルへのアクセス、フレームワークのコンテキストで使用するための技術仕様書へのアクセス、およびGVのための技術仕様書へのアクセス、GVLの公開を、適用されるポリシーを含む本規約に基づいて提供していること、そして、顧客は、本契約条件および適用されるポリシーを読み、その条件を受け入れること、そして、フレームワークのコンテキスト内で技術仕様書を使用することにより、適用されるポリシーを含む本規約に拘束されることに同意するものとすることが明らかにされています。

Transparency and Consent String with Global Vendor List Format(グローバル・ベンダー・リスト形式による透明および同意の文字列)

Githubで、公開されています。序、透明性および同意文字列(TC文字列)、グローバルベンダーリスト、グローバル同意管理プラットフォームのリストからできています。

この文書は、IAB Europe Transparency and Consent Framework Specifications の一つです。透明性と同意の文字列(TC String)の構造とエンコーディングの技術的な実装と、IABヨーロッパが管理するグローバル・ベンダー・リスト(GVL)のフォーマットを定義しています。TCストリングは、IABヨーロッパのTransparency & Consent Framework(TCF)の技術的要素です。

ここで、グローバル・ベンダーという用語が出てきますが、グローバルベンダーリスト(GVL)は、CMPがIAB Europeが管理するドメインからダウンロードする技術文書になります。

GVLには、登録および承認されたすべてのベンダーのほか、標準的な目的、機能、特別な目的、特別な機能、スタックが記載されています。GVLに格納された情報は、ユーザーに対してどのような法的開示を行うべきかを決定するために使用されます。IABヨーロッパは、GVLを管理・発行しています。

グローバル・ベンダー・リストは、

  • グローバル・ベンダー・リストのバージョン。
  • 標準的な「目的」のリスト(「特別な目的」を含む)。
  • 標準機能のリスト。ベンダーは、機能を使用していることを示すことができる。ベンダーは機能を使用していることを示すことができます。 ベンダーが使用している機能は目的をまたいでいるため、ユーザーは選択することができませんが、ベンダーが使用している機能はCMPのUIで開示されるべきです。
  • ユーザーが選択できる機能である「特殊機能」のリスト。
  • スタックの定義の一覧。
  • 割り当てられたベンダーID(文字列ではVendorIdsと表記)、ベンダーが同意を求める標準的な目的、正当な利益の法的根拠に基づいて使用する標準的な目的、宣言された目的を超えて使用する可能性のある機能、およびGDPR/プライバシーポリシーページのURLが記載されたベンダーのリスト。VendorIdsは段階的に割り当てられ、再利用されません。削除されたベンダーは、単に削除されたとマークされます。
  • ベンダーの「GET」情報流通オプション これは、ベンダーがhttp GETリクエストを使用する能力をサポートするために必要な情報を提供します。

TCストリングの主な目的は、

GDPRに基づいてユーザーに開示されたすべての情報をカプセル化し、ユーザーの個人データ処理に対する希望を表現することにあります。Consent Management Platform (CMP)を使用して、情報はエンコードされたコンパクトなHTTP転送可能な文字列に取り込まれます。この文字列により、ユーザーの個人データを処理するエンティティ(ベンダー)に対して、透明性と同意の情報を伝達することができます。ベンダーはTCストリングを解読し、ユーザーの個人データを処理するために必要な法的根拠を持っているかどうかを判断します。簡潔な文字列データ形式により、CMPは、ユーザーの設定をいつでも必要なときに持続的に取得したり、その情報を必要とするベンダーに転送したりすることができます。

TCストリングに格納される情報は、

  1. 一般的なメタデータ:エンコーディングのバージョン、最終更新日、最初に作成された日など、TCストリングの詳細を示す標準的なマーカー、および使用されているグローバルベンダーリストのバージョン、使用されているCMPなど、含まれている透明性と同意値の条件に関する詳細。
  2. ユーザーの同意:ユーザーの個人データの処理に対して与えられるユーザーの同意の表明。ユーザーの同意は、「目的ごと」と「ベンダーごと」の2つのレベルで表現されます。
  3. 正当な利益:ベンダーおよび/または目的に対する正当な利益の透明性を確立したCMPの記録、およびユーザーがそれに対して「異議を唱える権利」を行使したかどうかの記録。これには、一般的な目的のシグナルおよび特定のベンダーに対して特別に宣言された目的のシグナルが含まれます。
  4. パブリッシャーの制限:ユーザーが自分のデジタル資産を移転する際に、パブリッシャーによるベンダーのデータ処理を制限すること。
  5. パブリッシャーの透明性と同意:パブリッシャーが、個人データを処理するための独自の法的根拠について、ユーザーとの間で透明性を確立し、ユーザーから同意を得るために使用することができるTCストリングのセグメント、またはベンダーが選択した場合に共有することができます。
  6. 特定の法域での開示:パブリッシャーの事業体が設立されている国、または立法上の参照国、および目的1の「デバイス上の情報を保存および/またはアクセスすること」がユーザーに開示されたかどうかの記録。これは、法域によってこの目的の取り扱いが異なるためです。

となります。これらについて、 <img src=”http://vendor-a.com/key1=val1&key2=val2″>などの形で、データの形式が記述されています。

The Consent Management Platform API(同意マネシメントAPI)

これは、序、同意管理API 2.0、同意管理APIの利用からなりたっています。

同意管理プロバイダー(CMP)は、ユーザーに対する透明性を確立するためのユーザーインターフェースを提供し、エンドユーザーから同意を得たり、反対意見を登録したりして、ユーザーの嗜好をシグナルとして収集します。これらのシグナルは、TCストリングと呼ばれる標準化された伝達しやすいペイロードにまとめられます。CMP APIは、ホスティングパブリッシャーや広告ベンダーなどの当事者が、CMPによって管理されるこれらのプリファレンスにアクセスするための標準的な手段を提供します。

APIを使用することにより、スクリプトはTCストリングのペイロードおよびそれに含まれる情報を取得することができ、ペイロードフォーマットの「解凍」方法を理解しなくてもすぐに使用することができます。これにより、返された情報に基づいて直ちにデータ処理の決定を行うことができます。

この文書は、CMPがTCFに従って提供しなければならない必須機能を規定しています。パブリッシャーのCMP、UIおよび設定を含むすべてのCMP機能は、指定されたCMPにより、本CMP APIを使用して提供されます。その他の標準化されたAPIは、TCFの外にあり、TCFのポリシーに沿っていない可能性があります。

同意管理プロバイダーは、__tcfapi(command, version, callback, parameter)というAPI関数を提供しなければなりません。具体的には、

__tcfapi(‘getTCData’, 2, (tcData, success) => {

if(success) {

// do something with tcData

} else {

// do something else

}

}, [1,2,3]);

となっています。以下は、省略。

ベルギーのデータ保護当局の見解

ICCLは、ベルギーデータ保護当局の見解について

しかし、我々の証拠により、IABヨーロッパは、従来のトラッキングベースの広告が「GDPRの下での同意と両立しない」ことを、同意システムを立ち上げる前から知っていたことが明らかになりました。 なぜなら、「RTB(Real-Time Bidding)」と呼ばれる主要なトラッキングベースの広告システムは、インターネットユーザーの行動や現実世界の位置を、1日に何十億回も何千もの企業にブロードキャストしているからです。RTBは、過去最大のデータ漏洩です。この自由競争の中でデータを保護する方法はありません。

としています。

現時点での状況ですが、ICCLは、

ベルギーデータ保護局の決定は、GDPRの「ワンストップショップ」メカニズムに基づくドラフト決定です。今後、欧州の他のデータ保護当局と共有され、最終的な決定がなされ、施行される予定です。 注:ベルギーデータ保護局からの詳細情報をお待ちしておりますので、情報が入り次第、本声明に追加いたします。

としています。

この進行については、上のTech Crunchの記事は、手続き上、調査機関の報告書がベルギーDPAの訴訟部に移管されたため、訴訟部では本件の本質を検討することになりっており、今後の訴訟法廷がこの事件について決定を下す時期について、推定される時期を提示することはできないという報道がなされています。

法的な論点

上のようにTCFの管理団体(the “Managing Organization”, or the “MO”)であるIAB Europeが、それ自体、GDPRにいうデータ・コントローラーとなるのか、どうか、という問題があり、これについては、かなりの程度、法的な論点になるかと思います。 

GDPRにおいてのコントローラー等の概念は、「脅威情報共有のプラットフォーム(3)-MISPとGDPR」でもちょっと触れています。

TCFは、GDPR後、もしくは、ポストクッキー時代における一つの方法とされているみたいですので、この問題の影響は大きいようにおもえます。

関連記事

  1. 英国情報コミッショナーにおけるGDPR同意ガイダンス
  2. wordpressのテーマ
  3. 仮想通貨はお金の未来を変えるのか
  4. アップル対エピック事件とアフターマーケットの理論
  5. 接触確認アプリリリースを踏まえてアップデートしました「新型コロナ…
  6. 民事裁判IT化へ検討会 当事者の負担軽減
  7. 英国におけるGDPR対応の状況-情報コミッショナーの対応
  8. 駒澤綜合法律事務所のリーガルニュース
PAGE TOP