Latest updates: read more about the RTB complaints.
BraveはRTB市場に関する新しい証拠を提示しました。この証拠では、Googleが、自身のGDPRプライバシー保護策を回避していると思われる仕組みを明らかにしています。
アイルランドのデータ保護委員会(DPC)は、GoogleのDoubleClick/認定バイヤーの広告事業をGDPR違反の疑いで既に調査を開始しています。これは、Braveのチーフポリシー&インダストリーリレーションズオフィサーのJohnny Ryan博士による正式な苦情申し立てによるものです。
アイルランドDPCはGoogleのGDPR対応の主要な規制当局です。BraveはGoogleの広告システム上でライアン博士の個人データが拡散されているという新たな証拠を把握し、GDPR違反を具体的に証明するものとしてアイルランドDPCに提出しました。さらに、BraveはGoogleが自身で公言しているGDPRデータ保護のポリシーを逃れGDPRを回避していると思われる仕組みを明らかにしました。
BraveのJohnny Ryan博士は、以下のように述べています。
「Googleの『DoubleClick/認定バイヤー』広告システムは840万以上のサイトで稼働してます。そして、こういったサイトへの訪問者の個人データは、このシステム上で1日に数千億回も、2,000を超える企業に対して配信されているのです」
「アイルランドのデータ保護委員会に提出した証拠では、Googleが私の保護された個人データを不特定多数の企業に漏洩していることが分かっています。このデータをこれらの企業がこの後何に利用するかは、誰も知る余地がありません。いったん配信されるとGoogleは私の個人データを管理できなくなるということです。Googleのデータ保護ポリシーは機能していません」
GoogleによるGDPR回避策
今回提出した証拠から、「DoubleClick /認定バイヤー」広告システム上のさらなるデータ違反を示唆する不審な仕組も明らかになっています。なお、この広告システムは840万のウェブサイトで稼働しています[1]。
多くの企業が、リアルタイム入札広告(RTB)システムを使用し、ウェブサイト訪問者に関する機密データを受け取ります。Googleは、これらの企業が訪問者のプロフィールを組み合わせられないようにしていると主張しています[2] 。また、GDPR施行に伴い、各企業が容易に個人を特定することを可能にする仮名識別子の共有を停止したと発表しました[3]。
しかし今回の証拠では、実際にはGoogleが1社どころか多くの企業に対して、Googleの識別子とのマッチングを可能にさせていることが明らかになりました。さらに、複数の企業間でデータ主体の識別子を相互にマッチングするこをを可能にさせていたことも明らかになっています。
Braveは、Zach Edwards氏にRyan博士のウェブブラウジングのログ分析を委託しました。その結果、Ryan博士の個人データが拡散されていたことが判明し、2018年9月にDPCに申し立てた苦情で提起した懸念が事実であったことが確認されました。またこの分析で、Googleが使用している「プッシュページ」と呼ばれる仕組も明らかになりました。Googleはプッシュページを使って、あるユーザーがウェブページを読み込んだ際に、そのユーザーのプロファイル識別子を複数の企業が共有できるようにしていたのです。
Google プッシュページは、Google ドメイン (https://pagead2.googlesyndication.com) から提供されており、全てのページに「cookie_push.html」という名前がついています。それぞれのページの末尾には、Googleが他社と情報共有するユーザーを一意的に特定する2,000文字ほどのコードが追加されています。企業は、これをGoogleから提供されている他のクッキーと組み合わせることで、ユーザーを仮名化した状態で識別をすることが可能です。
Google にプッシュページへのアクセスを案内された全ての企業が、プロファイル対象のユーザーに関する同一の識別子を受け取ります。この「google_push」識別子を使用すると、ユーザーのプロファイルを相互参照し、データを交換できるようになります。
プッシュページは、ウェブページを訪問したユーザーには表示されず、直接アクセスしてもコンテンツは表示されません。プッシュページのサンプルはこちらからダウンロードできます。
今回の証拠には、Ryan博士がブラウズしたウェブサイトから、デバイスが読み込んだ全てのアイテム(ウェブページとそのコンポーネント パーツ、ファイルなど) のネットワークログが含まれています。ネットワークログの分析から、このデータ主体の個人データがGoogleのRTBシステムの認定バイヤーに処理されたことが分かります。さらにGoogleがこのデータ主体に関する個人データを企業間でも容易に共有できるようにしていることも明らかになっています。
したがって、GoogleはGDPRを遵守したRTB運営のポリシーを定めていますが、プッシュページを使って自ら回避しているように見えるのです。
アイルランドのデータ保護委員会に証拠と共に提出された説明文のダウンロード(英語)
RTBとプッシュページ間のプロセスのシーケンス図のダウンロード(英語)
Ryan博士とBraveの代理人を務め、データに関する権利を専門とするNaik弁護士は、「現在の形のリアルタイム入札は有害です。このデータ拡散のスピードと規模感を保ちつつ、GDPRのセキュリティ原則を遵守することは不可能です」と述べています。
また、「私共のクライアントは今回、Googleがどうやら秘密にしていたプロファイルマッチングを発見しました。このプロファイルマッチングは虚偽的で管理されておらず、データ保護の公平性と透明性の原則に反しています。残念ながらアドテックは基本的に無法状態であり、データ保護よりもデータ活用が重視される風潮がありますす。DPCは、そのような慣行に終止符を打つために、迅速に行動しなければなりません」と指摘しています。
Braveが提出した証拠によって、Googleのデータ保護策とされるものが、Googleのプッシュページの仕組のせいで実は機能していないことが証明されました。しかも、外部企業がこれを悪用することも可能です。私たちは、Google 以外の企業がプッシュページの仕組を使って独自のプッシュページを構築し、ビジネスパートナーとデータ共有をしていることもわかっています。これはGoogleの知らないところで起きているようです。よってGoogleがRTBシステム上の個人データの管理ができてないことは明らかであり、Googleの設定しているポリシーではデータ保護ができていないことは明らかです。
Braveは、RTBによるデータ違反への行動を求めるキャンペーンを1年間実施
1年前の2018年9月、BraveはGoogleなどによるRTB広告システムにおいて大規模なデータ違反が進行中であることを明らかにしました。RTB市場では何十億人ものインターネットユーザーについてオンライン上の行動情報が流出しているのです。Braveが現在取り組んでいる運動は、数十億ドル規模のRTB市場を改革です。この活動は、プライバシーに関する活動を行うNGOや学者のみなさまの協力を得て、EUの16か国で実施しています。このキャンペーンは主にRTBシステムを管理するGoogleとIABを対象にしています。
Braveは複数の規制当局に、苦情の申し立てと専門家による証拠を提出しました。これにより、アイルランドのデータ保護委員会は、GoogleのRTB広告システムによるGDPR侵害の疑いに関する法的調査を開始し、英国情報コミッショナーからは報告書が発表され警告が発せられたのです。
「12ヶ月前、私は最初にアイルランドのデータ保護委員会に苦情申し立てをしました」と、BraveのRyan博士は述べました。「この膨大なデータ漏洩は今もなお進行中なので、その阻止にむけてDPCに対応を急いでいただきたいと思っています」
ユーザーがRTBシステムを使用しているウェブサイトにアクセスするたびに、ユーザーに関するデータが数十または数百のトラッキング会社に配信され、広告主は競って広告を表示しようとしています。このデータには、ユーザーが閲覧しているコンテンツのカテゴリー情報、具体的には、ユーザーの性的指向[4] 、政治的見解[5]、宗教観[6]、エイズを含む健康状態[7]、性病[8]、うつ病[9]などが含まれています。また、ユーザーが閲覧し視聴しているコンテンツと位置情報も含まれています。そして、このデータにはユーザー固有の仮名IDコードが追加されており[10] 、時間が経過しても全てのデータがあなたに紐づいたままになります。
この仕組みにより、一般のインターネットユーザーが名も知らないような企業が、ユーザーの詳細なプロファイルと行動を起こす動機を把握し取引することができるのです。これが1日に数千億回も起こっています。
データがいったん拡散した後は、Googleがデータを管理することはできません。Googleのポリシーは、ユーザーの機密データを共有する数千もの企業に、自社でコンプライアンスを遵守し、適切な行動を各社で判断するよう求めているだけです[11]。
重要な事実
- Google のDoubleClick/認定バイヤーは 840 万以上のウェブサイトにインストールされています[12]。
- これらのサイトを訪問した個人に関するデータは、2,000以上の企業に、1日に数千億回も拡散されています[13]。
- データには、ユーザーの位置、推測された宗教的、性的、政治的特徴、およびオンライン上で閲覧し視聴したコンテンツが含まれています[14]。
- データがいったん拡散された後に起こることは、全く管理されていません[15]。
- これは、これまで類を見ない大規模な個人データ漏洩であるように思います。
- RTB市場でいったん拡散されたデータを保護するためにGoogleが用意している手段は、データを共有する何千もの企業に自己規制を求める、という弱いポリシーのみです[16]。
- GoogleとIABのリアルタイム入札(RTB)システムの問題を是正するためにGDPRの規制を求めるキャンペーンに参加している団体、個人は次の通りです。Brave、the Open Rights Group、英国アラン・チューリング研究所のMichael Veale博士、Panoptykon財団、Bits Of Freedom、Eticas財団、Exigo、アムステルダム大学のJef Ausloos博士、ルーヴァン・カトリック大学のPierre Dewitte博士、Liberties.eu、the Society for Civil Rights、Digitale Gesellschaft、Netzwerk Datenschutzexpertise、Deutsche Vereinigung für Datenschutz、the Italian Coalition for Civil Rights and Freedoms、 the Bulgarian Helsinki Committee、the Association for the Defense of Human Rights in Romania、the Italian Coalition for Civil Rights and Freedoms、the Estonian Human Rights Centre、the Peace Institute。
GDPRの内容
- GDPR第5条(1)fは、個人データを厳しく管理することを義務付けています。
「個人データは、無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。(「完全性及び機密性」)」
- GDPR の第5条(1)aおよびb では、個人が自身の個人データに起こることを適切に情報を得ることをぎむづけています。
「個人データは、そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。(「適法性、公正性及び透明性」)」
「個人データは、特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第 89 条第 1 項に従い、当初の目的と適合しないものとはみなされない。(「目的の限定」)」
- アイルランドのデータ保護委員会は現在、アイルランドデータ保護法第110条に基づいて、GoogleをGDPR「違反の疑い」で調査しています。
- Google は、DoubleClick/認定バイヤー向け広告事業で個人データの取り扱いを全て停止せざるを得ず、世界の売上高の 4% まで罰金を科せられる可能性があります。
謝辞
MetaXのZach EdwardsとBraveのLuke MulksとJimmy Secretanに感謝します。またRTB改革キャンペーンを共に実施した以下の皆様には、篤く感謝の意を表します。the Open Rights Group、英国アラン・チューリング研究所のMichael Veale博士、Panoptykon財団、Bits Of Freedom、Eticas財団、Exigo、アムステルダム大学のJef Ausloos博士、ルーヴァン・カトリック大学のPierre Dewitte博士、Liberties.eu、the Society for Civil Rights、Digitale Gesellschaft、Netzwerk Datenschutzexpertise、Deutsche Vereinigung für Datenschutz、the Italian Coalition for Civil Rights and Freedoms、 the Bulgarian Helsinki Committee、the Association for the Defense of Human Rights in Romania、the Italian Coalition for Civil Rights and Freedoms、the Estonian Human Rights Centre、the Peace Institute。
注釈
[1] BuildWithの「DoubleClick.Net Usage Statistics」 (URL: https://trends.builtwith.com/ads/DoubleClick.Net)
[2] Googleは、2019年6月36日付け認定バイヤーガイドの「Cookie matching」の項目で、企業が「マッチテーブルからのデータを結合する」ことを禁止しています。 (URL: https://developers.google.com/authorized-buyers/rtb/cookie-guide)
[3]Googleは、2018年9月5日に更新した「Important changes to data transfer(データ転送に関する重要な変更)」にて、RTB入札リクエストから「暗号化されたクッキーIDを削除した」と公表しています。(URL:https://support.google.com/dcm/answer/9006418?hl=en)
[4] 例えば、Google コードを参照すると113行では、「Lesbian, Gay, Bisexual & Transgender(レズビアン, ゲイ, バイセクシュアル & トランスジェンダー)」1301行では、「Same-Sex Marriage(同性結婚)」と記載されています(Google コード: https://developers.google.com/authorized-buyers/rtb/downloads/publisher-verticals)。 これは、Googleの認定バイヤーRTBプロトコールで言及されています。https://developers.google.com/authorized-buyers/rtb/realtime-bidding-guide.
[5] 例えば、Google コード409行「Right-Wing Politics(右翼政治)」、410行「Left-Wing Politics(左翼政治)」(同書)。
[6] 例えば、Googleコード550行「Jewish Culture(ユダヤ人文化)」、1124行「Jewish Holidays(ユダヤ人の祝日)」、864行「キリスト教」、1275行「Islamic Holidays(イスラムの休日)」と868行「Islam(イスラム教)」(同書)。
[7] Googleコード 625行「エイズとHIV」(同書)。
[8] Googleコード 421行「Sexually Transmitted Diseases(性感染症)」(同書)。
[9] Googleコード 640行「Depression(うつ病)」(同書)。
[10] GDPR の前文第30項で以下が明記されている。「自然人は、インターネットプロトコルアドレス、クッキー識別子、又は、無線識別タグのようなその他の 識別子といったような、当該自然人のデバイス、アプリケーション、ツール及びプロトコルによって提供され るオンライン識別子と関連付けられうる。これは、特に、サーバによって受信されるユニーク識別子及びその 他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用 いられうる痕跡を残しうるものである」
[11] Googleは、2018年8月22日更新の認定バイヤープログラムガイドラインにて、データ送信先の企業に対して「定期的に本義務の遵守を監視し、認定バイヤーがもはや本義務を果たせなくなった場合 (または本義務を果たせなくなる重大なリスクがある場合) は、直ちにGoogleに書面で通知すること。また、そのような場合は、認定バイヤー(データ受信者)は直ちに個人情報の取扱いを中止するか、またはその他適切な水準でデータを保護するための合理的かつ適切な措置を講じること」を求めている。 (https://www.google.com/doubleclick/adxbuyer/guidelines.html)
[12] BuildWithの「DoubleClick.Net Usage Statistics」(URL: https://trends.builtwith.com/ads/DoubleClick.Net)
[13] 2019年4月18日更新のGoogle認定バイヤーガイドの「アドエクスチェンジ外部認定ベンダー」(URL: https://developers.google.com/third-party-ads/adx-vendors)また、2019年2月にアイルランドのデータ保護委員会および英国情報コミッショナー事務局に提出した証拠「1日あたりの入札リクエスト数」(URL: /wp-content/uploads/2019/07/Scale-billions-of-bid-requests-per-day-RAN2019061811075588.pdf)
[14] 「行動ターゲッティング広告と個人データに関するRyanレポート」(URL: /wp-content/uploads/Behavioural-advertising-and-personal-data.pdf) 、「IABのオープンRTB市場およびGoogle認定バイヤー仕様文書からの入札リクエストのデータの例」(URL: https://fixad.tech/wp-content/uploads/2019/02/3-bid-request-examples.pdf) を参照。また、アイルランドのデータ保護委員会と英国情報コミッショナー事務局に2018年9月12日と2019年2月20日に提出された証拠、「Googleのpublisher verticalsリスト」(URL: /wp-content/uploads/Google-publisher-verticals-marked-up.pdf)を参照。
[15] 2018年9月12日にアイルランドのデータ保護委員会と英国情報コミッショナー事務局に証拠として提出された「行動ターゲッティング広告と個人データに関するRyanレポート」(URL: /wp-content/uploads/Behavioural-advertising-and-personal-data.pdf)および、2019年2月20日にアイルランドのデータ保護委員会と英国情報コミッショナー事務局に証拠に提示されたIAB文書「pubvendors.json v1.0」 (URL: /wp-content/uploads/2019/02/2-pubvendors.json-v1.0.pdf)。
[16] 2018年8月22日更新のGoogle認定バイヤープログラムガイドライン。