オープンソースWebブラウザのBrave、GoogleによるGDPR規制回避策を明るみに：「プッシュページ」を使ったメカニズムを解明

Brave Softwareは、Googleのリアルタイム広告入札システムに関する新しい証拠を規制当局に提出した他、Googleが、GDPRに基づく個人情報保護規制を回避するのに使用しているとみられるメカニズムを明らかにした。

[＠IT]

　Brave Softwareは2019年9月4日（米国時間）、Googleのリアルタイム広告入札（RTB）システムに関する新しい証拠を規制当局に提出した他、Googleが欧州連合（EU）の「GDPR」（一般データ保護規則）に基づく個人情報保護規制を回避するのに使用しているとみられるメカニズムを明らかにしたと発表した。

　Brave Softwareは、不要な広告やトラッカーをブロックすることで高速なブラウジングとプライバシー保護を実現するオープンソースソフトウェアのWebブラウザ「Brave」を開発、提供している。

アイルランドデータ保護委員会に新しい証拠を提出

　Brave Softwareによると、Googleの「DoubleClick/Authorized Buyers」による広告ビジネスは、GDPR違反の疑いで既にアイルランドデータ保護委員会（DPC）の調査を受けている。Brave Softwareの最高政策／産業関係責任者を務めるジョニー・ライアン博士が正式な訴えを起こした結果だ。

　アイルランドDPCは、GDPRに関するGoogleの主要な規制当局だ。「Brave Softwareが集めた新しい証拠はアイルランドDPCに対し、Googleの広告システムがライアン博士の個人データを拡散し、GDPRに違反したことを、具体的に証明するものだ」とBrave Softwareは述べている。

　さらにBrave Softwareは、Googleが公式に表明したGDPR対応のデータ保護策を回避し、GDPR規制を逃れるために使われているとみられるメカニズムも明らかにした。

　「GoogleのDoubleClick/Authorized Buyersによる広告システムは、840万以上のWebサイトで稼働している。このシステムは、これらのサイトにアクセスしたユーザーの個人データを、1日に数千億回の頻度で2000社以上の企業に配布している。

　Brave SoftwareがアイルランドDPCに提出した証拠は、私の保護されたデータをGoogleが不特定多数の企業に漏らしたことを証明している。そのデータをこれらの企業がどのように扱うのかは、誰にも分からない。私のデータは、送信されると、Googleの管理が及ばなくなるからだ。Googleの個人データ保護ポリシーは看板倒れだ」（ライアン博士）

GoogleのGDPR規制回避とは

　Googleは、同社のRTBシステムを使用する多くの企業（Webサイト訪問者の機密データを受け取る）が、こうした訪問者のプロファイルを組み合わせるのを防いでいると主張している。また、こうした企業が簡単に個人を特定するのに役立つ識別子の共有を中止したと発表した。これは、GDPRの施行に対応した措置のように見えた。

　だが、Brave Softwareの新しい証拠はGoogleが、多くの当事者がGoogleの識別子とマッチングできるようにしていたことを示している。さらに、この証拠はGoogleが、多くの当事者がデータ主体（※）の識別子を相互にマッチングできるようにしていたことも示している。

※「データ主体」はGDPRで使われる用語で、「特定された、または特定可能な自然人」と定義されている。個人データ保護に関する諸権利の行使主体（参考）。

　Brave Softwareは、データ分析企業Victory Mediumの創業者、ザック・エドワーズ氏に、ライアン博士のWebブラウジングのログ分析を委託した。この分析の結果、ライアン博士の個人データが拡散されていたことが確認され、ライアン博士が2018年9月に起こしたアイルランドDPCへの訴えの中で提起していた懸念が、事実だったことが判明したという。さらに、この分析により「プッシュページ」のメカニズムも明らかになった。Googleはプッシュページを使って、多くの企業を、Webページをロードした個人のプロファイル識別子を共有するよう案内している。

　GoogleのプッシュページはGoogleドメイン（https://pagead2.googlesyndication.com）から提供されており、全てのプッシュページが同じ「cookie_push.html」という名前を持っている。各プッシュページは、ほぼ2000キャラクタのコードで区別されている。Googleはこのコードを末尾に追加することで、Googleが他社と情報を共有している個人を一意に識別している。このプッシュページと、Googleから提供されるクッキーを組み合わせることで、企業は疑似的に個人を特定できる。

　プッシュページにアクセスするようGoogleに案内された企業は皆、プロファイリングされている個人を表す同じ識別子を受け取る。この「google_push」識別子により、企業はその個人のプロファイルの相互参照が可能になり、プロファイルデータを相互に交換できる。

RTBとプッシュページによるプロセスのシーケンス図の一部（出典：Brave Software）

　プッシュページは、Webページを訪問した人には表示されず、直接アクセスされてもコンテンツは表示しない。Brave Softwareはプッシュページのサンプルを公開している。

　Brave Softwareが提出した証拠には、ライアン博士が訪問したWebサイトで、同氏のデバイスがロードするように指示された全てのアイテム（Webページとそのコンポーネント、ファイルなど）のネットワークログが含まれている。このネットワークログを分析した結果、データ主体の個人データが、GoogleのAuthorized Buyers RTBシステムで処理されていることが明らかになった。このことはGoogleが、他の企業間におけるデータ主体の個人データの共有を容易にしていることも示している。

　ライアン博士とBrave Softwareの代理人を務め、データ権を専門とする弁護士ラビ・ナイク氏は、「現在の形態におけるリアルタイム入札は、中毒性がある。そのデータ拡散のスピードと規模を確保しようとするのであれば、GDPRのセキュリティ原則に従うことは不可能だ」と指摘している。