2023年1月4日(現地時間:以下同じ)、アイルランドのデータ保護委員会(DPC)は、米Meta(メタ)社(元Facebook社)に対して、欧州のプライバシー法違反で制裁金を科しました。
これは、2022年11月28日に続く2回目の措置です。
この結果、同社は制裁金に加えて、欧州連合(EU)における広告事業の変更を求められることになりました。
なぜ、このような事態に陥ってしまったのでしょう。
この記事では、Meta社のプライバシー法違反をめぐる流れを確認しながら、ネット上のプライバシー問題とターゲティング広告やパーソナライズド広告とのかかわりについて考えると同時に、日本と欧州の違いについても解説します。
集客のDX(デジタルトランスフォーメーション/以下:DX)を推進する施策の一環として、インターネットを使った集客を考えている企業の担当者様は、どうぞ参考としてください。
目次
Meta(メタ)のプライバシー法違反の概要
アイルランドのデータ保護委員会(DPC)が、Meta社に対して欧州のプライバシー法違反を理由に制裁金を科したことが発表されたのは、2023年が明けたばかりの1月4日のこと(決定は2022年12 月31日)でした。
この措置は、Meta社が自社の保有するSNSプラットフォームで、ユーザーの同意を得ることなくパーソナライズド広告を提供したことが原因となっています。
今回の決定に至るきっかけは、2018年にオーストリアの弁護士でありプライバシー活動家でもあるマックス・シュレムス氏が率いるプライバシー保護団体が、Meta社がEUの一般データ保護規則(GDPR)に違反の疑いで告発したことです。
同氏は、Meta社のサービスが「ユーザーの個人情報を利用した広告(パーソナライズド広告)の配信に関して、ユーザー側に許可/拒否の選択肢が明確かつ具体的に提示されていない」ことを問題視していました。
確かに、Meta社の利用規約には「パーソナライズド広告への同意」は含まれています。
しかし、ユーザー側が同社のプラットフォームを利用しようとする際、利用規約へ同意するチェックボックスはあるものの、パーソナライズ広告そのものの可否を選択する仕組みにはなっていないため、このような仕組みの適法性が争点になったのです。
この告発を受けて、DPCがMeta社の現地法人が実施した処理とツールの設計や設定を調べたところ、GDPR第25条「設計・初期設定によるデータ保護」違反が見つかったのです。
そして、2022年11月28日に米Meta社の現地法人に対して2億6500万ユーロ(当時の日本円で約381億円)の罰金を科すと発表しました。
今回の措置は、それに続く2回目の決定となっており、制裁金の合計は3億9000万ユーロ(約550億円/内訳はFacebookに2億1000万ユーロ、Instagramに1億8000万ユーロ)に及んでいます。
さらに、Meta社は制裁金に加えて、EUで展開してきた広告事業の変更を求められることも予想されているため、Meta社の収益に大きなダメージを与える懸念があるでしょう。
日本においても、FacebookやInstagramをはじめとするMeta社のプラットフォームでは、ユーザーの明確な同意行動を得ないまま、個人情報に基づいたパーソナライズド広告が提供されています。
ユーザーにあった広告をピンポイントに表示できるパーソナライズド広告は、広告主にとってメリットがあるのはもちろんですが、自分の関心のある情報を知ることができるという点ではユーザー側にも利点はあるものです。
そのため、日本のユーザーの多くは、こうした広告が提供されること自体にさしたる疑問を抱いていないかもしれません。
しかし、企業側が膨大な個人データを取得・利用することにはリスクが伴います。
例えばMeta(当時Facebook)社では、2021年4月にFacebookユーザー5億3300万人の個人情報がサイバー犯罪フォーラムで公開されるという深刻な事件が発生しました。
この事件を受けて、Meta社は直ちに対応策を講じており、情報漏洩の原因になった脆弱性は修正済みと報告していますが、一度流出してしまった個人情報を取り返すことはできません。
EUにおいては、こうしたリスクが現実に存在することも含めて、重要な個人情報をユーザーの明確な同意がないまま取得するビジネスモデルを放置しておくことは、プライバシー保護の観点からも適切でないと判断されたのでしょう。
今回のEUによるMeta社への制裁とそれに付随する広告事業の転換は、プライバシー保護に関する法規制が欧州と比べて大きく遅れているといわれる日本にも、大きな波紋を呼ぶことが予想されるのです。
Meta(メタ)のプライバシー法違反が及ぼす影響
今回のMeta社への制裁は、以下の2つの広告の今後に影響を与えると考えられます。
- ターゲティング広告:企業が訴求したい商品やサービスに、興味・関心をもってもらえそうなユーザーを「狙い撃って」表示する広告
- パーソナライズ広告:ユーザーの興味・関心にあわせて、最適な商品やサービスを訴求する広告
両者は似ているようで、軸の置き方が少々異なっています。
しかし、どちらもインターネット上で取得したユーザーの属性や行動履歴などの情報をもとにして、ユーザーの元へ届けられる広告という仕組みは変わりません。
そのデータの取得には「Cookie(クッキー)」と呼ばれるWEBサーバー上のファイルが用いられており、これはユーザーがサーバー上で何らかのアクションを起こした際に作成されます。
Cookie内には重要な個人情報などがすべて格納されているため、個人情報保護の観点からも、また情報セキュリティの観点からも、最も慎重に取り扱わなければならない情報です。
Cookieの取得や二次利用に関しては、Googleなどの大手ブラウザにおいても今後段階的に廃止していくことが発表されており、その情報の重要性とリスクに対する認識は徐々に広まっているといえます。
しかし、現状ではその取り扱いは企業ごとにポリシーが異なっており、また個人データの取り扱いに関する法規制も国ごとに大きな差があります。
Mera(メタ)のプライバシーポリシー
Metaでは、2022年5月26日に新しい「プライバシーポリシー(旧名称:データに関するポリシー)」を発表しました(日本語訳発表は同年5月27日)。
その中では、Metaがユーザーの情報を第三者との共有を含めてどのように利用するかが詳細に説明されています。
その後、プライバシー専門家のフィードバックを参考に修正したうえで、7月26日より新しいプライバシーポリシーが有効となりました。
このポリシーが適用されるのは、Meta社が運営する次のプラットフォームです。
- Messenger
このプライバシーポリシーやFacebookなどの利用規約には、サービスの運営において「個人データを利用する」と明記されています。
今回のDPCの調査に対して、Meta社ではこのポリシーが明記されていることを根拠に、同社のサービスはGDPRを遵守していると主張していました。
しかし、シュレムス氏らは個人データを利用した広告を配信せずともサービスは提供できると指摘し、「規約に同意しなければサービス自体を利用できない」ことから、個人データ利用への同意を強要していると訴えたのです。
その結果は先述の通りで、現在個人データの保護に対して世界でもっとも進んでいるEUの規則に照らすと、Meta社のやり方は違法であると判断されたのです。
EUの一般データ保護規則(GDPR)
EUの「一般データ保護規則(GDPR)」は、企業が個人のデータを利用する際には、原則として本人の同意を得ることを義務付けています。
これは、ユーザー本人の「明確な積極的行為」による同意を義務付けたものであり、GDPRのガイドラインでは、画面上で事前に同意を求める「オプトイン方式」を要求しています。
この点についてGDPRは極めて厳格で、あらかじめ「同意」がチェックされたチェックボックスを提示することすら認めていません。
また、「厳密に必要なこと以外への個人データ利用について同意を強要すること」は許されておらず、「利用規約と個人データ利用への同意を抱き合わせることは極めて望ましくない」とされています。
しかし、その基準がわかりにくかったり、手続きが煩雑だったりすることもあり、GDPR施行後も企業とユーザー双方にとってこの規則をどのように解釈すべきかという認識はあいまいでした。
そのため、今回のMeta社の案件についても2021年にアイルランドのデータ保護当局で一旦は「GDPR違反ではない」と見なされたこともあったのですが、他のEU加盟国から「GDPRの意義を失わせる」など批判が噴出し、最終的に今回の裁定となったのです。
基準自体はわかりにくい部分があったため、Meta社にも同情できる部分もあるとはいえ、実際のところ、多くのユーザーがこれまで望んで個人データを提供していたとは考えられません。
サービスを利用するために仕方なく個人情報の提供に承諾していたユーザーには、今回の裁定を受けて、Meta社のプラットフォームにおける個人情報の収集や利用が選択制に変更された時点で「承諾しない」を選ぶと考えられます。
ターゲティング広告やパーソナライズド広告を望んでいるユーザーは、むしろ少数派でしょう。
つまり、今回の裁定は、Facebookの月間利用者が欧州だけでも約4億人いるとされるMeta社が収集できる個人データの量を、大きく減少させることになるのは間違いありません。
そして、取得できるデータが減少するということは、ターゲティング広告などを収益の核とする同社のビジネスモデルの根幹を脅かすことに繋がる可能性すらあるのです。
あるサービスや商品に関心を持つ可能性の高いユーザーに、ピンポイントで広告を表示できる仕組みであるからこそ、広告主にとってMeta社のプラットフォーム上の広告には大きな価値がありました。
表示されるユーザーを絞り込めるパーソナライズド広告やターゲティング広告と、ランダムに表示する広告ではその効果が異なることは言うまでもありません。
億単位のユーザーを抱えるプラットフォームの広告が持つ価値は依然としてあるものの、効果が落ちる広告しか出せないのであれば、その価値が下がることは必然でしょう。
Meta社にとっては、ビジネスの基盤が揺らぐ可能性があるほど極めて大きな痛手なのです。
アイルランドは優遇税制により多国籍企業の誘致を推進しているため、Meta社の他にも、Apple社やGoogle社などの世界的IT企業が拠点を置いています。
他のEU加盟国からの圧力によって今回の裁定が下されたことは、Meta社だけでなく、インターネット広告事業を展開している多くの企業にとっても、多かれ少なかれ影響を与える可能性があります。
今後も、こうした企業の動向からは目が離せません。
日本の個人データ保護の現状
EUではこのような重大な裁定が下された一方で、日本はインターネット上の個人データ保護に関しての法規制が、EUから大きく遅れていると言われています。
日本の個人情報保護法も、2022年施行の改正(2020年改正、2022年4月1日施行開始)により、Cookieに関する規制を強めることとなりました。
ただし、規制対象は「外部提供先が保有する氏名や年齢などの個人情報とひも付けて扱うことができる場合」などに限られています。
2022年6月に成立した電気通信事業法改正において、Cookieの外部送信における同意の義務付けが検討された際も、IT業界の強い反発を受けて見送られました。
こうしたIT業界の反発は、日本のCookie規制が限定的なものに留まっている一因となっています。
そのため、現在においても日本の法制度では、「ユーザーに通知と公表を行えば良い」という建付けになっており、これはEUの規制と比べればはるかに緩い規制といえるでしょう。
しかし、日本企業もEUに居住するユーザーにサービスを提供する場合にはGDPRに従う必要があるのは言うまでもありません。
さらに、今後はEU基準に準じる規制がグローバルスタンダードになることは間違いないでしょう。
そうなれば、ユーザー側から個人データに関する規制強化の要求が、企業や政府に寄せられることも考えられます。
つまり、今回のEUによるMeta社への制裁は、日本企業にとっても決して無関係ではないのです。
まとめ~個人情報保護法の変更も含めた中長期のビジネスモデル創出
2023年1月4日に米Meta(メタ)社に下された、欧州のプライバシー法違反の事案について時系列を整理して解説するとともに、EUと日本の個人データ保護の法規制の違いを解説しました。
世界的な流れをみても、Cookieをはじめとする個人データ保護の法規制は、今後ますます厳しくなっていくことは間違いありません。
日本においてはこれらの対策や法規制は遅れていますが、今は法的に問題ないからと現状に甘んじていては、いざ法規制の改正が決定されてから慌てることにもなりかねないでしょう。
今やDXを進める上では、中長期の戦略を見据えたSX(サステナビリティ・トランスフォーメーション)の視点は欠かせません。
集客のDXを推進する際にも、法規制の改正を含めた未来へ向けた戦略的なビジネスモデルの確立も重要なのです。
EU諸国の現状なども参考にした上で、個人データ保護の観点をしっかり捉えた、最適なDXによるビジネスモデルの創出を目指してください。
