Braveは、イギリスの競争・市場庁（CMA）にRTB市場の問題を解決し、広告市場におけるGoogleの独占を終わらせる方法を提案しました。

Braveはイギリスの競争・市場庁（CMA）に書簡を提出しました。その中で、GDPR（EUの一般データ保護規則）を徹底しなければGoogleの独占は続くであろうことと、CMAによる「オンラインプラットフォームとデジタル広告：市場調査中間報告書」に足りない点を指摘しました。

広告の「リアルタイム入札」（RTB）市場が健全に機能するためには、内部データと外部データ両面のデータ保護が必要です。

Googleが市場を独占できているのは「内部データ」を無制限に利用しているためです。Googleの不当なデータ優位性を是正し、消費者の力によってGoogleの事業を「機能分離」させるためには、GDPRの徹底が必要です。

同時に、RTB市場に参加している多くの企業間で無制限に利用されている「外部データ」に対してもGDPRの適用が必要です。

Braveはこの書簡の中でCMAに５つの提案をしましたが、特に重要なのは、CMAからイギリスの情報コミッショナーに以下の実施を説得することです。１）RTB市場での「外部データ」侵害を規制すること、２）Googleの「内部データ」の無制限な利用への規制を開始することです。

オンライン プラットフォーム チーム
競争・市場庁
Victoria House
Southampton Row
London WC1B 4AD
United Kingdom

2020年2月12日

「オンラインプラットフォームとデジタル広告」に関するご相談への回答

1. 私はプライベートウェブブラウザのBrave社を代表してこの書簡を提出いたします。2019年7月30日に、Ryan博士とLynskey博士がCMAのオンラインプラットフォームとデジタル広告の市場調査のScope of Statementについて書類を提出いたしました。この書簡はそれに続くものです。
2. 今回の書簡では、CMAにご検討いただきたい２つの提案をしています。どちらも、2019年12月発行のCMAの中間報告書には含まれていません。
   • 第一に、消費者主導のデジタルプラットフォームの機能分離を入念に検討することを提案します。
   • 第二に、「リアルタイム入札」（RTB）市場を機能させるために、「内部データ」と「外部データ」両面への規制が必要であることを警告いたします。
3. 当社が結論として出したアクションに関する個別のご提案を、以下、項目に分けてご説明します。

I. 消費者主導のデジタルプラットフォームの機能分離について

プラットフォーマーによる独占：「内部データ」の無制限な利用

3. 垂直統合プラットフォームは、内部データを無制限に利用しています。中間報告書の中でCMAは次の点を指摘しています。
   
   

「Google と Facebook は、消費者向けサービスを広く普及し多数のサードパーティのサイトやアプリをカバーしていることで、大量かつ多様なデータを収集可能なため競合優位性がある[1]」

3. 2012年にGoogleは、各事業から取得した異なるユーザーデータを統合していることを明らかにしました。欧州のデータ保護当局はこれを調べ以下のように説明しています。「個人情報の収集範囲と潜在的な使用範囲に関する制限が欠如している。（中略）（Googleの）新しいプライバシーポリシーでは、Googleがあらゆる目的のためにあらゆるサービスのほぼすべてのデータを統合することができるようになっている[2]」
4. 2019年、ドイツの連邦カルテル庁は、Facebookが「実質的な制約なしにFacebookユーザーアカウントのすべてのデータを統合する[3]」手法についてほぼ同じ表現を使いました。
5. CMAも、垂直統合プラットフォームが広告事業を拡大するために、異なる事業（複数のウェブサイト、アプリ、OS間の統合も含む）から収集した個人情報を統合し相互利用していることを認識しています[4]。
6. CMAは中間報告書にGoogleの内部文書から次のような引用を載せています。「Googleは誰よりも多くのソースから、より多様で多量のデータを保持している[5] 」。GoogleやFacebookの競合他社がターゲット広告を行うのは、データの質と量が劣るため圧倒的に不利である、とCMAは結論付けています。
   
   
   

   「他のプラットフォームのデータ保有やターゲティング機能は自社サービスユーザーのデータ範囲で行われているため、GoogleやFacebookに比べ限定されている。また、サードパーティのウェブサイトとアプリから消費者データを収集し自社で収集したデータと統合する能力は極めて限定されている[6]」

7. 内部データの無制限な利用には、競争の観点から複数の問題があります。具体的には、貴重な個人データの結合・一括同意・過剰の収集と利用、および個人情報の過度な活用などでです。これらは、「プラットフォームによる囲い込み[7]」、すなわち支配的地位の定着、参入障壁の強化、競合他社の排除につながるのです。

データ保護法は、無制限な内部データの収集と利用を容認しない

9. CMAの分析では、GDPRによって垂直統合プラットフォームによる内部データの無制限な利用を管理できていると結論づけていますが、それは間違いです。中間報告書では、「単一のサービスプロバイダーとは違い幅広いサービスを提供しているため、一度で全てに同意を得ることができる[8] 」と記されています。
10. データ保護法では、垂直統合プラットフォームにおける無制限な内部データを容認していません。GoogleとFacebookにデータ優位性が生じているのは、当局がデータ保護法を徹底していないからだけです。
11. CMAで示された一括同意の手法は、データ保護法における透明性、公平性、説明責任、および使用目的の制限に関するGDPR要件の一部または全体を侵害しています。
12. GDPRの第5条(1)bでは、「個人情報は、特定の、明白かつ正当な目的のために収集され、それらの目的と異なる形で使用されないものとする[9]」と述べられています。
13. GDPRの前文第32項では、同意は個別に取得し一括取得されてはならないことを明確にしています。「同意は、同じ目的のために行われる全ての取扱活動を包摂しなければならない。取扱いが複数の目的をもつ場合、同意は、それらの全ての目的に対して与えられなければならない[10]」
14. 同様に、欧州のデータ保護当局は次のように述べています。
    
    
    

    「管理者が取扱いに関する複数の目的を一括し、各目的についてそれぞれ個別に同意を求めようとしないならば、自由の欠如となる。この粒度は、同意が特定されるべき必要性と密接に関係している。（中略）データの取扱いがいくつかの目的のために行われる場合、有効な同意という条件に従う解決策は、粒度、すなわち、これらの目的の区別、及び各目的について同意を得ることにある[11]」

15.  欧州のデータ保護局からの別のガイダンスでは、GDPRに基づく同意要求は、個人がデータの使用目的を予見できる場合にのみ有効である、としています。「自らの個人データの取扱目的をめぐってデータ主体の想定外であるようなことがあってはならない[12]」
16. 欧州の裁判所は、同意取得は個別かつ具体的であるべきという要件に基づいて判決を下しています[13] 。そのため、当局がデータ保護法を徹底するのであれば、垂直統合プラットフォームの一括同意に関するCMA中間報告書の記述は間違っていることになります。

消費者主導の解決策

17. GDPRには、消費者によって問題を解決するための手段があります。たとえば、以下のデータ保護法の要件が徹底されると消費者は Google を機能的に分離することができるようになります。
    18. GDPR第5条(1)b、目的の制限
    19. GDPR第9条、特別な種類の個人情報
    20. GDPR第7条、同意の容易な撤回

a） 目的の制限

18. Orla Lynksy博士と私は、CMAによる調査のScope of Statementについて提出した書類で、目的の制限の重要性について以下のように述べました。
    
    
    

    「取扱いデータごとに法的根拠の取得が必要で、かつ利用目的が正当で予見可能でなければいけない場合、支配的地位にあるデジタル企業の「ソフト」な分離がおこる可能性があります[14]」

19. Braveは予備的な分析によって、Googleの膨大な内部データには数百の取扱い目的があることを明らかにしました。これは、第5条(1)bを含むGDPRの原則の侵害です。したがって、データ保護法を徹底することで、Googleの内部データの無制限な利用を解決するべきです[15]。
20. ドイツの連邦カルテル庁が2019年2月に下したFacebook社に対する決定も同様の考えに基づくものです。この決定では使用目的に関して、Facebookグループ内でデータを分離することを求めました（ただし、主に子会社内ではなく子会社間の相互利用に焦点を当てています）[16]。この決定は、デュッセルドルフ高等地方裁判所で本質的でない理由で仮差止めされ、現在ドイツの連邦司法裁判所で審理中です。ただ連邦カルテル庁も競争法違反とするには十分な証拠が出せていない可能性があります。しかし、もしデータ保護当局がデータ保護違反として同様の決定を行った場合、確実にデータ保護法適用事例になったでしょう。連邦カルテル庁の決定は実際正しいものでしたが、使用した枠組みが間違っていたと思われます。
21. データ保護当局は、目的の制限による解決策を強化して「プライバシーポリシー結合[17]」を阻止するべきです。そのためには、GDPRの「特別な種類の個人データ」と「容易な撤回」という２つの要件も徹底する必要があります。

b） 特別な種類の個人データ

22. Google が必要とする法的根拠は同意の取得だけではありません。Google は多くの場合、個人データを不正に分類し明示的な同意を求めずにすませているように思われます。
23. 恐らくGoogleが統合し相互利用している個人データの多くは「特別な種類の個人データ」であり、そのようなデータの使用はEUデータ保護法で特に厳しく保護されています。GDPRでは、特別な種類の個人データを次のように定義しています。「人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータ[18]」。「明らかにする」という言葉から、個人データから引き出された推論も含まれることが明白です。.
24. Google は、本人の「明示的な同意」がある場合にのみ特別な種類の個人データを使用することができます[19] 。ただし、本人の関係者によって公表されている場合は除きます[20] 。正しく特別な種類の個人データを分類することを徹底すれば、Googleが適切な同意を求めずに何らかの目的のために個人データを不法に使用し続けることはできなくなります。
25. 目的の制限の徹底によって、Googleが自動的に個人データを統合して相互利用することを阻止できるでしょう。また、特別な種類の個人データ（GDPR第9条）の徹底によって、Googleによるプライバシーポリシー結合も阻止できると思われます。

c） 同意の容易な撤回

26. 現在、EUデータ保護法は「データ主体は、自己の同意を、いつでも、撤回する権利を有する[21]」と定めています。また、「同意の撤回は、同意を与えるのと同じように、容易なものでなければならない[22]」という定めもあります。
27. これは現在徹底されていません。垂直統合プラットフォームから同意を撤回することは、同意を与えるよりもはるかに困難です[23]。
28. 目的の制限、特別な種類の個人データ、容易な撤回の3つを適用すると消費者による解決が可能となります。具体的には以下2つの観点から垂直統合プラットフォームの優位性が是正されるでしょう。
    29. 第一に、消費者が全サービスや商品に自動的にオプトインされることがなくなります。その結果、各サービスはそれぞれのサービスのメリットを訴求してユーザーのデータ取得を競うようになります。垂直統合プラットフォームは、内部データを無制限に利用できなくなり、これまでの圧倒的なデータ優位性を失うことになります。
    30. 第二に、消費者は、どの企業のどの部署が何の目的のために個人データを利用可能とするかを決定する権限を持つようになります。
29. したがって、CMAは、目的の制限、特別な種類の個人データ、容易な撤回の徹底を早急に実施するようICOを説得するべきです。ICOが対応できない場合は、ドイツの連邦カルテル庁の事例をもとにCMA自ら徹底に向けて行動がとれないかを検討するべきです。
30. CMAの中間報告書では、目的の制限についてほぼ触れられていません。メインレポートでは脚注（脚注223）のみ、付録Eでは段落2（144-145）のみの記載です。英国の競争・市場庁の中間報告書に対するFuhrman氏のレビューや欧州委員会競争総局の「デジタル時代の競争政策（Competition Policy for the Digital Era）」報告書においても、目的の制限に関する記載が抜けています。むしろ他のデータ保護の概念（相互運用性やデータポータビリティなど）に焦点が当てられています。これは誤りです。

 

II. リアルタイム入札」（RTB）市場を機能させるために、「内部データ」と「外部データ」両面への規制が必要であることについて

31. CMAは中間報告書の中で、オンライン広告のリアルタイム入札市場におけるEUデータ保護法の徹底がかえってGoogleを有利にする可能性があるという懸念を表明しています[24]。
32. このCMAの見解は誤りだと考えています。理由は以下の通りです。
    1. 報告書で想定されているGoogleの優位性とは、ICO が規制の徹底を RTB 参加企業間による「外部データ」の無制限な利用のみに適用しGoogle の「内部データ」の無制限な利用に適用しなかった場合にのみ発生するものです。
    2. 外部データが無制限に利用されている状態では、RTB市場は健全に機能せずむしろ有害です。
    3. より良いRTB市場を確立させることは可能だと思われます。

A.想定されているGoogleの優位性とは、ICO が規制の徹底を RTB 参加企業間による「外部データ」の無制限な利用のみに適用しGoogle の「内部データ」の無制限な利用に適用しなかった場合にのみ発生 

33. 競争の観点から見ると、RTB 市場には外部データと内部データという2つの側面でデータ保護に問題があります。
    CMAは、外部のデータ保護の侵害に関する規制のみを検討しています。つまり、Googleは自社の「内部データ」の無制限な利用を継続できるのに対し、数千社のRTB参加企業が関与している「外部データ」の無制限な利用は終了します。これにより、Google はDSP/SSP双方をもつプレイヤーになり、市場全体を取り込むことが可能になります。これでは、CMAが目指す健全に機能する活況のある市場は実現されないでしょう。
34. RTB市場の外部データにはデータ保護の観点から問題があります。安全性が確保されないまま数千の企業に個人データが拡散されていることです。これはGDPR第5条(1)fの「安全性」の侵害に当たります。Braveは同僚とともに、この問題についてEUの16のデータ保護当局に正式なGDPRへの苦情申し立てをしています[25]。

35. しかし、この外部データの問題は単独で考慮してはいけません。RTB市場でのCMAが想定した問題（規制によりGoogleの優位性を高めてしまう）への解決策は、より大きなデータの独占問題の解決策と実は同じです。つまりGoogleの独占を可能にしている「内部データ」の無制限な利用に対するデータ保護法の徹底です。
36. たとえデータ保護当局がRTB市場を規制したとしても、Googleの「内部データ」の無制限な利用に対する規制がなければ、Googleの圧倒的な優位性はかわらないでしょう。RTB市場での膨大なデータ保護違反を解決しようとして外部データ規制が導入された場合どうなるかは不明ですが、この優位性が強化されることもあり得ます。

B. 外部データが無制限に利用されている状態では、RTB市場は健全に機能せずむしろ有害

37. ルールが存在しなかった市場で法律が施行されると、法律を順守した企業が利益を得ることになります。このことは、19世紀に医療従事者に関するガバナンスが確立されたときと同様と考えられます。中世時代では理髪師が外科手術をしていましたが、今そのことを惜しむ人はいないでしょう。医師の学位や免許なしに診療行為を行うことが違法であることは妥当なことです。一方で、CMAとICOが単に法律を順守させられないかもしれないという理由で、オープンマーケットにおける違法な企業を保護することは、合理的でもなく現実的でもありません。

i） プライバシーに対する害

38. Google のRTBシステムとIAB のRTBシステムは、インターネットユーザーがオンラインで何を読み、視聴したかに関する情報を数千もの企業に拡散しています。そして、一度拡散されたデータへの保護はありません。これについてBraveから証拠を呈示しています[26]。
39. このデータ侵害は1日に数千億回も発生し、非常に機密性の高い情報が含まれていることもあります。英国の地方自治体サイト上で依存症、障害、貧困の助けを求めた人の個人データが、RTB市場で何千もの企業に配信されているのです。これはBraveが最近報告した通りです[27]。
40. RTB市場でデータが何千もの企業に配信されると、その利用方法を知り管理することなどが不可能になります。このRTB市場における根本的でシステマティックなデータ侵害によって、イギリスに在住するすべての人が大量プロファイリングの対象となり、情報操作や差別に伴うリスクにさらされています。このようなリスクは深刻なもので例を挙げると以下の通りです。

• 求職者を絞り込むアルゴリズムが候補者を差別
• 消費者によって商品価格を変更
• 政治キャンペーンで有権者をマイクロターゲットして偽情報を提供

41. IABとGoogleは、この問題を解決するための措置をとっていません。最近リリースされたIABの「透明性と同意の枠組み（Transparency & Consent Framework）」の第2版では、IABが「ベンダー[28]のコンプライアンスを定期的に見直し、検証するための手順を適用する可能性がある[29] 」とだけ述べています。ICOによって設定された6ヶ月の猶予期間が12月に終了しますが、IABの対応は、単にこの問題に関する社内検討の場を設け、RTB参加企業に拘束力のない提言をする程度です[30] 。GoogleのRTBシステムも同様で、データ配信を受け取る2,000社以上の企業による自己規制をあてにしています[31]。 Googleは最近、Googleから配信された数兆の個人データの利用方法についてRTB参加企業への監査を試みるかもしれないと述べました。しかし正式な調査権限がないので実行は不可能です。

ii） アドフラウドの問題

42. RTB市場は、データ侵害とそれによるプライバシー被害の問題だけでなく、健全に機能していないことも問題です。RTB市場にはフラウド[32] や不透明で高額な手数料率[33]が存在し、広告主や正当なパブリッシャーが損害を被っていることをCMAは指摘しています。ただ、CMA中間報告書の不正金額の見積もりは、実際よりも少ないので注意が必要です[34]。正当なパブリッシャーが被っているアドフラウドの大きさが十分に反映されていません。Business Insiderは、わずか15分のうちに2500万インプレッションの偽広告が配信されていたことを発見しました。それらは(偽装した)行動データを利用して本来Business Insiderが受け取るべきであった広告予算を掠め取っていたのです[35]。 その結果、ある広告主がBusinessInsider.comの広告購入に40,000ドル支払っていながら、ビジネスインサイダーが受け取った金額は100ドル未満だったことが分かったのです。

 

iii） オーディエンス・アービトラージの問題

43. また、「オーディエンス・アービトラージ」の問題が中間報告書から欠落しています。正当なパブリッシャーのオーディエンスがRTBシステムで商品化されているのです。これは私がOrla Lynsksy博士と共にCMAに提出した書簡の主題でした[36] が、検討されるべき非常に重要な問題です。
44. オーディエンス・アービトラージは、価値の高いウェブサイト上で低コストで獲得された個人を、価値の低いウェブサイト上の広告ターゲットにすることを可能にするものです。パブリッシャーのRecode社はこの仕組みを以下のように説明しています。
    
    「私は夕食会である大手広告幹部の隣に座っていました。彼は私たちの新しいサイトのクオリティをほめてくれました。（中略）。そこで、彼にこの駆け出しのサイトに広告を掲載してくれるかどうかを聞いてみたのです。彼は、少しの間掲載するだろう、と言いました。そして、Recodeサイトにおいたクッキーがサイトにくる良いオーディエンスを追跡できるようになったら、代理店はこのオーディエンスがたまたま訪れるコストの安いサイトに広告を移し替えるだろう、と。つまり、私たちのような質の高いジャーナリズムは、彼にとって、ターゲットオーディエンス獲得のリードジェネレータに過ぎないのです。最終的にはクオリティを気にしないサイトに利益が落ちるのです[37]」

サードパーティがオーディエンスを特定できる限り、パブリッシャーがオーディエンスと築いた関係はただ乗りされてしまうのです。

C. より良いRTB市場を確立させることは可能

45. CMAの中間報告書の見解とは異なり、広告ターゲティング、フリークエンシーキャップ、効果測定に個人データの配信は必要ありません。代替手段はすでに出てきています[38]。
46. 意外にも中間報告書には、EUデータ保護法を内部データと外部データに徹底した後、個人データを利用できない状況（Facebook、Google、または他のプレイヤーも含めて）における広告ターゲティング市場のシナリオが存在しません。
47. 現時点では、個人データを利用したターゲット広告の方が、個人データを使用しないターゲット広告よりも収益性が高いでしょう。しかし、その収益の恩恵はパブリッシャーではなく仲介者にもたらされています。そしてこの事実は、データ保護法が内部データおよび外部データに適用された後の市場における「非」個人データの価値形成に何の関係もありません（炭素規制が導入された場合、自動車ショールームで、電気自動車の現在価格を今後の節約可能なガソリン代と比較する人がいなくなるのと同じです）。
48. 外部データ対するデータ保護が適用された未来のオープンマーケットでは、多数の市場参加者間で個人データが拡散されることがなくなります。一方、ターゲット広告に対する需要が変わらないとすると、「非」個人データを使用したターゲット広告の価格は上昇します。「非」個人データは需要を満たす概ね唯一の手段となるからです。
49. 内部データの無制限な利用に対しても措置が取られた場合、同じことが「ウォールドガーデン」プラットフォームにもおきます。信用力の高いパブリッシャーは、ファーストパーティとして個人データを利用できるため立場が強くなります。これにより、質の高いニッチセグメント向けのメディア運営をすることが可能になるでしょう。

レコメンデーション

50. 以上にもとづいて、競争・市場当局がとるべき行動についていくつかご提案します。これらを考慮いただき、必要に応じてBraveにお声かけいただければと思います。
    1. CMAの中間報告書では、プラットフォームの独占を可能にしている「内部データ」の無制限の利用の問題への対応として「目的の制限」を使用することが充分検討されていません。プラットフォーム各社は、様々なサービスをつなぎ、個人データを過度に利用し、市場を独占しています。目的の制限を徹底すれば、市場のユーザーの力で、プラットフォーマーのデータの機能分離を進めることができます。CMA は、この解決策を詳しく調べるべきです。ドイツの連邦カルテル庁のデュッセルドルフ裁判所の判決が示すように、この解決策はデータ保護法の観点で、そしておそらくデータ保護当局主導で実行されるのが最善です。したがって、CMAは目的の制限による解決策をどのように実行すべきかをICOと議論すべきです。
    2. CMAは、目的の制限による解決策をEU全域の該当機関の議題にあげるべきです。2020年春のEDPSクリアリングハウス会議で、各国のデータ保護当局との連携を実現するべきです。
    3. CMAは、欧州委員会競争総局とカリフォルニア州司法省にも目的の制限による解決策を議題にあげてもらうべきです。重要なことに、カリフォルニア州消費者保護法（CCPA）の規則制定（カリフォルニア州司法長官管轄）に「目的の明確化」が含まれています。さらにこれに続く、2020年11月に投票される予定の法案（CPRA）にも含まれています[40]。
    4. CMAはその中間報告書でデータ保護法を、RTB市場の「外部データ」に適用することへ懸念を表明しています[41]が、本来CMAがすべきことはICOへ行動を促すことです。情報コミッショナーは、RTBシステムで無制約に利用さている外部データにデータ保護法を適用することに消極的です。しかし、第5条(1)f「安全性」の徹底は、イギリス最大のデータ侵害を終わらせるために必要であると同時に、正当なパブリッシャーとイギリス国内の消費者への被害を是正するといった良い効果を市場にもたらすことができます。
    5. CMAは、ICOがアイルランドおよびベルギーのデータ保護当局と緊密に連携し、デジタル広告市場における「内部データ」および「外部データ」に対するデータ保護法の徹底の効果を最大化するようICOを説得すべきです[42]。

敬具

Johnny Ryan博士、FRHistS

チーフ・ポリシー&インダストリー・リレーションズ・オフィサー

Brave

 

 

注釈

オンライン プラットフォーム チーム
競争・市場庁
Victoria House
Southampton Row
London WC1B 4AD
United Kingdom

2020年2月12日

「オンラインプラットフォームとデジタル広告」に関するご相談への回答

1. 私はプライベートウェブブラウザのBrave社を代表してこの書簡を提出いたします。2019年7月30日に、Ryan博士とLynskey博士がCMAのオンラインプラットフォームとデジタル広告の市場調査のScope of Statementについて書類を提出いたしました。この書簡はそれに続くものです。
2. 今回の書簡では、CMAにご検討いただきたい２つの提案をしています。どちらも、2019年12月発行のCMAの中間報告書には含まれていません。
   • 第一に、消費者主導のデジタルプラットフォームの機能分離を入念に検討することを提案します。
   • 第二に、「リアルタイム入札」（RTB）市場を機能させるために、「内部データ」と「外部データ」両面への規制が必要であることを警告いたします。
3. 当社が結論として出したアクションに関する個別のご提案を、以下、項目に分けてご説明します。

I. 消費者主導のデジタルプラットフォームの機能分離について

プラットフォーマーによる独占：「内部データ」の無制限な利用

3. 垂直統合プラットフォームは、内部データを無制限に利用しています。中間報告書の中でCMAは次の点を指摘しています。
   
   

「Google と Facebook は、消費者向けサービスを広く普及し多数のサードパーティのサイトやアプリをカバーしていることで、大量かつ多様なデータを収集可能なため競合優位性がある[1]」

3. 2012年にGoogleは、各事業から取得した異なるユーザーデータを統合していることを明らかにしました。欧州のデータ保護当局はこれを調べ以下のように説明しています。「個人情報の収集範囲と潜在的な使用範囲に関する制限が欠如している。（中略）（Googleの）新しいプライバシーポリシーでは、Googleがあらゆる目的のためにあらゆるサービスのほぼすべてのデータを統合することができるようになっている[2]」
4. 2019年、ドイツの連邦カルテル庁は、Facebookが「実質的な制約なしにFacebookユーザーアカウントのすべてのデータを統合する[3]」手法についてほぼ同じ表現を使いました。
5. CMAも、垂直統合プラットフォームが広告事業を拡大するために、異なる事業（複数のウェブサイト、アプリ、OS間の統合も含む）から収集した個人情報を統合し相互利用していることを認識しています[4]。
6. CMAは中間報告書にGoogleの内部文書から次のような引用を載せています。「Googleは誰よりも多くのソースから、より多様で多量のデータを保持している[5] 」。GoogleやFacebookの競合他社がターゲット広告を行うのは、データの質と量が劣るため圧倒的に不利である、とCMAは結論付けています。
   
   
   

   「他のプラットフォームのデータ保有やターゲティング機能は自社サービスユーザーのデータ範囲で行われているため、GoogleやFacebookに比べ限定されている。また、サードパーティのウェブサイトとアプリから消費者データを収集し自社で収集したデータと統合する能力は極めて限定されている[6]」

7. 内部データの無制限な利用には、競争の観点から複数の問題があります。具体的には、貴重な個人データの結合・一括同意・過剰の収集と利用、および個人情報の過度な活用などでです。これらは、「プラットフォームによる囲い込み[7]」、すなわち支配的地位の定着、参入障壁の強化、競合他社の排除につながるのです。

データ保護法は、無制限な内部データの収集と利用を容認しない

9. CMAの分析では、GDPRによって垂直統合プラットフォームによる内部データの無制限な利用を管理できていると結論づけていますが、それは間違いです。中間報告書では、「単一のサービスプロバイダーとは違い幅広いサービスを提供しているため、一度で全てに同意を得ることができる[8] 」と記されています。
10. データ保護法では、垂直統合プラットフォームにおける無制限な内部データを容認していません。GoogleとFacebookにデータ優位性が生じているのは、当局がデータ保護法を徹底していないからだけです。
11. CMAで示された一括同意の手法は、データ保護法における透明性、公平性、説明責任、および使用目的の制限に関するGDPR要件の一部または全体を侵害しています。
12. GDPRの第5条(1)bでは、「個人情報は、特定の、明白かつ正当な目的のために収集され、それらの目的と異なる形で使用されないものとする[9]」と述べられています。
13. GDPRの前文第32項では、同意は個別に取得し一括取得されてはならないことを明確にしています。「同意は、同じ目的のために行われる全ての取扱活動を包摂しなければならない。取扱いが複数の目的をもつ場合、同意は、それらの全ての目的に対して与えられなければならない[10]」
14. 同様に、欧州のデータ保護当局は次のように述べています。
    
    
    

    「管理者が取扱いに関する複数の目的を一括し、各目的についてそれぞれ個別に同意を求めようとしないならば、自由の欠如となる。この粒度は、同意が特定されるべき必要性と密接に関係している。（中略）データの取扱いがいくつかの目的のために行われる場合、有効な同意という条件に従う解決策は、粒度、すなわち、これらの目的の区別、及び各目的について同意を得ることにある[11]」

15.  欧州のデータ保護局からの別のガイダンスでは、GDPRに基づく同意要求は、個人がデータの使用目的を予見できる場合にのみ有効である、としています。「自らの個人データの取扱目的をめぐってデータ主体の想定外であるようなことがあってはならない[12]」
16. 欧州の裁判所は、同意取得は個別かつ具体的であるべきという要件に基づいて判決を下しています[13] 。そのため、当局がデータ保護法を徹底するのであれば、垂直統合プラットフォームの一括同意に関するCMA中間報告書の記述は間違っていることになります。

消費者主導の解決策

17. GDPRには、消費者によって問題を解決するための手段があります。たとえば、以下のデータ保護法の要件が徹底されると消費者は Google を機能的に分離することができるようになります。
    18. GDPR第5条(1)b、目的の制限
    19. GDPR第9条、特別な種類の個人情報
    20. GDPR第7条、同意の容易な撤回

a） 目的の制限

18. Orla Lynksy博士と私は、CMAによる調査のScope of Statementについて提出した書類で、目的の制限の重要性について以下のように述べました。
    
    
    

    「取扱いデータごとに法的根拠の取得が必要で、かつ利用目的が正当で予見可能でなければいけない場合、支配的地位にあるデジタル企業の「ソフト」な分離がおこる可能性があります[14]」

19. Braveは予備的な分析によって、Googleの膨大な内部データには数百の取扱い目的があることを明らかにしました。これは、第5条(1)bを含むGDPRの原則の侵害です。したがって、データ保護法を徹底することで、Googleの内部データの無制限な利用を解決するべきです[15]。
20. ドイツの連邦カルテル庁が2019年2月に下したFacebook社に対する決定も同様の考えに基づくものです。この決定では使用目的に関して、Facebookグループ内でデータを分離することを求めました（ただし、主に子会社内ではなく子会社間の相互利用に焦点を当てています）[16]。この決定は、デュッセルドルフ高等地方裁判所で本質的でない理由で仮差止めされ、現在ドイツの連邦司法裁判所で審理中です。ただ連邦カルテル庁も競争法違反とするには十分な証拠が出せていない可能性があります。しかし、もしデータ保護当局がデータ保護違反として同様の決定を行った場合、確実にデータ保護法適用事例になったでしょう。連邦カルテル庁の決定は実際正しいものでしたが、使用した枠組みが間違っていたと思われます。
21. データ保護当局は、目的の制限による解決策を強化して「プライバシーポリシー結合[17]」を阻止するべきです。そのためには、GDPRの「特別な種類の個人データ」と「容易な撤回」という２つの要件も徹底する必要があります。

b） 特別な種類の個人データ

22. Google が必要とする法的根拠は同意の取得だけではありません。Google は多くの場合、個人データを不正に分類し明示的な同意を求めずにすませているように思われます。
23. 恐らくGoogleが統合し相互利用している個人データの多くは「特別な種類の個人データ」であり、そのようなデータの使用はEUデータ保護法で特に厳しく保護されています。GDPRでは、特別な種類の個人データを次のように定義しています。「人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータ[18]」。「明らかにする」という言葉から、個人データから引き出された推論も含まれることが明白です。.
24. Google は、本人の「明示的な同意」がある場合にのみ特別な種類の個人データを使用することができます[19] 。ただし、本人の関係者によって公表されている場合は除きます[20] 。正しく特別な種類の個人データを分類することを徹底すれば、Googleが適切な同意を求めずに何らかの目的のために個人データを不法に使用し続けることはできなくなります。
25. 目的の制限の徹底によって、Googleが自動的に個人データを統合して相互利用することを阻止できるでしょう。また、特別な種類の個人データ（GDPR第9条）の徹底によって、Googleによるプライバシーポリシー結合も阻止できると思われます。

c） 同意の容易な撤回

26. 現在、EUデータ保護法は「データ主体は、自己の同意を、いつでも、撤回する権利を有する[21]」と定めています。また、「同意の撤回は、同意を与えるのと同じように、容易なものでなければならない[22]」という定めもあります。
27. これは現在徹底されていません。垂直統合プラットフォームから同意を撤回することは、同意を与えるよりもはるかに困難です[23]。
28. 目的の制限、特別な種類の個人データ、容易な撤回の3つを適用すると消費者による解決が可能となります。具体的には以下2つの観点から垂直統合プラットフォームの優位性が是正されるでしょう。
    29. 第一に、消費者が全サービスや商品に自動的にオプトインされることがなくなります。その結果、各サービスはそれぞれのサービスのメリットを訴求してユーザーのデータ取得を競うようになります。垂直統合プラットフォームは、内部データを無制限に利用できなくなり、これまでの圧倒的なデータ優位性を失うことになります。
    30. 第二に、消費者は、どの企業のどの部署が何の目的のために個人データを利用可能とするかを決定する権限を持つようになります。
29. したがって、CMAは、目的の制限、特別な種類の個人データ、容易な撤回の徹底を早急に実施するようICOを説得するべきです。ICOが対応できない場合は、ドイツの連邦カルテル庁の事例をもとにCMA自ら徹底に向けて行動がとれないかを検討するべきです。
30. CMAの中間報告書では、目的の制限についてほぼ触れられていません。メインレポートでは脚注（脚注223）のみ、付録Eでは段落2（144-145）のみの記載です。英国の競争・市場庁の中間報告書に対するFuhrman氏のレビューや欧州委員会競争総局の「デジタル時代の競争政策（Competition Policy for the Digital Era）」報告書においても、目的の制限に関する記載が抜けています。むしろ他のデータ保護の概念（相互運用性やデータポータビリティなど）に焦点が当てられています。これは誤りです。

 

II. リアルタイム入札」（RTB）市場を機能させるために、「内部データ」と「外部データ」両面への規制が必要であることについて

31. CMAは中間報告書の中で、オンライン広告のリアルタイム入札市場におけるEUデータ保護法の徹底がかえってGoogleを有利にする可能性があるという懸念を表明しています[24]。
32. このCMAの見解は誤りだと考えています。理由は以下の通りです。
    1. 報告書で想定されているGoogleの優位性とは、ICO が規制の徹底を RTB 参加企業間による「外部データ」の無制限な利用のみに適用しGoogle の「内部データ」の無制限な利用に適用しなかった場合にのみ発生するものです。
    2. 外部データが無制限に利用されている状態では、RTB市場は健全に機能せずむしろ有害です。
    3. より良いRTB市場を確立させることは可能だと思われます。

A.想定されているGoogleの優位性とは、ICO が規制の徹底を RTB 参加企業間による「外部データ」の無制限な利用のみに適用しGoogle の「内部データ」の無制限な利用に適用しなかった場合にのみ発生 

33. 競争の観点から見ると、RTB 市場には外部データと内部データという2つの側面でデータ保護に問題があります。
    CMAは、外部のデータ保護の侵害に関する規制のみを検討しています。つまり、Googleは自社の「内部データ」の無制限な利用を継続できるのに対し、数千社のRTB参加企業が関与している「外部データ」の無制限な利用は終了します。これにより、Google はDSP/SSP双方をもつプレイヤーになり、市場全体を取り込むことが可能になります。これでは、CMAが目指す健全に機能する活況のある市場は実現されないでしょう。
34. RTB市場の外部データにはデータ保護の観点から問題があります。安全性が確保されないまま数千の企業に個人データが拡散されていることです。これはGDPR第5条(1)fの「安全性」の侵害に当たります。Braveは同僚とともに、この問題についてEUの16のデータ保護当局に正式なGDPRへの苦情申し立てをしています[25]。

35. しかし、この外部データの問題は単独で考慮してはいけません。RTB市場でのCMAが想定した問題（規制によりGoogleの優位性を高めてしまう）への解決策は、より大きなデータの独占問題の解決策と実は同じです。つまりGoogleの独占を可能にしている「内部データ」の無制限な利用に対するデータ保護法の徹底です。
36. たとえデータ保護当局がRTB市場を規制したとしても、Googleの「内部データ」の無制限な利用に対する規制がなければ、Googleの圧倒的な優位性はかわらないでしょう。RTB市場での膨大なデータ保護違反を解決しようとして外部データ規制が導入された場合どうなるかは不明ですが、この優位性が強化されることもあり得ます。

B. 外部データが無制限に利用されている状態では、RTB市場は健全に機能せずむしろ有害

37. ルールが存在しなかった市場で法律が施行されると、法律を順守した企業が利益を得ることになります。このことは、19世紀に医療従事者に関するガバナンスが確立されたときと同様と考えられます。中世時代では理髪師が外科手術をしていましたが、今そのことを惜しむ人はいないでしょう。医師の学位や免許なしに診療行為を行うことが違法であることは妥当なことです。一方で、CMAとICOが単に法律を順守させられないかもしれないという理由で、オープンマーケットにおける違法な企業を保護することは、合理的でもなく現実的でもありません。

i） プライバシーに対する害

38. Google のRTBシステムとIAB のRTBシステムは、インターネットユーザーがオンラインで何を読み、視聴したかに関する情報を数千もの企業に拡散しています。そして、一度拡散されたデータへの保護はありません。これについてBraveから証拠を呈示しています[26]。
39. このデータ侵害は1日に数千億回も発生し、非常に機密性の高い情報が含まれていることもあります。英国の地方自治体サイト上で依存症、障害、貧困の助けを求めた人の個人データが、RTB市場で何千もの企業に配信されているのです。これはBraveが最近報告した通りです[27]。
40. RTB市場でデータが何千もの企業に配信されると、その利用方法を知り管理することなどが不可能になります。このRTB市場における根本的でシステマティックなデータ侵害によって、イギリスに在住するすべての人が大量プロファイリングの対象となり、情報操作や差別に伴うリスクにさらされています。このようなリスクは深刻なもので例を挙げると以下の通りです。

• 求職者を絞り込むアルゴリズムが候補者を差別
• 消費者によって商品価格を変更
• 政治キャンペーンで有権者をマイクロターゲットして偽情報を提供

41. IABとGoogleは、この問題を解決するための措置をとっていません。最近リリースされたIABの「透明性と同意の枠組み（Transparency & Consent Framework）」の第2版では、IABが「ベンダー[28]のコンプライアンスを定期的に見直し、検証するための手順を適用する可能性がある[29] 」とだけ述べています。ICOによって設定された6ヶ月の猶予期間が12月に終了しますが、IABの対応は、単にこの問題に関する社内検討の場を設け、RTB参加企業に拘束力のない提言をする程度です[30] 。GoogleのRTBシステムも同様で、データ配信を受け取る2,000社以上の企業による自己規制をあてにしています[31]。 Googleは最近、Googleから配信された数兆の個人データの利用方法についてRTB参加企業への監査を試みるかもしれないと述べました。しかし正式な調査権限がないので実行は不可能です。

ii） アドフラウドの問題

42. RTB市場は、データ侵害とそれによるプライバシー被害の問題だけでなく、健全に機能していないことも問題です。RTB市場にはフラウド[32] や不透明で高額な手数料率[33]が存在し、広告主や正当なパブリッシャーが損害を被っていることをCMAは指摘しています。ただ、CMA中間報告書の不正金額の見積もりは、実際よりも少ないので注意が必要です[34]。正当なパブリッシャーが被っているアドフラウドの大きさが十分に反映されていません。Business Insiderは、わずか15分のうちに2500万インプレッションの偽広告が配信されていたことを発見しました。それらは(偽装した)行動データを利用して本来Business Insiderが受け取るべきであった広告予算を掠め取っていたのです[35]。 その結果、ある広告主がBusinessInsider.comの広告購入に40,000ドル支払っていながら、ビジネスインサイダーが受け取った金額は100ドル未満だったことが分かったのです。

 

iii） オーディエンス・アービトラージの問題

43. また、「オーディエンス・アービトラージ」の問題が中間報告書から欠落しています。正当なパブリッシャーのオーディエンスがRTBシステムで商品化されているのです。これは私がOrla Lynsksy博士と共にCMAに提出した書簡の主題でした[36] が、検討されるべき非常に重要な問題です。
44. オーディエンス・アービトラージは、価値の高いウェブサイト上で低コストで獲得された個人を、価値の低いウェブサイト上の広告ターゲットにすることを可能にするものです。パブリッシャーのRecode社はこの仕組みを以下のように説明しています。
    
    「私は夕食会である大手広告幹部の隣に座っていました。彼は私たちの新しいサイトのクオリティをほめてくれました。（中略）。そこで、彼にこの駆け出しのサイトに広告を掲載してくれるかどうかを聞いてみたのです。彼は、少しの間掲載するだろう、と言いました。そして、Recodeサイトにおいたクッキーがサイトにくる良いオーディエンスを追跡できるようになったら、代理店はこのオーディエンスがたまたま訪れるコストの安いサイトに広告を移し替えるだろう、と。つまり、私たちのような質の高いジャーナリズムは、彼にとって、ターゲットオーディエンス獲得のリードジェネレータに過ぎないのです。最終的にはクオリティを気にしないサイトに利益が落ちるのです[37]」

サードパーティがオーディエンスを特定できる限り、パブリッシャーがオーディエンスと築いた関係はただ乗りされてしまうのです。

C. より良いRTB市場を確立させることは可能

45. CMAの中間報告書の見解とは異なり、広告ターゲティング、フリークエンシーキャップ、効果測定に個人データの配信は必要ありません。代替手段はすでに出てきています[38]。
46. 意外にも中間報告書には、EUデータ保護法を内部データと外部データに徹底した後、個人データを利用できない状況（Facebook、Google、または他のプレイヤーも含めて）における広告ターゲティング市場のシナリオが存在しません。
47. 現時点では、個人データを利用したターゲット広告の方が、個人データを使用しないターゲット広告よりも収益性が高いでしょう。しかし、その収益の恩恵はパブリッシャーではなく仲介者にもたらされています。そしてこの事実は、データ保護法が内部データおよび外部データに適用された後の市場における「非」個人データの価値形成に何の関係もありません（炭素規制が導入された場合、自動車ショールームで、電気自動車の現在価格を今後の節約可能なガソリン代と比較する人がいなくなるのと同じです）。
48. 外部データ対するデータ保護が適用された未来のオープンマーケットでは、多数の市場参加者間で個人データが拡散されることがなくなります。一方、ターゲット広告に対する需要が変わらないとすると、「非」個人データを使用したターゲット広告の価格は上昇します。「非」個人データは需要を満たす概ね唯一の手段となるからです。
49. 内部データの無制限な利用に対しても措置が取られた場合、同じことが「ウォールドガーデン」プラットフォームにもおきます。信用力の高いパブリッシャーは、ファーストパーティとして個人データを利用できるため立場が強くなります。これにより、質の高いニッチセグメント向けのメディア運営をすることが可能になるでしょう。

レコメンデーション

50. 以上にもとづいて、競争・市場当局がとるべき行動についていくつかご提案します。これらを考慮いただき、必要に応じてBraveにお声かけいただければと思います。
    1. CMAの中間報告書では、プラットフォームの独占を可能にしている「内部データ」の無制限の利用の問題への対応として「目的の制限」を使用することが充分検討されていません。プラットフォーム各社は、様々なサービスをつなぎ、個人データを過度に利用し、市場を独占しています。目的の制限を徹底すれば、市場のユーザーの力で、プラットフォーマーのデータの機能分離を進めることができます。CMA は、この解決策を詳しく調べるべきです。ドイツの連邦カルテル庁のデュッセルドルフ裁判所の判決が示すように、この解決策はデータ保護法の観点で、そしておそらくデータ保護当局主導で実行されるのが最善です。したがって、CMAは目的の制限による解決策をどのように実行すべきかをICOと議論すべきです。
    2. CMAは、目的の制限による解決策をEU全域の該当機関の議題にあげるべきです。2020年春のEDPSクリアリングハウス会議で、各国のデータ保護当局との連携を実現するべきです。
    3. CMAは、欧州委員会競争総局とカリフォルニア州司法省にも目的の制限による解決策を議題にあげてもらうべきです。重要なことに、カリフォルニア州消費者保護法（CCPA）の規則制定（カリフォルニア州司法長官管轄）に「目的の明確化」が含まれています。さらにこれに続く、2020年11月に投票される予定の法案（CPRA）にも含まれています[40]。
    4. CMAはその中間報告書でデータ保護法を、RTB市場の「外部データ」に適用することへ懸念を表明しています[41]が、本来CMAがすべきことはICOへ行動を促すことです。情報コミッショナーは、RTBシステムで無制約に利用さている外部データにデータ保護法を適用することに消極的です。しかし、第5条(1)f「安全性」の徹底は、イギリス最大のデータ侵害を終わらせるために必要であると同時に、正当なパブリッシャーとイギリス国内の消費者への被害を是正するといった良い効果を市場にもたらすことができます。
    5. CMAは、ICOがアイルランドおよびベルギーのデータ保護当局と緊密に連携し、デジタル広告市場における「内部データ」および「外部データ」に対するデータ保護法の徹底の効果を最大化するようICOを説得すべきです[42]。

敬具

Johnny Ryan博士、FRHistS

チーフ・ポリシー&インダストリー・リレーションズ・オフィサー

Brave

 

 

注釈

[1] 2019年12月、「オンラインプラットフォームとデジタル広告：市場調査中間報告」、 (URL: https://assets.publishing.service.gov.uk/media/5df9ecc040f0b609402e2838/Appendix_E_The_role_of_data.pdf  )、付録E、段落4(c)。

[2] 2012年10月16日付、第29条作業部会からLarry Page氏への書簡、 p.1～2

[3] 2019年7月2日、ドイツの連邦カルテル庁 によって「連邦カルテル庁は、Facebookに対して，多様なソースからユーザーデータを統合することを禁止する」が公表された際のAndreas Mundt氏の声明。(URL: https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html).

[4]  「オンラインプラットフォームとデジタル広告：市場調査中間報告書」、付録E、段落34-35、38、40-41、44、47。.

[5]「オンラインプラットフォームとデジタル広告：市場調査中間報告書」、付録E、段落50。

[6] 「オンラインプラットフォームとデジタル広告：市場調査中間報告書」、付録E、段落54。

[7] Thomas Eisenmann氏、 Geoffrey Parker氏、 Marshall Van Alstyne氏によるハーバード・ビジネス・スクールの報告書「Platform envelopment（プラットフォームによる囲い込み）」(URL: https://www.hbs.edu/faculty/Publication%20Files/07-104.pdf

).

[8] 段落 4.159、4.150～4.152。段落4.143も参照。

[9] 目的の制限の原則、GDPR第5条(1)b。

[10] GDPR前文32

[11] 2018年4月10日、第29条作業部会による「規則 2016/679（GDPR）の同意に関するガイドライン」、p.10。

[12] 2018年4月11日「規則 2016/679（GDPR）の透明性に関するガイドライン」、p. 24。

[13] 2018年2月16日、ブリュッセルのオランダ第一審裁判所によるロールナンバー2016/153/ A、Debeuckelaere v Facebook 判決文（2018年3月26日に宣誓した翻訳者によって翻訳され裁判所によって認められたもの）、p. 61。判決文からの引用：「『特定』とは、データ取扱いの具体的な内容やカテゴリに同意の表明が紐づいているべきものである。したがって、自由にデータ処理をするために一般的な承認を得る方法では『特定』の同意を得ることにならない」

[14] RyanとLynsky博士からCMAへの書簡、段落23。

[15] GDPRの第58条によって、データ保護当局は企業の使用目的を調査する権限がある。

[16] 2019年2月7日、ドイツの連邦カルテル庁による「連邦カルテル庁は、Facebookに対して、多様なソースからユーザーデータを統合することを禁止する」に目的がはっきり記載されている。p.2、p.5。

[17] 2019年12月14日、 Daniele Condorelli氏とJorge Padilla氏による「Harnessing Platform Envelopment Through Privacy Policy Tying（プライバシーポリシーの結合によるプラットフォーム包囲網）」(URL:SSRN上で閲覧可能、https://ssrn.com/abstract=3504025

、http://dx.doi.org/10.2139/ssrn.3504025).

[18] GDPR第9条(1)。

[19] GDPR第9条(2)a。

[20] GDPR第9条(2)e。

[21] GDPR第7条(3)。

[22] GDPR第7条(3)。

[23] 「オンラインプラットフォームとデジタル広告：市場調査中間報告書」、段落4.109～4.110、4.113、4.124～1.127。

[24]「オンラインプラットフォームとデジタル広告：市場調査中間報告書」、段落4.150～4.152、4.159、段落5.228。

[25] 背景は、/rtb-updates/を参照。

[26] 証拠は、/rtb-evidence/参照。

[27] 2020年2月4日、Braveの「Surveillance on UK council websites（イギリス地方自治体のウェブサイトの調査）」 (URL: /ukcouncilsreport/).

[28] 「ベンダー」とは、データを受け取る全ての企業を指す。

[29] IABEuropeによる「Transparency & Consent Framework（透明性と同意の枠組）、 Policies Version 2019-08-21.3」、P. 21。

[30] 2020年1月21日、BraveInsightによるIAB提案分析「Google and IAB’s inadequate proposals to reform RTB（RTB市場の改革に関するGoogleとIABの提案は不適切）」を参照。 (URL: /google-iab-reform/).

[31] グーグル社「認定バイヤープログラムガイドライン」 (URL: https://www.google.com/doubleclick/adxbuyer/guidelines/).

[32] 「オンラインプラットフォームとデジタル広告：市場調査中間報告書」、段落 5.127～5.130、 5.37、 5.122～5.135。

[33] CMAが「オンラインプラットフォームとデジタル広告：市場調査中間報告書」段落2.56に記しているように、この推定値は「広告主の支出のかなりの部分は仲介者にわたっている」ことを示唆しています。DSP では 8%から 40% の範囲で、SSP では 22% を占めています（段落 2.57）。

[34] 有効な推計値は58億ドルから430億ドルです。世界規模の見積もりについてはJuniper Research による「The impact of AI for digital advertiser（デジタル広告主へのAIの影響）、2019年5月」(URL: https://www.juniperresearch.com/document-library/white-papers/the-impact-of-ai-for-digital-advertisers) を使用しています。一方、全米広告主協会が出した数字は小さいですが、広告フラウドが少なくとも58億ドルあると見積もっています（全米広告主協会の「2018-2019 Bot baseline: fraud in digital advertising（デジタル広告のフラウド）」URL: https://www.ana.net/getfile/25093)。当局の数字が存在しないため見積もりに相違が生じています。アドフラウドの規模は大きいですが、定量化はされていません。 

[35] 2017年10月30日、AdAge「Domain Spoofing Costs Business Insider 10M Fake Impressions — in 15 Minutes （ドメインスプーフィングでBusinessInsiderに1000万のフェイクインプレッション-15分で）」を参照。 (URL:https://adage.com/article/digital/business-insider-york-times-shed-details-ad-industry-s-biggest-problem/311081)

[36] RyanとLynsky博士からCMAへの書簡、段落41～42。

[37] 2017年1月30日、The Verge、「Mossberg: Lousy ads are ruining the online experience（お粗末な広告がオンライン体験を台無しにしている）」(URL:https://www.theverge.com/2017/1/18/14304276/walt-mossberg-online-ads-bad-business).

[38] 2017年11月7日、Sean Blachfield氏「Frequency capping and ad campaign measurement under GDPR（GDPRにおけるフリークエンシーキャッピングと広告キャンペーンの測定）」(URL:https://www.linkedin.com/pulse/frequency-capping-ad-campaign-measurement-under-gdpr-sean-blanchfield/).

[39] CCPA、 セクション999.305 (a)(3)。

[40] CPREA、 セクション (B)(2).

[41]「オンラインプラットフォームとデジタル広告：市場調査中間報告書」、段落4.150～4.152、4.159、段落5.228。

[42] アイルランドのデータ保護委員会は、Googleに関するGDPRの主要な規制当局であり、ベルギーのデータ保護委員会はIABに関する主要な規制当局です。RTBシステムで使用が許可されるデータはGoogleとIABが管理しています。GDPRが「ワンストップショップ」メカニズムをもっているため、アイルランドとベルギーのICOに該当する機関は、欧州市場におけるRTBシステムの外部データの無制限な利用に対して、最初の規制対応実施の権限があります。その後、欧州データ保護委員会によって承認される必要があります。