- 2023年 3月 29日
FacebookのCEO、Mark Zuckerberg氏は、今年1月28日付のブログポスト(*1)で、Facebookの外でのユーザーの行動追跡をユーザーがコントロールできるツール「Off-Facebook Activity」を、世界のユーザーにリリースすると発表しました。現時点で、日本ではすでにこの新ツールを利用できます(*2)。
Facebookはソーシャルプラグイン(「いいね!」ボタンなど)、API/SDK、トラッキング・ピクセル、Facebookログインなど(Facebookビジネスツール)を外部ウェブサイト/アプリに提供しています。Facebook外のウェブサイト/アプリにこれらのツールを埋め込むことにより、Facebookは、Facebook外のウェブサイト/アプリでのユーザーの行動を追跡、情報を分析し、個々のユーザーの関心に応じて表示する広告をパーソナライズすることができます。新ツールにより、ユーザーは、このような情報共有の概要を知り、外部ウェブサイト/アプリごとに行動履歴をFacebookアカウント情報と関連づけることを停止させることができます。
ウェブサイトやアプリの管理者が、Facebookなどサードパーティーによる追跡ツールを埋め込み、これをターゲティング広告の目的に利用する場合、当該管理者とFacebookなどツールを提供するサードパーティーは、GDPR26条に定義される「共同管理者」(Co-Controller)の地位に立ち、それぞれの責任範囲と役割について協議の上、ユーザーに対してGDPRが規定する情報提供義務、同意取得義務、権利行使対応義務などを果たさなければならないことが、2019年7月、欧州司法裁判所によって示されました(*3)。英国・ドイツ・フランスの監督当局も、すでに公表したガイドラインで同じ立場をとっています。
したがって、EUの消費者をターゲット・オーディエンスとするウェブサイト/アプリの管理者が、Facebookビジネスツールを埋め込む場合、クッキーポリシーやプライバシーポリシーにFacebookが提供する新ツールへのリンクを示すことにより、ウェブサイト/アプリの管理者は、GDPRに規定された共同管理者としての情報提供義務を果たすことができるようになることが期待されます。
一方、Facebookが提供する情報を読む限り、新ツールは外部ウェブサイト/アプリとの情報共有を事後的にオプトアウトできるにすぎず、また、ユーザーの行動履歴と当該ユーザーのFacebookアカウントとの結合を停止できるにすぎません。したがって、新ツールへのリンクを示すだけでは、このような行動追跡とプロファイリングについてEUのePrivacy指令およびGDPRが求める事前の同意取得義務を果たしたことにはならず、また、たとえ行動履歴とFacebookアカウントとの結合を停止したとしても、Facebookアカウントと結合されない状態でユーザーの行動履歴追跡、プロファイリング、広告パーソナライズが停止されるわけではない可能性があります。
現時点で得られる情報を総合すると、ePrivacy指令およびGDPRを遵守するためには、ウェブサイト/アプリ管理者は、Facebookビジネスツールを埋め込む場合、同意取得ツールやタグマネジメントを適切に実装することにより、ウェブサイト/アプリにおいてFacebookビジネスツールを有効にする前に、ユーザーから同意を取得しなければならないことに注意する必要があります。
また、ウェブサイト/アプリからFacebookへのこのような情報共有(行動履歴の提供)がカリフォルニア州消費者プライバシー法(CCPA)の定義する個人情報の「販売」(何らかの利益を得るために個人情報を開示すること)に該当する場合、Facebookが提供する新ツールにより行動履歴とFacebookアカウントとの結合を拒否する権利を与えるだけでは、CCPAが求めるオプトアウト権を付与しているとはいえないと当局によって判断される可能性もあると思われます。
Facebook新ツールのGDPRおよびCCPA遵守における位置づけ、意義については、今後の動向を注視する必要があります。
*1: https://about.fb.com/news/2020/01/data-privacy-day-2020/
*2: https://www.facebook.com/off_facebook_activity/
<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>
