いったいどこにあるのでしょうか…? FTC、ステルス位置情報追跡と COPPA 違反に異議を申し立てる

特定のとらえどころのない子供向けビデオゲームのキャラクターが証言するように、正確な地理位置情報は非常に機密情報となる可能性があります。 FTCが発表したばかりのOpenX Technologies, Inc.(ウェブサイトやアプリ上でターゲットを絞った広告を可能にするリアルタイム入札プラットフォーム)との和解案によると、OpenXは正確な位置データの収集をオプトアウトする権利について人々を欺いていた。さらに、OpenX は、法令に違反して 13 歳未満の子供から個人情報を収集しました。 児童オンラインプライバシー保護規則。訴訟を解決するために、OpenX は民事罰金として 200 万ドルを支払い、ビジネスのやり方に大幅な変更を加える予定です。あなたの会社は最新の和解から何を学ぶことができますか?

カリフォルニアに本拠を置く OpenX は、広告スペースのオークションを実施するリアルタイム入札プラットフォームであるプログラマティック広告エクスチェンジを運営しています。企業がアプリ内での広告の公開を容易にする方法の 1 つは、OpenX のソフトウェア開発キット (SDK) を統合することです。このコードにより、OpenX は消費者のデバイスからデータを収集できるようになり、それによって OpenX はそれらのアプリ内で広告を配信できるようになります。

プログラマティック広告を使用すると、広告主はさまざまな基準から選択して、ターゲットを絞った広告を好みの視聴者に配信できます。 OpenX は競合入札を管理し、落札者からの広告の表示を容易にします。ニッチ市場のように聞こえるかもしれませんが、そうではありません。 OpenX は、1,200 を超えるプレミアム パブリッシャー、少なくとも 50,000 のアプリ、および数万の参加パートナー (広告主、広告代理店、広告ネットワーク) を擁する最大の独立系広告取引所であると自社を説明しています。

OpenX は長年にわたり、プライバシー ポリシーで消費者に次のように伝えてきました。

位置データのオプトアウト: お客様は、モバイル デバイスの設定で位置情報サービスのコントロールを使用することで、当社による正確な位置情報データの収集、使用、転送をオプトアウトすることができます。

こうした主張にもかかわらず、FTCは、消費者がデータを収集しないことを選択した後でも、OpenXはAndroidユーザーからの正確な地理位置情報データにアクセスしたと述べている。訴状では、OpenX が消費者のアプリ内に組み込まれた権限ベースのモデルを無視する経路を使用し、その表現が FTC 法第 5 条に基づいて虚偽または誤解を招くものになったと主張しています。

しかし、それだけではありません。訴状では、OpenXがCOPPAルールに違反したとも主張している。 OpenX はプライバシー ポリシーの中で、「児童オンライン プライバシー保護法 (COPPA) に基づく保護者の通知や同意を必要とする活動には関与しない」と表明しました。ただし、OpenX は、制限されたコンテンツ (ギャンブルやポルノなど) を特定し、主題ごとにコンテンツ (「金融」や「スポーツ」など) を分類するために、OpenX Ad Exchange への参加を許可する前にアプリを審査しました。また、子ども向けコンテンツにフラグを立て、COPPAへの準拠を義務付けるような活動を行わないようにしたとも主張した。

しかし、OpenX の発言にもかかわらず、OpenX が審査した何百もの子供向けアプリは、OpenX Ad Exchange から禁止されたり、子供向けとしてフラグを立てられたりしませんでした。これらのアプリの多くには、対象ユーザーを「幼児」、「子供向け」、「子供用ゲーム」、「就学前の学習」などと特定する用語が含まれており、13 歳未満の子供を対象としていることを示す年齢評価も含まれていました。これらの子供向けアプリは、COPPA ルールに違反し、OpenX 自身のプライバシーに関する約束に違反して、正確な位置情報を含む個人情報を使用した広告のターゲットとなっていました。

この和解案では、200万ドルの民事罰金に加え、OpenXに対し、ターゲットを絞った広告を配信するために収集したデータを削除し、COPPA準拠を確実にするための包括的なプライバシープログラムを導入することが求められている。これには、追加の子供向けアプリを特定し、それらを会社のアド エクスチェンジから禁止するための定期的な再レビューが含まれます。

OpenXの和解から他の企業は何を得ることができるでしょうか?

この訴訟は、アドテク業界に「聞け」という明確なメッセージを送ることになる。 すべての企業、特にユビキタスな(しかし目に見えないことも多い)アドテク業界のメンバーは、収集している情報に注意を払う必要があります。 「理由だけ」で大量のデータを収集するのは賢明ではないアプローチであり、良識ある企業は前世紀に放棄しました。

自分の活動を収集する許可はありますか? 収集するデータに注意し、そのデータを管理する適切な権限があることを確認してください。消費者が表明した選択を尊重する必要があります。

「一度設定したらあとは忘れる」は、廃品業者にはうまくいくかもしれませんが、消費者情報の収集にはうまくいきません。 ある時点で特定のデータを収集しても、それが今後もずっと大丈夫であるとは限りません。賢明な企業は、定期的なコンプライアンスチェックを手順に組み込みます。何を収集しているのか、そのデータを収集することがまだ許可されているのか、テクノロジーの変化や会社の性質に照らしてビジネス上の理由が依然として有効であるかどうかをもう一度見直してください。

消費者と直接取引していない企業でも、COPPA に基づく義務が課される可能性があります。 ほとんどの企業は、COPPA ルールでは「子供向け」のサイトとアプリが対象となることを知っています。しかしこの規則には、アプリを含むサイトやオンライン サービスが「子供向けの別の Web サイトやオンライン サービスのユーザーから個人情報を直接収集していることを実際に知っている場合には、子供向け」とみなされることも明記されています。その定義はあなたにも当てはまりますか?

COPPA コンプライアンスを効率化するためのリソースをお探しですか? FTC の子供のプライバシー ページにアクセスしてください。