新しい

IAB TCFは違法ですか? すべての事実は FAQ にあります


ベルギーのデータ保護当局APDが02日に発表した。 2022年2月に決定が下されました。 約 130 ページの説明文は、IAB TCF の多くの弱点を示していますが、同時に多くの改革の機会も示しています。 透明性と同意の枠組みは現在違法ですか? パブリッシャーは何を考慮する必要がありますか? そしてそれはどのように続くのでしょうか? よくある質問ですべてが説明されます。

男の顔が載ったウェブページ

2024 年 3 月の更新

欧州司法裁判所は、IAB TCF 訴訟において、TC 文字列 (「同意文字列」) が GDPR の意味における個人データを構成するという判決を下しました。 文字列に含まれるデータは識別可能なユーザーに関連しているため、ユーザー プロファイルの作成やユーザーの識別に使用される可能性があります。 さらに、IAB Europe は現在、GDPR の意味における「共同管理者」として識別されています。これは、ユーザーの同意設定が TC 文字列に記録される際のデータ処理の責任を共有することを意味します。 これは、データ処理の目的と方法に関する決定をメンバーと共有するが、データ処理自体については共有しないことを意味します。 管理者としての IAB Europe の役割は、IAB Europe がその後のデータ処理活動の目的および手段に影響を与えることが証明できない限り、ユーザーの同意が TC 文字列に保存された後のデータ処理活動には適用されません。

パブリッシャーまたはアドテクベンダーとして TCF に参加している企業は、タイムリーに法的文書を更新し、エンドユーザーにこれらの変更を常に知らせることが重要です。 特に GDPR の第 26 条に関して、企業は IAB Europe および各 Web サイトのプロバイダーとの共同管理契約の存在をエンドユーザーに通知する必要があります。

2023 年 9 月の更新

2023年9月21日更新) 9月21日、ECJ第4法廷で公聴会が開催され、裁判官による当事者尋問も行われた。 法務長官からの意見は出ないため、ECJは2023年末から2024年初めまでに判決を下すことが予想される。 判決が公表されると、ベルギーの裁判所(市場裁判所)は、IABヨーロッパの訴状で提出された主張の評価を最終決定することができる。

2023年9月更新) ベルギーの裁判所(市場裁判所)は、欧州司法裁判所(ECJ)の判決を待ち、ベルギーデータ保護局(APD)によって検証されたIABヨーロッパの行動計画の評価を一時停止することを決定した。 2023年1月、IABヨーロッパはAPDによる計画の早期検証に対して控訴を申し立てた。 これはAPDが性急に行動したことを示しており、ECJの判決はAPDの当初の決定が適法であったかどうか、そして計画がどのように実施されるかに影響を与えることになる。 これは、慎重な検討なしに不必要な変更が加えられることを防ぐため、IAB Europe および TCF 参加者にとって朗報です。 IABヨーロッパのCEOであるタウンゼント・フィーハン氏は、TCFの変更はECJの手順に従って細心の注意を払って行われなければならないと強調した。

2023 年 6 月の更新

(2023 年 6 月更新) TCF 2.2 では、IAB は行動計画に記載されている手順を実行するための重要な方針を設定しました。 移行フェーズは 2023 年 9 月 30 日まで実施され、その間にプロバイダーと Web サイトは新しい標準に更新できます。 2023 年 10 月以降は、IAB TCF バージョン 2.2 のみが適用されます。

2023 年 1 月の更新

(2023年1月より更新) IAB Europe によって提出された行動計画は APD によって受け入れられ、GDPR 準拠に向けたさらなるステップが開始されました。 IABヨーロッパは現在、行動計画を実施するまでに6か月の猶予が与えられている。

2022 年 4 月の更新

(2022年4月更新) IABヨーロッパは現在、管轄裁判所(市場裁判所)に訴状を提出し、その手続きと決定自体に異議を申し立てています。 同時に、IABヨーロッパから要求された行動計画が提出された。 APD は今後、行動計画を検討する予定です。ただし、決定は 2022 年 6 月末までに下される予定です。 行動計画が APD に受け入れられた場合、IAB ヨーロッパは 6 か月以内にそれを実施する必要があります。

2022 年 5 月の更新

(2022 年 5 月更新) APDが行動計画見直しの日程を確認したことを受け、IABヨーロッパは訴訟の中止要請を撤回した。 したがって、APD は 2022 年 9 月 1 日より前に行動計画を決定しません。 それまでに、ベルギーの裁判所 (市場裁判所) も手順を決定し、行動計画は次の 6 か月以内に実行される可能性があります。

どうしたの?

ベルギーのデータ保護当局 APD は、IAB Europe および IAB TCF への最終報告書の中でさまざまな問題を定式化しました。 最大のネックは、APD が IAB Europe をクライアントと見なしていることです。 さらに、TCF によって生成された TC 文字列 (同意情報) は個人データとみなされ、したがってそれ自体がすでに同意を必要とします。

ベルギーはそれと何の関係があるのでしょうか?

2018 年に GDPR が発効して以来、IAB TCF 標準および関連ポリシーおよび CMP の背後にある団体としての IAB Europe に対して、さまざまな国でいくつかの苦情が寄せられています。 IAB Europe はブリュッセルに拠点を置いているため、ベルギーのデータ保護当局がこのプロセス (GDPR の「ワンストップショップ」規制) を主導しました。

ベルギーの判決は他の国にも適用されますか?

はい、すべてのデータ保護当局はベルギーの判決に従い、逸脱してはなりません。

判決では具体的にどのようなことが述べられているのでしょうか?

判決文は120ページ以上に及び、 PDF(英語)としてここからダウンロードできる。 実際の犯罪が説明されるセクション 535 以降から、事態は「興味深い」ものになります。

  • TCF は、ユーザーの決定を処理するための有効な法的根拠を表しません。 同意が十分に与えられていない(次の点を参照)
  • TCF は、ユーザーが意思決定を行うために必要な情報を十分に透過的に提供しません。
  • メカニズムとしての TCF のセキュリティは十分ではありません (CMP の不正行為を防ぐなど)。
  • IAB はクライアント (コントローラー) およびデータとして見なされます。 これにより、IAB Europe には特定の義務が課せられることになりますが、その義務はまだ履行されていません。具体的には、データ処理のディレクトリが欠落しています。
  • IABヨーロッパはDPIAが必要であるにもかかわらず、DPIAを実施しなかった。
  • IAB Europe は、データ保護責任者を任命する必要があるにもかかわらず、任命していません。
クッキーとIABヨーロッパ認定スタンプの隣でメガホンを持つ女性

結果は何ですか?

IAB Europe に対する最終的な制裁は、これらの違反に起因し (上記を参照)、次のとおりです。

  • 有効な法的根拠となるような方法で TCF を (再) 設計します。
  • IAB Europeがこれまでに収集したデータは削除する必要があります。
  • 「正当な利益」という法的根拠は、TCF では使用できなくなります。
  • CMP が GDPR に準拠した方法で同意を取得するための「調和された」方法を使用できるように、TCF を再設計しました。 情報は正確かつ具体的でありながら、わかりやすい方法で提示される必要があります。
  • TCF を保護するには、適切なセキュリティ メカニズムを開発する必要があります。
  • IAB Europe はデータ処理の登録簿を作成する必要があります。
  • IAB Europe は DPIA を実行する必要があります。
  • IAB Europe はデータ保護責任者を任命する必要があります。

さらに、IABヨーロッパは2か月以内に「行動計画」を策定することが求められている。 これは、将来 TCF に準拠するために取るべき手順を示すことを目的としています。 この計画が APD に承認されるとすぐに、IAB はそれに応じてさらに 6 か月以内に計画を実行することになります。

現在、CMP はすべて違法ですか?

いいえ。 consentmanager のような CMP は通常、これとは独立しています。結局のところ、Web サイト運営者は、準拠するように CMP を構成したり、CMP 内の TCF を完全にオフにしたりすることができます。

TCFは現在違法ですか?

いいえ。 現在の形式は十分ではないと考えられます。 IAB Europe は現在、適切な措置を講じて TCF を再び準拠させるという任務を負っています。

次は何ですか?

IABヨーロッパは現在、2か月以内に対策を策定し、異議を提出する必要がある。 両方が起こることが想定されます。決定の個々の要素に対して異議が出るのは確実です。同時に、私たちは TCF をどのようにして安全な足場に置くことができるかを検討します。 特に、ここでの目標は、TCF を行動規範 (CoC) に変換することです。 IAB はこれに長い間取り組んできました。 CoC にはさらに利点があり、法的確実性が高まります。

この判決は誰に影響を及ぼしますか?

当初は、IAB Europe にのみ直接影響します。 間接的には、中期的には CMP、プロバイダー、パブリッシャーに影響を及ぼします。遅くとも同意レイヤーに新しい目的と法的根拠を設定する必要がある場合、または技術的枠組みが変更された場合に影響します。

今どう反応すればいいでしょうか?

すべてのことと同じように。 まずはじっくり観察して、俳優がどう振る舞うのかを待つのは間違いではありません。

一般的な推奨事項として、「正当な利益」はオンライン広告の十分な法的根拠とはみなされていないということが導き出されます。これは事前および他の判決でも発表されています。 Web サイトでマーケティング ツールを使用する場合は、同意が必要かどうかを確認する必要があります。

一般に、本当に必要な場合にのみ TCF を使用することをお勧めします。 たとえば、これはほとんどの電子商取引 Web サイトには当てはまらない可能性があります。 同時に、ほとんどのニュース サイトは今後も TCF に依存し続けるでしょう。 ここでは、説明テキストとプロバイダーのリストを注意深く確認し、必要に応じて、より正確な説明と詳細情報を提供することをお勧めします。

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

今すぐすべてのデータを削除する必要がありますか?

いいえ。 ベルギーの判決は当初、IAB Europeにのみ影響を与える。 ただし、間接的には「純粋な TCF CMP」も判決の条件に該当し、法的に同意を取得していないと考えられます。

TCF を使用する Web サイトは現在危険にさらされていますか?

いいえ。 一方で、関係者は今は待機します。これは他の国の他のデータ保護当局にも当てはまります。 手続きがまだ「保留中」である限り、その手続きを警告や新たな手続きの根拠として使用することはあまり意味がありません。

一方で、TCF 自体が特定の条件下で準拠して使用できるかどうかはまだ不明です。 ここでも、TCF の発展にはまだ注目が必要であり、必要に応じて注視する必要があります。

同意マネージャーは何をしてくれますか? 何をしなければなりませんか?

IAB Europe およびさまざまな地域協会やその他のグループのメンバーとして、コンセントマネージャーは IAB 内の協議と決定に積極的に関与しています。 この点において、consentmanager は顧客を法的または技術的に保護するために必要なすべての手順を迅速に実行できます。

ConsentManager の顧客は、最初に具体的なことを行う必要はありません (例外については上記を参照)。 「新しい」TCF に必要なすべての技術的および手順的な調整は、当社が社内で直接行うことができます。コードを交換する必要はありません。

質問が見つかりませんか?

お気軽に直接お問い合わせください。


さらにコメント

Newsletter consentmanager Juni
新しい

ニュースレター 2024 年 6 月

新しいアドオン: プライバシーに配慮した Web サイト分析 6 月のアップデートにより、新しいアドオン「Website Analytics」がアカウントで利用できるようになります。 ここでは、実際のデータ保護と優れたレ […]
Dutch DPA releases Guidelines on Cookie Banners
新しい

オランダの DSB: Cookie バナーと検査の強化に関するガイド

オランダのデータ保護局 (Autoriteit Persoonsgegevens、AP) は、Cookie バナーをデザインするためのベスト プラクティスと、罰金の可能性を回避するために避けるべきことを説明した新しいガイ […]