今週、ヨーロッパは、かつてFacebookとして知られていたマイクロターゲティング広告帝国のMetaが、広告なしのサブスクリプションを開始すると発表したことで、テクノロジーの可変性を改めて実感した。開始価格は、月額10ユーロ(ウェブ)または月額13ユーロ(モバイル)だ。
つい2019年半ばまで、Facebookのランディングページを訪れた人は、「Facebookは無料。これからもずっと無料です」というキャッチフレーズで迎えられました。しかし、2019年8月1日には、おそらく将来の規制強化を見越して、このキャッチフレーズはひっそりと消え去りました。その代わりに、新規顧客向けに「登録は素早く簡単!」という短い勧誘文が掲載されました。
しかし、これは変化の兆しが初めて現れたわけではありません。それ以前、2018年4月、Facebookがケンブリッジ・アナリティカのプライバシーとデータスキャンダルによる評判の失墜に巻き込まれていた当時、Facebookの経営陣は、ユーザーの追跡やプロファイリングを伴わないサービスは「有料製品」になると明言していました。そして5年が経ち、今、私たちはこうして現実に至っているのです。
広告なしのサブスクリプションの予定価格は、Meta のソーシャル ネットワーキング サービスにアクセスするための基本料金を、Spotify Premium サブスクリプション、Netflix の標準プラン、または個別の Apple Music サブスクリプションとほぼ同じ価格にする。
プライバシーは果たして万能なのでしょうか?価格から判断すると、Meta はそう思わせようとしています。
また、月額デジタルサブスクリプションにMetaを追加したくない場合は、ヨーロッパのユーザーに提供される無料版のみで、Metaの広告ターゲティングシステムによる追跡とプロファイリングへの同意が条件となります。このアドテク大手は、ヨーロッパにおける法的根拠を「同意」に変更すると主張していますが、これはまさにこのことを意味しています。
Metaにお金を支払うことに同意するか、プライバシーを犠牲にして支払うことに「同意」するか、どちらかをお選びください。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
問題は、Metaが広告なしのサブスクリプションオプション(追跡とプロファイリングは無料で継続!)を展開している欧州連合(EU)では、プライバシーは基本的人権であり、市民は情報に対する包括的な法的保護を享受しているということです。というか、そうあるべきです。
EUのデータ保護の枠組みは数十年前に遡りますが、2018年5月に一般データ保護規則(GDPR)が施行され、大幅に更新されました。これにより、世界年間売上高の最大4%に及ぶ罰金を含む、より強力な法的体制が導入されました。
少なくとも書類上では、欧州のプライバシー規則を無視することのコストは一夜にして大幅に増大した。
しかし実際には、GDPRの適用開始は、特に大手テクノロジー企業への執行において、非常にゆっくりとした動きの始まりとなりました。この動きは今日まで続いていますが、これは主に、巨大企業がフォーラムショッピングを行える規制構造のおかげです。アイルランドなど、よりビジネスフレンドリーなEU加盟国に主要拠点を設置することで、巨大企業はリスクを軽減しています。Meta社もその例です。
GDPRはプライバシーに関する苦情を棚上げにしやすい構造になっているにもかかわらず、Metaが追跡およびプロファイリングを行うマイクロターゲティング広告事業についてEU内で法的根拠を主張できる余地は狭まってきている。もちろん、これは 意図的にプライバシーに反するもので、人々の行動を追跡できなければ、広告ターゲティングのためにプロファイリングすることはできない。5年以上にわたるプライバシーに関する苦情、規制当局の調査、裁判所の判決が、Metaの追跡広告実行の法的根拠をめぐる論争である種の決着に至ったためだ。
重要な出来事としては、1月に4億1000万ドルの罰金と最終判決が挙げられます。この判決により、Metaは広告処理に関する契約上の根拠(契約履行)を主張することができなくなりました。そして今夏(7月)、EU最高裁判所の判決により、Metaはユーザーの追跡とプロファイリングに関する正当な利益を主張することができなくなりました。これは、規制当局がMetaの契約上の必要性を主張する権利を否定した後、Metaが移行した根拠です。これにより、同意が唯一の選択肢となりました(GDPRで個人データ処理に認められている6つの法的根拠のうち、他の3つは、Metaの「関連性の高い」広告事業の運営には無関係です)。
しかし、実際にはそうではありません。Metaが今、着手したゲームは、同意そのものをゲーム化することです。
ここ数ヶ月、Metaの甚だしいプライバシー侵害をEUが抑制できていないことへの不満が世間の注目を集めている。CJEUの判決を受けてノルウェーのデータ保護当局が介入し、Metaが正当な法的根拠なしに人々のデータを処理し続けていることに憤慨した。これを受け、GDPRの執行に関する紛争の解決に重要な役割を果たす運営機関である欧州データ保護委員会(EDPB)は今週初め、Metaがユーザーの同意を得ずにターゲティング広告を掲載することをEU全体で禁止する命令を出した。
EDPB(欧州データ保護局)の「Metaによる行動ターゲティング広告のための個人データ処理に関する緊急拘束力のある決定」は、非常に大きな出来事のように聞こえます。しかし、Metaが現在、別の法的根拠への移行を進めていることを思い出すと、Metaの同意は意図的に「ホブソンの選択」となっています。つまり、プライバシーを放棄することに同意するか、苦労して稼いだお金でMetaを豊かにするかのどちらかです。どちらにしても、Metaが勝利します。プライバシーを守りたいと切望するヨーロッパ人は、その過程で自らを貧しくしなければなりません。経済的に余裕があるなら、プライバシーは素晴らしいものです!
EDPBのプレスリリースは、Metaが「10月30日に報じられたように、法的根拠として同意に基づくアプローチに依拠する」という提案に言及し、現状から一歩遅れていることを暗黙のうちに認めている。さらに、「アイルランドDPC(データ保護委員会)は現在、関係監督当局(CSA)と共同でこれを評価中だ」と付け加えており、プライバシー保護の取り締まりが再び棚上げになっていることを示唆している。Plus ça change(変化は起こらない)。
DPCがMetaの同意に基づくペイウォールを拒否する保証はありません。実際、DPCはMetaがユーザーがターゲティング広告契約にサインアップしたと主張しても、他のCSAやEDPBに強制されるまでは問題視していませんでした。つまり、この分野での実績は芳しくありません。ダブリンがMetaの同意に基づくペイウォールを迅速に取り締まることを期待している人は、過去5年以上にわたる欧州における規制の争いに耳を傾けていないのです。
FacebookとInstagramの欧州ユーザーにとって、プライバシー権に関する現状は、近年と比べて後退と言えるでしょう。広告目的でユーザーのデータを処理する正当な利益を主張するには、少なくともMetaはオプトアウトを提供する必要がありました。そして、ユーザーが適切なフォームを見つけて申請できれば、Metaは広告関連の処理を停止する(あるいは停止すると明言する)はずでした。しかし、もはやそうではありません。
今週、このアドテク大手は、追跡とプロファイリングからの前例のないオプトアウトを取得したユーザーにメールを送信し、つい最近行使した権利が間もなく消滅することを通知しました。Metaのサービスの利用を継続したい場合は、新たな形式の強制同意が提示されます。Metaの収益を増やすか、プライバシーを犠牲にするかの選択を迫られるのです。「まもなく、お客様の情報を使用して広告を表示することについて、お客様の同意が必要になります」と、メールには自信たっぷりに書かれていました。「選択をしていただいた時点で、現在の広告表示はサポートされなくなります。」
言うまでもなく、基本的人権は本来このように機能するべきではない。個人が自身の情報を保護する法的保護へのアクセスを、月額利用料の支払い能力によって決められるべきではない。しかし、Metaはユーザーに忍び寄り、プライバシーを軽視するビジネスモデルに固執し続けるための新たな方法を模索する中で、まさにこの選択を選んだ。これは、欧州のデータ保護法が意図するユーザー主体性に反するものだ。
Spotify Premium、Netflix、Apple Musicといった、同価格帯のデジタルサブスクリプションにお金を払うのとは異なり、Metaの広告なしサブスクリプションは、あなたの五感を刺激したり喜ばせたりするものではありません。あなたが支払っている料金の唯一の目に見える兆候は、ソーシャルメディアのフィードに表示されるコンテンツが普段より少し少なくなることです。つまり、本来であればあなたの注意を引くためにプログラムで挿入されるはずの「関連性の高い」広告が一切表示されなくなるのです。
注目すべきは、このアドテク大手が、ユーザーに不快な思いをさせないためにこれほど高額な料金を請求する必要がある理由を一切説明していないことです。覚えておいてください。広告ターゲティングには他にも様々な形態があります。例えば、コンテクスチュアルターゲティングなど、個人情報の処理を必要としないタイプの広告です。Metaは、地域ユーザーに対し、「パーソナライズ」広告かトラッキングなしのターゲティング広告かの選択肢を提供できたはずです。しかし、この会社がトラッキング事業から撤退する意思がないのは明らかです。トラッキングこそが Metaの事業なのです。
Meta の広告なしサブスクリプション オファーは、人々の情報へのアクセスに金銭的なコストを課しますが、これは Meta が個人のデータから得る価値を過大評価しているように思われ、ユーザーがプライバシーを保護するために本来支払うべきコストよりも高くついてしまいます。
これらの数字をざっくりと計算してみましょう。Metaの月間アクティブユーザー数(2022年12月31日現在37億4000万人)を前提とし、ユーザー1人あたりMetaにとって年間120ユーロ相当のターゲット広告(つまり、ウェブ上の広告なしサブスクリプションの年間費用)に相当すると仮定すると、同社は年間約4480億ユーロを稼ぐことになります。実際、Metaの2022年の年間収益は、それよりもはるかに低い1166億1000万ドル(約1100億ユーロ)でした。これは、Metaがユーザーのデータへの継続的なアクセスから得る収益と比較して、サブスクリプションサービスがユーザーのプライバシー保護に対して過剰な料金を請求していることを示しています。(言い換えれば、これはプライバシー詐欺です。)
これが重要なのは、Meta が、ユーザーにプライバシーの放棄を求めない唯一のサービス バージョンに対して料金を課す意図を正当化するために挙げた 7 月の CJEU 判決の一文で、そのような料金は「必要」かつ「適切」でなければならないと規定されているためです。
Metaのブログ投稿には、サブスクリプションの価格レベルをどのように計算したかについての1行のみが記載されており、それも(より高価な)モバイルサブスクリプションについてのみであり、「AppleとGoogleがそれぞれの購入ポリシーを通じて請求する料金を考慮に入れている」としている。
ウェブ(App StoreやGoogle Playストアの手数料は発生しない)でプライバシーを購入するのに、なぜこれほど高額な料金を課しているのか、その理由に関する情報は存在しません。そのため、なぜこれほど高額な料金設定が必要かつ適切であるのかを判断することはできません。Metaは、次の規制および法的論争に向けて、議論を控えていると言っても過言ではありません。
欧州で過去5年以上かけて完成された規制のモグラ叩きゲームはシンプルだ。好きなだけ汚いプレーをする――途中でいくらかの罰金を課されることになっても――ただし、最後のホイッスルが鳴る前に必ず時計をリセットする。
メタ社に対し、欧州人に支払いか追跡かの選択肢を提供する計画についてさまざまな質問をしたが、同社は度重なる問い合わせに回答しなかった。
また、規制当局もこの話題について熱心に話し合ってきませんでした。この問題は、データ保護、児童保護、反トラストの要素の両方で二股(あるいは三股)のリスクがあり、アイルランドのDPCなどの規制当局だけでなく、(新しい)デジタル市場法(DMA)の施行を監督する欧州委員会自体も関与することになります。DMAは、Metaなどのゲートキーパーに適用される事前規制ですが(ただし、まだ始まったばかりで、DMAゲートキーパーのコンプライアンスは2024年3月7日まで有効になりません)、
MetaにとってDMAに関する重要な考慮事項は、ゲートキーパーのコアプラットフォームサービスが広告目的でユーザー情報を処理する場合、ユーザーの同意を得る必要があるという規制です。また、同意の拒否は、同意の確認と同じくらい容易でなければならないと規定されています。
クレジットカードを取り出して月額料金を支払うのは、Metaの「同意」ボタンをタップして、このアドテク大手にプライバシーを委ねるのと同じくらい簡単なことなのでしょうか?Metaは明らかにそう考えているようです。実際、同社のブログ記事では、DMA(データ保護規則)が「同意」への変更を促したと明確に述べており、CJEUの判決(およびそれに対するプライバシー規制当局の対応)にも言及しています。
欧州委員会がMetaの「同等の容易さ」の解釈に同意するかどうかはまだ分からない。EUは今週初めの記者会見で、サブスクリプション発表に関する質問をはぐらかし、MetaのGDPR遵守はDPC(データ保護委員会)の問題だと述べた。(一方、DPCはTechCrunchの質問をはぐらかし、Metaに問い合わせるよう提案したが、Metaは…質問を無視した。つまり、今回の件は完全に規制の回りくどいやり方だ!)そのため、ブリュッセルがMetaの同意ゲームを糾弾するのか、それともそのまま押し通るのかは、おそらく来年まで待たなければならないだろう。
Meta が Hobson の同意選択を計画どおりに進めた場合、短期的にはもう 1 つの興味深い潜在的なピンチ ポイントが存在します。子供のデータが広告用に処理されるのをどのようにして防ぐのかが明確ではないためです。
欧州委員会が4月にいわゆる超大規模オンラインプラットフォーム(VLOP)を指定した後、フェイスブックとインスタグラムに適用されるもう1つの新しいEU規制であるデジタルサービス法(DSA)には、プラットフォームが広告ターゲティングのために未成年者のデータを処理しないという要件が含まれている。
VLOPのDSA遵守期限は8月末に開始されました。DMAと同様に、欧州委員会はMetaの遵守を強制執行する責任を負っています。したがって、Metaが子供のデータに関して軌道から外れているかどうかを把握するのも、ブリュッセルの責任となります。
Metaの製品の(広告なしの)サブスクリプション版は18歳以上のみ利用可能となるため、未成年者は追跡広告のないバージョンを購読することはできません。しかし、Politicoによると、Metaは11月6日にも、この地域の未成年者へのすべての広告表示を一時的に停止すると述べています。その理由は「法的な不確実性」です。しかし、Metaがどのようにして未成年者を確認し、誰が(無料の)広告なし版のサービスを利用し、誰が広告を見る(または料金を支払う)ことを強制されるのかを判断するのかは不明です。(繰り返しになりますが、Metaに対し、未成年者のデータを違法に処理しないために、どのように未成年者を特定するのかを尋ねましたが、回答は得られませんでした。)
さらに、Metaに料金を支払いたくない、プライバシーを放棄したくない(成人)ユーザーが、自分の年齢を数十歳若く見せるような新しいアカウントに登録するのを、一体どうやって止められるというのでしょうか?オンラインで身元を偽ることは、かつてないほど容易になっています。そして、Metaは偽アカウントの排除が得意ではありません。そのため、一部の人々がMetaのシステムを巧みに操作して、広告なしのサービス料金の支払いを逃れる方法を見つける可能性は、現実的に思えます。
あるいは、もっと突飛な可能性として、Metaは自社の全サービスに厳格な年齢確認を導入し、ユーザーにプライバシー保護のために料金を支払う年齢に達していることを強制するという方法もあります。ただし、年齢確認の強制はMetaにとっても物議を醸す可能性が高そうです(Metaは以前、オンラインでの年齢確認の複雑さについて長々と記事を書いていますが、それは未成年者のサービス登録を阻止しようとする試みの中でのことでした。そのため、プライバシーを重視する大人が、広告のないただ乗りのティーンエイジャーを装うのを防ぐために、年齢確認技術の適用を逆転させざるを得なくなるとしたら、実に皮肉なことです)。
DSAによる追跡広告のための未成年者データ処理の禁止には、但し書きが付いています。それは、VLOP(仮想広告事業者)が「サービスの受信者が未成年であることを合理的な確実性をもって認識している場合」に適用されるというものです。したがって、ここでの争いは「合理的な確実性」という表現にかかっています。
アドテク大手Metaが未成年者を特定できず、追跡広告を配信した件(おっと!)に関して、年齢確認に関する合理的確実性についてMetaの弁護士はきっと、自己都合の言い訳をいくつも見つけ出すだろう。しかし、今回はアイルランドDPCではなく、委員会が審判を下すことになるだろう。これは新しいことだ。
EUは以前、大手IT企業に対し、プライバシー・バイ・デザインの導入責任を回避するために「法的トリック」を用いるべきではないと警告してきた。ブリュッセルに拠点を置く規制当局は今、長年にわたる権利をめぐる争いに、侵害行為を厳しく取り締まり、Metaのような企業が子供のプライバシーを真摯に考慮するよう徹底する権限を与えられて臨んでいる。
欧州委員会は真摯に立ち上がり、ホームランを打つことになるのか、それともMetaのカーブボールがEUの輝かしい新ルールを台無しにしてしまうのか? ヨーロッパで長年プライバシーを注視してきた人々は、このゲームを以前にも見たことがあり、決して終わることはないだろうという不安に駆られるだろう。
メタが欧州でこれほど明白なデータ保護の回避行為を実行できたことは、ブリュッセルの議員たちがよく言うように、ルールの受容者ではなくルールの策定者であることを誇りとする地域において、恥ずべきことである。DMAは、野放しのプラットフォームの力に劇的なリセットをもたらすはずだった。DSAは、「迅速に行動し、物事を破壊する」テクノロジー大手に説明責任を課すための野心的な戦略書だった。両規制は、欧州委員会が大手テクノロジー企業のコンプライアンスを一元的に監視する役割を担うように構築されており、GDPRの不完全な施行に伴う落とし穴を明確に回避することを目的としていた。
しかし、ブロックの更新されたデジタルルールブックのインクがまだ乾いていないため、Meta は極度の自信を投影しており、まるで戦う余地がないかのように見えます。
Metaは他のユーザーを追跡し続けるために、ヨーロッパで広告なしのサブスクリプションを提供する予定
