フランスの監督機関であるCNIL(情報処理・自由全国委員会)は、オンラインの広告キャンペーンで用いられる個人データについて、同意を中心としたデータ保護上の要件をあらためて強調した。背景にあるのは、クッキーやメール画面での広告表示など、日常的な導線が「同意の取り方」次第で違法になり得るという現実だ。CNILは過去の執行事例も踏まえ、事業者側に対し、GDPRの枠組みに沿ったデータ利用の設計を求めている。
フランスCNILが広告キャンペーンの個人データ利用規制を再確認した背景
CNILが繰り返し問題提起してきたのは、閲覧履歴を保存するクッキーなどを起点に、利用者の行動に基づいて広告配信を最適化する仕組みだ。広告の費用対効果が重視される一方で、同意取得が形式的になり、利用者が何に同意したのかを理解しにくい設計が残ってきた。
象徴的な事例として、CNILは2025年9月3日、クッキーやメールボックス上の広告表示をめぐる同意取得に問題があったとして、米Googleに3億2500万ユーロの制裁金を科した。発表では、是正に向けた6カ月の修正期間も示され、同意がない状態での広告表示の扱いが焦点になった。
この判断は、広告が表示される「場所」がウェブサイトに限られないことを示した点で、広告業界に重い示唆を与えた。日常的に使われるメールやブラウザ体験のなかで、どこまでが正当なパーソナライゼーションなのか。CNILの姿勢は、まさにその境界線を具体的に引き直すものと言える。
GDPR下で問われる同意設計とデータ利用の透明性
GDPRの枠組みでは、広告目的でのトラッキングやプロファイリングに関連する処理は、利用者にとって理解可能で、選択できる形で提示されることが重要になる。CNILの執行事例が示すのは、「同意したことにする」設計は通用しないという点だ。
たとえば、クッキー同意画面で拒否が見つけにくかったり、同意しないとサービス利用が実質的に難しくなったりすると、自由意思に基づく同意が疑われる。広告配信の仕組みは複雑化し、複数の事業者が関与することも多いが、利用者から見れば一つの体験として連続している。どのプレイヤーが何を収集し、どこへ渡り、何に使うのかが見えなければ、プライバシー侵害の懸念は消えない。
実務の現場では、計測タグや広告SDKの導入が先行し、後から説明文言を整えるケースもある。だがCNILの判断が繰り返し突きつけているのは順序の逆転だ。まず利用者の理解と選択を成立させ、その後に広告技術を組み立てる必要がある、というメッセージがより明確になっている。
同意設計をめぐる論点は欧州全体の広告・計測の実務にも波及しており、各国当局の動きとあわせて注視されている。次に焦点となるのは、国境をまたいだデータ移転や、監督当局間の協力の実像だ。
監督機関の国際連携と広告業界への波及
データの流通は一国内で完結しない。広告配信、効果測定、入札の最適化は、多国籍のプラットフォームやアドテク企業が関与することで成立している。だからこそ、規制の実効性は、監督当局同士の連携にも左右される。
日本でも、個人データの越境移転をめぐる議論は続いてきた。2020年3月2日には、日本の個人情報保護委員会の山地専門委員がCNIL委員のBertrand Du Marais氏を訪問し、GDPR施行後の執行状況や、日本の個人情報保護法の見直し概要について意見交換を行っている。国際的な個人データ流通の枠組みづくりに向けた協力を進めることで一致した点は、広告を含むデータビジネスにとっても無視できない。
この場では、OECDプライバシーガイドライン見直しの文脈で、データローカライゼーションや過剰なガバメントアクセスといった新たなリスクも論点として挙がった。広告領域は民間主導に見えがちだが、インフラとしてのデータ流通を考えれば、政策・制度の変化が収益構造や技術設計に直結する。
結局のところ、広告の最適化は「取れるデータ」ではなく「正当に使えるデータ」を前提に再設計される局面に入っている。CNILの執行と国際連携の流れは、欧州での運用が他地域の実務にも連動し得ることを示し、広告業界に静かな再編圧力をかけている。
