オープンソースWebブラウザのBrave、GoogleによるGDPR規制回避策を明るみに：「プッシュページ」を使ったメカニズムを解明

　Googleは、同社のRTBシステムを使用する多くの企業（Webサイト訪問者の機密データを受け取る）が、こうした訪問者のプロファイルを組み合わせるのを防いでいると主張している。また、こうした企業が簡単に個人を特定するのに役立つ識別子の共有を中止したと発表した。これは、GDPRの施行に対応した措置のように見えた。

　だが、Brave Softwareの新しい証拠はGoogleが、多くの当事者がGoogleの識別子とマッチングできるようにしていたことを示している。さらに、この証拠はGoogleが、多くの当事者がデータ主体（※）の識別子を相互にマッチングできるようにしていたことも示している。

※「データ主体」はGDPRで使われる用語で、「特定された、または特定可能な自然人」と定義されている。個人データ保護に関する諸権利の行使主体（参考）。

　Brave Softwareは、データ分析企業Victory Mediumの創業者、ザック・エドワーズ氏に、ライアン博士のWebブラウジングのログ分析を委託した。この分析の結果、ライアン博士の個人データが拡散されていたことが確認され、ライアン博士が2018年9月に起こしたアイルランドDPCへの訴えの中で提起していた懸念が、事実だったことが判明したという。さらに、この分析により「プッシュページ」のメカニズムも明らかになった。Googleはプッシュページを使って、多くの企業を、Webページをロードした個人のプロファイル識別子を共有するよう案内している。

　GoogleのプッシュページはGoogleドメイン（https://pagead2.googlesyndication.com）から提供されており、全てのプッシュページが同じ「cookie_push.html」という名前を持っている。各プッシュページは、ほぼ2000キャラクタのコードで区別されている。Googleはこのコードを末尾に追加することで、Googleが他社と情報を共有している個人を一意に識別している。このプッシュページと、Googleから提供されるクッキーを組み合わせることで、企業は疑似的に個人を特定できる。

　プッシュページにアクセスするようGoogleに案内された企業は皆、プロファイリングされている個人を表す同じ識別子を受け取る。この「google_push」識別子により、企業はその個人のプロファイルの相互参照が可能になり、プロファイルデータを相互に交換できる。

RTBとプッシュページによるプロセスのシーケンス図の一部（出典：Brave Software）

　プッシュページは、Webページを訪問した人には表示されず、直接アクセスされてもコンテンツは表示しない。Brave Softwareはプッシュページのサンプルを公開している。

　Brave Softwareが提出した証拠には、ライアン博士が訪問したWebサイトで、同氏のデバイスがロードするように指示された全てのアイテム（Webページとそのコンポーネント、ファイルなど）のネットワークログが含まれている。このネットワークログを分析した結果、データ主体の個人データが、GoogleのAuthorized Buyers RTBシステムで処理されていることが明らかになった。このことはGoogleが、他の企業間におけるデータ主体の個人データの共有を容易にしていることも示している。

　ライアン博士とBrave Softwareの代理人を務め、データ権を専門とする弁護士ラビ・ナイク氏は、「現在の形態におけるリアルタイム入札は、中毒性がある。そのデータ拡散のスピードと規模を確保しようとするのであれば、GDPRのセキュリティ原則に従うことは不可能だ」と指摘している。