プライバシー保護の運用を考える

データプライバシーやデータ保護、責任あるAIなど、幅広くプライバシー保護の運用を考えるブログです。

トップ > 事例まとめ > Metaのターゲティング広告に対するEU当局の規制まとめ

Metaのターゲティング広告に対するEU当局の規制まとめ

事例まとめ

(作成 2023/02/12、更新 ----/--/--)

昨年12月から今年1月にかけての、EU当局によるMetaのターゲティング広告に対する規制について、自身の中での整理も兼ねて状況をまとめておこうと思います。

認識違いや、おかしな記述などありましたら、コメント欄でお知らせいただけると幸いです。

何が起きたのか

  • 2023年1月4日、アイルランドのデータ保護委員会(DPC)は、GDPRに違反したとして、Metaに3億9,000万ユーロ(約550億円)の制裁金を科すと発表(参考1, 参考4)
  • DPCはMetaに対し、3ヶ月以内に是正策を講じるよう求めた(参考1)

何が問題となったのか

  • 2022年12月5日、欧州データ保護委員会(EDPB)は、FacebookInstagramが、これらのアプリ内での操作に基づくターゲティング広告に同意することを、同アプリを利用する際の条件にしてはならないとする裁定を下した(参考3)
  • EDPBはDPCに対し、公式の命令を出し、制裁金を科すよう求めている(参考3)
  • これはGDPRが施行された2018年5月25日の2件の申し立てに関する最終決定になる(参考6)
    • 弁護士でありプライバシー活動家でもあるMax Schrems氏が2018年にDPCに苦情を申し立てたことに端を発している(参考9) 
    • FacebookInstagram利用規約が、GDPRに違反してターゲティング広告の表示に同意することをユーザーに強制しているという申し立て(参考6)
    • Metaは、2018年のGDPR施行に伴い、FacebookInstagram利用規約を変更。従来は、ターゲティング広告に個人情報を利用する際ユーザーの同意を得ていたが、変更後の規約をユーザーが受け入れた時点で個人情報を合法的に広告に利用できると見なすようになった(参考1)
    • 問題となっているのは、MetaがFacebookInstagramの個人データを利用する上での正当性(参考8)
      • GDPRにおいては、企業がユーザーの個人データの利用を正当化するための6つの条件が定められ、そこにはユーザーの同意を得ることが含まれている(参考8)
      • Metaは、ユーザーがボタンを押すことで広告の表示に同意していると主張(参考8)
    • DPCは当初、Metaの主張が合理的だと解釈したが、DPCと他の欧州の規制当局との間で意見が対立した結果、この問題はEDPBに付託されていた(参考8)
  • Metaは長年、外部のウェブサイトやアプリのデータに基づくターゲティング広告についてはユーザーが拒否できるようにしてきたが、自社のプラットフォームについてはそうした選択肢を提供していない(参考5)
    • 同社のアプリ内でどの動画を見たか、どのアイテムをタップしたかといった行動に基づく広告については、その選択肢を用意していない(参考3)

Metaの反応は

  • Metaは異議を申し立てる意向とし、今回の決定によって自社プラットフォーム上に個人情報に基づく広告が出せなくなるわけではないと説明(参考1)
    • 「ユーザーと企業に対しては、EU全域でメタのプラットフォームにおけるパーソナライズド広告の恩恵を受け続けられることを保証します」と、同社はコメントしている(参考4)
  • GDPRは、データの利用について同意を得ることを義務付けていないとし、自社のアプローチは法に準拠していると確信していると強調(参考1)
    • 事業の運営方法を変更する必要はないとした上で、人々のデータの処理において法的に正当化できる新しい方法を見つける必要があるだけだと主張(参考4)
    • Metaは公式ブログで、この決定に異議を申し立てるつもりだと語った。「われわれのアプローチはGDPRを尊重していると確信しており、今回の決定に失望している」(参考6)
  • FacebookInstagramは本質的にパーソナライズされており、各ユーザーに独自の体験を提供することが、彼らが見る広告を含め、そのサービスに必要かつ不可欠な部分であると信じている」とMetaは声明で述べた(参考8)
  • Metaは、ユーザーが広告やプライバシーを設定するためのツールの開発に継続的に投資していると説明(参考2)
    • この取り組みには、利用規約やプライバシーポリシーの明確化、プライバシーに関する新しいショートカットメニューの追加、自分のデータを管理したり一括削除したりするツールの提供、表示される広告に関する説明などが含まれる(参考2)

今後どうなるのか

  • Metaは、自社プラットフォーム上でのオプトアウトを提供するよう求められる可能性がある(参考3)
  • 法廷闘争が長引く可能性があるものの、最終的に今回の決定が確定すれば、メタはネット上の行動履歴に基づく広告表示に同意しない選択肢をユーザーに提供することが義務付けられ、主力事業への打撃となる(参考5)
  • 判決の一部として、EDPBはアイルランドのDPCに対し、FacebookInstagramのすべての個人データの処理プロセスを網羅する、新たな調査を実施するよう命じた(参考8)
    • DPCは、これをEDPB側の「行き過ぎた行為」と呼び、欧州司法裁判所に無効化を求める予定(参考8)
  • 「これはデータが無料で使われる時代の終わりの始まりです」と、プライバシー活動家でICCL(Irish Council for Civil Liberties)のシニアフェローのジョニー・ライアンは語る(参考4)

 

引用記事

参考1:EU、米メタに制裁金4.1億ドル ターゲティング広告巡る違反で | ロイター

参考2:アイルランド当局による550億円の支払い命令、Metaは「強く反対」の方針 - ケータイ Watch

参考3:Metaのターゲティング広告モデル、EU規制当局の新たな決定に直面か - CNET Japan

参考4:メタのパーソナライズド広告を規制するEU判決は、“監視資本主義”の終わりの始まりとなる | WIRED.jp

参考5:EU、米メタに制裁金550億円 追跡型広告巡り - WSJ

参考6:アイルランド、Metaにまた罰金 GDPR違反で約547億円 - ITmedia NEWS

参考7:米メタに制裁金550億円=EUデータ保護規則違反―アイルランド当局 - 海外経済ニュース - 時事エクイティ

参考8:EUの制裁金550億円で終わらないメタの「追跡型広告」の問題 | Forbes JAPAN 公式サイト(フォーブス ジャパン)

参考9:Metaに550億円の制裁金--アイルランド当局がGDPR違反と判断 - CNET Japan

その他:

「FacebookとInstagramでユーザー追跡広告を強制表示していた」としてMetaが約547億円の罰金を科される - GIGAZINE

ターゲット広告の終わりの始まり。EUが「SNSにおける個人情報の半強制的な収集」を禁止へ | ギズモード・ジャパン

メタに制裁金550億円、広告への個人情報取得めぐり アイルランド:朝日新聞デジタル