1 ポイント 投稿者 GN⁺ 2023-11-03 | 1件のコメント | WhatsAppで共有
  • 欧州のデータ規制当局は、FacebookとInstagramにおける「行動ベース広告」の禁止を、欧州連合および欧州経済領域の30か国に拡大
  • この禁止措置は、ユーザーデータを収集してターゲティングを行うことを対象としており、両ソーシャルメディアサービスの所有者であるMeta Platformsにとって打撃
  • Metaは、順守しない場合、世界全体の売上高の最大4%に相当する罰金を科される可能性
  • 欧州データ保護会議(EDPB)の決定は、Metaの欧州本部が所在するアイルランドのデータ規制当局に対し、Metaの行動ベース広告を恒久的に禁止するよう指示
  • Metaは、EUおよびEEAのユーザーに同意の機会を提供し、規制要件を順守するために、サブスクリプションモデルを提供すると明らかにした
  • 8月7日以降、Metaはノルウェーで、ユーザーの個人情報を広告に利用してプライバシーを侵害したとして、日次の罰金を科されている
  • この決定は、欧州の約2億5,000万人のFacebookおよびInstagramユーザーに影響を与える
  • EU/EEA全域での禁止措置に順守しない場合、一般データ保護規則(GDPR)違反と見なされ、世界全体の売上高の最大4%に相当する罰金が科される可能性

1件のコメント

 
GN⁺ 2023-11-03
Hacker Newsの意見
  • 個人的にはパーソナライズド広告は便利だと感じる側なので、少数派かもしれない。
    自分の関心や必要性とまったく無関係な製品・サービスの広告のほうがはるかにいらだたしく、残念ながらそうした広告が今でも大半だ

    • 広告は単に必要そうなものを勧めるだけで終わらず、しばしば何かが必要だと感じるように操作しようとする。
      収集される個人情報の量と機械学習の進歩を考えると、こうした操作は危険なほど効果的になっている
    • 関連性のある広告を見るために自分の私的データをすべて差し出さなくてよいのなら構わない
    • そうしてもよい。
      サイトは非パーソナライズド広告を表示し、ときどき広告枠の一つをパーソナライズド広告の有効化案内に差し替えればよい。
      望むならユーザーが同意してパーソナライズド広告を受け取り、それ以外はプライバシーを尊重されればよい。これがGDPRの意図だった。
      しかしパーソナライズド広告のほうが収益性が高いため、あらゆるプラットフォームがユーザーの権利を回避してきた。
      何年にもわたって違反してきたのなら、Facebookが審査・承認済みの計画を提示するまで禁止するのが妥当だが、当局は今になってようやくFacebookにこれ以上法律を破ってはならないと明示的に言った程度だ。
      見出しは非常に誤解を招く。実際の禁止内容を見ると、要点は「契約および正当な利益を法的根拠とした行動広告向け個人情報処理を欧州経済領域全体で禁止する」というものだ。
      同意を根拠とした行動広告は依然として可能だ。一部の個人情報保護当局は「支払うか同意するか」を容認しており、まだ欧州全体を拘束する決定がないため、Facebookはそれを次のカードとして使おうとしている。
      後になってその方式もだめだと結論づけられれば、Facebookは法律違反で得た追加収益の一部を数年後に罰金として支払い、GDPR施行から10年を大きく過ぎてからようやく実際に従うことになるかもしれない
    • 有害だとは見なされず、それでいて有用なパーソナライズド広告の種類もある。
      ユーザーの入力や選択に直接基づく代替案・推薦や、天気・季節・休日のような非個別の基準が例だ。
      店員が客がスカーフを見ていることに気づいて代わりの商品を見せたり、冬だから在庫を多めに出してきたりするのと同じだ。これは侵襲的な広告ではなく、今回標的になっている広告でもない。
      標的になっているのは監視ベース広告だ。ユーザーデータを収集・仲介・結合する方式であり、このデータは誰でも買える。
      米国政府機関も監督なしに情報を得る手段としてこれを使ってきたし(1)、他国の政府や悪意ある行為者も利益のためにこのデータを入手している可能性が高い。
      こうした広告は、インターネットのあちこちでついて回る的外れな広告の原因でもある。Instagramのチャットで何かを何気なく口にしたり、休暇中の友人の写真に「いいね」を押しただけかもしれない。
      消費者は通常、自分のデジタルの足跡と、その情報が露出したときのリスクを過小評価している。ひとつのデータベースに集めておくこと自体、政府にさえ預けたくない情報なのに、何の監督もなく他者に持っていかせている。
      しかも収集された情報が間違っていることもあり、性的指向や私的な欲望を推測するといった、予想外のプライバシー侵害にもなりうる(2)。
      個々のユーザーを標的にできるという点も、いたずら(3)の域を超えて悪用されやすい(4)。
      (1) https://www.documentcloud.org/documents/23844477-odni-declas... または読みやすい記事: https://www.nbcnews.com/tech/security/us-government-buys-dat...
      (2) https://techcrunch.com/2018/05/16/facebook-faces-fresh-criti...
      (3) https://www.adweek.com/performance-marketing/roommate-makes-...
      (4) https://techcrunch.com/2021/10/15/researchers-show-facebooks...
    • その通り、少数派だ。ああいう広告はひどいし、失うものに見合う価値はない
  • 「MetaはすでにEUおよびEEAのユーザーに同意の機会を提供する計画を発表しており、規制要件を順守するため11月にサブスクリプションモデルを導入すると明らかにした」というのは、結局EUでFacebookやInstagramを使うには購読料を払わなければならないという意味なのだろうか。
    パーソナライズ広告なしの無料サービスは提供しないだろうし、法律が従来の方式を禁じるなら、残る利用方法はお金を払うことだけではないのか?

    • まさにその通りで、個人的にはこのアプローチに問題はないと思う。
      何らかの形で収益を上げられなければ、無料サービスは提供できない
    • Independentの記事によると、Metaは規制当局と協力してきたとされ、欧州の人々にデータ収集への同意の機会を与え、今月末に欧州で全製品へのアクセスに対して月額9.99ユーロの広告なしサブスクリプションサービスを提供する計画を打ち出している。
      ノルウェー個人情報保護庁の国際部門責任者Tobias Judinは、Metaの提案は欧州法の基準を満たさない可能性が高いと見ている。
      たとえば、同意は自由に与えられるべきだが、既存ユーザーがプライバシー権を放棄するか、サブスクリプションという金銭的不利益を受け入れなければならないのであれば、それは自由な同意ではないという趣旨である
    • 素晴らしい。完全に離れるもう一つの良い理由ができた
    • プライバシー保護サービスをお金を払わないと提供しないのは違法だと思っていた
    • 完全に誤解していないなら、ドイツの多くのニュースサイトがすでにやっている方式に向かうのだと思う。
      選択肢A: 広告、追跡、プロファイリングを含めて無料で使い続ける
      選択肢B: 広告や追跡なしで購読料を支払う。たいていは「Pur」というサービスを使っているようだ
      これは一部の人のGDPR理解とは一致しないが、少なくとも複数のドイツの裁判所は問題ないと見ていた
  • 挑発的に言えば、広告なしで無料のインターネットを維持するのは難しい。
    多くのウェブサイトは限界効用が低いが広告で費用を賄えており、CPM単価が崩れれば、そうしたサイトは消えるだろう

    • 論点は広告ではなく追跡だ。
      広告は注意を奪うのだから基本的に遮断すべきだと言う人もいるだろうが、それは別の問題だ。
      広告会社が投資収益率を追跡しようとして問題が大きくなり、インターネットではそれが非常に簡単だった。
      だからバス停の広告よりインターネット広告に反対する人が多い。
      バス停広告が通行人にパーソナライズ広告を見せるために網膜スキャンを始めたら、人々はそれにも反対するだろう。
      広告を表示して収益を得るために、すべてのユーザーとすべてのクリックを追跡する必要はない。だがMetaのような広告会社は、あらゆる行動を追跡すればより多く稼げるのでそうしているだけだ。
      追跡が主流になる前からインターネットには広告があり、人々はそれで稼いでいた
    • ここでの争点は無料のインターネットではなくパーソナライズ広告だ。
      無料のインターネットがパーソナライズ広告なしで生き残れるかといえば、もちろん可能だ。
      多くの企業が消えるかもしれないが、それの何が問題なのか。企業は常に倒産し、別のモデルに基づく新しい企業が空いた場所を埋める。
      優秀な人材が人々のデータを刈り取ってプロファイリングする以外の問題に集中すれば、むしろ多くのイノベーションが生まれるかもしれない
    • ニッチなレビューサイトのようなものは多くが死ぬかもしれないが、どうせ広告で食っている検索エンジン最適化スパムのせいで見つけるのも難しい。
      フォーラムのようなものはどうか。Redditのデータベース全体でも、メディアを除けば150ドルのSSDに収まるし、単純なサイトなら中古ノートPCでも毎秒数万リクエストを処理できる。
      Ryzen 7950XとNVMeをいくつか積めば、現実的に確保できるネットワーク接続より多く処理できるかもしれない。
      10ギガビット回線を持つ人なら、ほぼコストをかけずに数千万人規模のフォーラムでも運営できるだろう。
      核心的な問題は法的責任で、次がISPが個人向け回線でのサーバーホスティングを認めないことだ。趣味運営者はコロケーションを使えるし、すでに多くがそうしている。
      そのあたりの法律を変えれば、計算コストははした金だ
    • だがGoogle Suiteのようなサービスやウェブサイトにお金を払っても、なお広告を見る。
      お金を払う動機がない。どうせデータは採掘されて売られ、私たちの注意は引き続き奪い合われる
    • 多くの人が言うように、問題は広告そのものではなく、その背後を支える大規模監視とプライバシー侵害の仕組みだ。
      個人的には、不要ながらくたを買え、すでに持っている物を買い替えろと延々押しつけてくるのも嫌だ。
      洗濯機はすでにあるし先月買ったばかりなので、また売り込む必要はない。広告主が、消費者がすでに買った製品をこれ以上押しつけられない段階にすらまだ達していないことに驚く。
      Googleは「X、Y、Zを買おう」となっている状況ではかなり優秀だ。そのとき広告は非常に有用で、検索結果より関連性が高いことすらあるので、クリックする気にもなる。
      だがニュースを読んでいる最中に新しい洗濯機を注文したりはしない
  • 今回の禁止の具体的な内容や法的文書へのリンクがあるのか気になる。
    記事では「パーソナライズ広告」と「行動広告」をほぼ同義のように使い、位置情報を広告に使うこともプライバシー侵害だと述べている。
    だとすると、地元企業が同じ都市にいる人々へ広告を出すことまで妨げられるようにも見えるが、それが意図だったのか気になる

    • インターネット上での地理的位置とは、追跡されているという意味であり、定義上、私たちが止めたいものの一部だ。
      これは地域広告とはまったく別だ。
      地域広告はパーソナライズ広告ではなくコンテキスト広告だ。インターネットでの対応物としては、たとえば園芸サイトが園芸用品の広告を表示したり、技術サイトがノートPCの広告を表示したりすることが挙げられる。
      こうしたものは文脈に結びついているので問題ない。違いは、その文脈を離れれば広告がついてこないことにある。
      インターネットの位置情報ベース広告は、どこへ行ってもついて回る。たとえばハワイに休暇で行ったのに、地球の反対側にある故郷の近所の何かを宣伝するビルボードを見たら、どれほど気味が悪いか想像すればよい
  • EU機関がFacebookを「禁止」するたびに、European Commissionと議会が、EU諸国の大半でFacebook広告に最も多くの公的支出をしている側だということを思い出す: https://www.facebook.com/ads/library/report/

    • 「社会問題、選挙、または政治関連の広告」に限定される点を省けば、かなりひどく実態を歪めている。
      全体の広告ではない
  • 多くの人がついていけていない大きな問題は、彼らがアカウントがなくても追跡していることだ。
    彼らとビジネス関係がないのに追跡されるのは許容できない。プラットフォームのユーザーである場合は別の問題かもしれない

  • 関心分野の雑誌に載っていた紙の広告はとても興味深く、しばしば有用で、時には雑誌本文より良いことさえあった
    初期のGoogleの検索キーワードベースのテキスト広告もある程度は興味深く、必ずしも有用でなくても関連性は理解できた
    最近広告ブロッカーをすり抜けて入ってくるものは全部ゴミだ。広告ブロッカーなしではインターネットは事実上存在しないも同然だ
    多くの面で90年代が頂点だった気がする

  • なぜこれが一般的なパーソナライズ広告の禁止ではなく、「FacebookとInstagram」を対象にしているのか気になる
    Metaには他社と違う何か特別な点があるのだろうか?

    • 規制当局は包括的な宣言を出せないので個別評価を行う必要があり、その結果が「類似の」事案の参考になりうる
      FacebookとInstagramは誰でも知っている名前なので、メディアが取り上げやすい
      個人情報保護当局とMetaの対立はすでに何年も続いており、その間にはMetaがEUでの事業停止を検討するような興味深い発言もあった
  • この件については複雑な感情がある
    ヨーロッパは規制では先行しているのに、イノベーションではあまりにも遅れているのが嫌だ
    同時に、これは正しい方向への一歩でもある。人々がプライバシーを気にしていないのは事実だが、たいていは企業に自分のデータをコントロールさせる範囲とその含意を理解していないからだ

    • もし私たちが賢ければ、Google、Facebook、Amazonをヨーロッパ大陸から締め出し、中国のように独自サービスを作っていただろう
      そんな明白な選択をしたのに中国がいまだに嘲笑されているという事実は、多くを物語っている
    • 概ね同意するが、アドテックは特にイノベーションを強く押し進める産業ではない
  • 企業がユーザーデータを他の組織に渡すたびに、ユーザーへ通知するよう義務づける規制があればいいのにと思う
    データが「匿名化」されていたとしても、企業はすべてのユーザーに知らせるべきだ
    企業がユーザーの連絡先を持っているならその連絡先に通知を送り、必要なら実際の手紙を送るべきだ
    また企業は、データ移転の公開記録を維持すべきだ。たとえばWebサイト上に、いつデータを渡したのか、なぜ渡したのか、どの種類のデータだったのかを列挙するページを置く、といった形だ。そうすれば匿名ユーザーも含められる
    企業の事業自体にデータ移転が含まれる場合を扱う条項も必要だ。提供されるサービスの一部としてデータにアクセスし、企業の利用規約の適用を受ける事業者の一覧のような形が考えられる
    さらに言えば、ユーザーデータを売って利益を得る企業には、その収益を今まさにデータが売られたすべての人と分配するよう強制できれば、なおよい

    • なぜ匿名化データを心配する必要があるのか不思議だ
      本当に匿名なら、どんな害がありうるのだろう?
      たとえば、サイトが所有者に純ユーザー数400人だったと伝えること、つまり集計された匿名データについても、その400人のユーザーに自分たちが集計されたと知らせる必要があるのか?
    • GDPRがすでにそうしている。再委託先処理者に関する条項を見ればいい