広告ブロック機能を備えるブラウザ「Brave」を提供する新興企業のBrave Softwareは欧州で現地時間9月12日、Googleやその他の広告技術会社がプライバシーを侵害し、欧州連合（EU）の新しい「一般データ保護規則（GDPR：General Data Protection Regulation）」に違反しているとして、アイルランドと英国の関係当局に苦情を申し立てた。

Braveのチームを代表する最高ポリシー責任者のJohnny Ryan博士の主張によると、Googleと広告会社は「入札リクエスト」というプロセスで、ユーザーデータを露出している。

この入札リクエストは、Googleや広告会社が提供する「行動ターゲティング広告」を掲載しているサイトを、ユーザーが訪れた際に発生する。

これらの広告枠のコードは大量のユーザーデータを収集して、広告プラットフォームに送り返す。このため、特定のユーザーに広告を表示したいと考える広告主に、サイトの訪問者のデータが露出しているという。これは「リアルタイム入札（RTB）」として、知られているプロセスだ。

Braveチームによると、この入札リクエストの際に、ユーザーが何を読み、視聴しているか、位置情報、IPアドレス、利用デバイスの詳細、さまざまな追跡IDといったデータが露出している。

またRyan博士は、こうしたデータはユーザーの性別、人種、政治的見解といった個人の詳細など、ユーザーの間接的情報を含んでいる可能性があると主張する。さらにユーザーは、自身のデータが匿名化されていても、どの広告入札者が、どのような個人データを閲覧できるのか、完全に制御できないと主張している。

Braveチームは、このデータの露出がGDPRの第5条1項f号を侵害しているため、今回の苦情提出を受けて、英国、アイルランド、EUの規制当局は正式に調査するべきだと述べている。

Ryan博士は、「行動ターゲティング広告の中心部で、データ侵害が大規模かつ組織的に行われている。GDPR施行まで2年の猶予があったにもかかわらず、広告技術会社は準拠を怠った」と述べた。

米ZDNetがGoogleにコメントを求めたところ、同社は現在提供しているGDPRの準拠ツールによって、ユーザーは自身のデータと広告に関する設定を管理できると回答した。

「ユーザーには、パーソナライズされた広告を含め、当社がEUで提供するすべてのサービスに関して、データの透明性と管理できる手段を有意義な方法で提供している」（Googleの広報担当者）

Braveが、英国情報コミッショナーおよびアイルランド政府データ保護コミッショナーに提出した2件の苦情には、行動ターゲティング広告がどのように機能し、入札要求プロセスでユーザーデータがどのように露出されるかを説明した、32ページに及ぶ技術報告書が添付されている。これら2件の苦情で、名指しで言及されている広告技術会社はGoogleだけだ。

Googleやその他の広告技術会社が有罪だと認められた場合、2000万ユーロ（約26億円）から世界の売上高の最大4％の範囲で、厳しい罰金を科せられる可能性がある。