DPIAとは何か、なぜ存在するのか

データ保護影響評価はGDPRのArticle 35に定義されています。これは、自然人の権利と自由に高いリスクをもたらす可能性のある処理業務を開始する前に、管理者が実施しなければならない文書化された分析です。DPIAは管理者に対して、処理を説明し、その必要性と比例性を評価し、リスクを特定し、リスク軽減のために講じた措置を文書化することを義務付けます。残余リスクが依然として高い場合、管理者は運用開始前に監督当局に相談しなければなりません。

パブリッシャーにとって、DPIAは一度限りの法的文書ではありません。それは、規制当局がクッキーやトラッキングに関する苦情を調査する際に最初に要求する中心的な文書であり、パブリッシャーがArticle 5(2)に基づく説明責任を実証できるかどうかを決定する文書です。これがなければ、証明の負担は決定的にあなたに不利に傾きます。

クッキーと同意フローにおいてDPIAが義務付けられる場合

Article 35(3)は3つの明示的なDPIAトリガーを列挙しています。Article 29 Working Partyのガイドライン（現在EDPBに採用）は、9つの指標基準のリストを追加しています。これらの基準のうち2つを満たす処理活動は、DPIAを必要とすると推定されます。クッキーとアドテクのフローにおいて最も関連性の高い基準は次のとおりです：

• 体系的かつ広範な評価 — 広告およびコンテンツパーソナライゼーションのためのプロファイリングを含む。
• 大規模な処理 — データ量、データ主体の数、地理的範囲、期間によって測定される。月間ユーザー数が7桁のパブリッシャーサイトはほぼ常に該当する。
• 技術の革新的な使用 — フィンガープリンティング、クロスデバイス識別、フェデレーテッドラーニング、アテンション計測、AIベースの行動推論を含む。
• 位置情報または行動のトラッキング — 行動ターゲティング広告とリターゲティングによって直接捕捉される。
• データセットの組み合わせまたは照合 — サーバーサイドエンリッチメント、アイデンティティグラフ、データクリーンルーム、カスタマーデータプラットフォームの統合を含む。

行動ターゲティング広告を使用し、複数のサードパーティピクセルを実行している典型的な中規模パブリッシャーサイトは、これらの基準のうち少なくとも3つを同時に満たすでしょう。DPIAが必要であるという推定は、実際には確実性に近いものです。いくつかの国家DPAが独自の義務的DPIA リストを公表しています；イタリアのGarante、フランスのCNIL、ドイツのDSKはいずれも、プログラマティック広告とクロスサイトプロファイリングをデフォルトのDPIAトリガーとして指定しています。

DPIA文書に含まれなければならないもの

Article 35(7)は4つの必須内容を定めています。そのうちのいずれかが欠けているDPIAは、規制当局によってまったく実施されていないものとして扱われます。

処理の体系的な説明

これは1段落の要約ではありません。説明は、処理されるすべての個人データのカテゴリ、すべての目的、すべての受信者、すべての保持期間、およびすべての国境を越えた転送を網羅しなければなりません。アドテクのフローでは、TCF文字列内のすべてのベンダー、それぞれが受け取るデータ、およびそれぞれについて主張される合法的根拠を列挙することを意味します。TCF v2.2ベンダーリストをDPIA附属書に直接コピーしたパブリッシャーは使用可能な文書を作成しています；2文でまとめたパブリッシャーはそうではありません。

必要性と比例性の評価

必要性は、同じ目的がより少ないデータまたは非個人データで達成できるかどうかを問います。行動ターゲティング広告のフローでは、コンテキスト広告が同じ目的を果たすかどうかを正直に検討することを意味します。EDPB Opinion 28/2024は、DPIAがコンテキスト広告を1行で退けることはできないと明示しています――管理者は代替案が検討されたことを示し、なぜ却下されたかを説明しなければなりません。

データ主体へのリスクの評価

リスク分析は、不法アクセス、無許可の開示、改ざん、喪失、およびプロファイリングのより広範な社会的リスク――萎縮効果、差別、ロックインを考慮しなければなりません。特定された各リスクについて、評価は可能性、深刻度、および軽減後の残余レベルを記述しなければなりません。

リスクに対処するために講じた措置

ここに同意管理プラットフォームがDPIAに登場します。きめ細かな同意取得、ベンダーごとのオプトアウト、容易な撤回、保持期間の制限、転送中および保管中の暗号化、データ処理者への契約上の保護措置――各措置は特定の識別されたリスクに結び付けられなければなりません。パブリッシャーがCMPを使用しているという一般的な声明は措置ではありません。

データ保護責任者の役割

Article 35(2)は、管理者がDPIAを実施する際にDPOの助言を求めることを義務付けています。指定されたDPOを持つパブリッシャーにとっては簡単です。DPOを持たない小規模なパブリッシャーにとっては、DPIAはまだ実施できますが、文書化された外部からの助言――外部弁護士、業界コンサルタント、またはCMPベンダーのコンプライアンスチームとともに実施しなければなりません。DPOの役割は、管理者の必要性分析に異議を唱えることであり、それを承認することではありません。

事前協議が必要な場合

Article 36は、DPIAが処理によって管理者が軽減できない高いリスクをもたらすことを示す場合に、監督当局への事前協議を義務付けています。実際には、クッキーと同意フローではこれは稀です――ほとんどのリスクは、きめ細かな同意、ベンダーの削減、保持期間の制限、および契約上の保護措置によって軽減できます。しかしゼロではありません。2024年と2025年に事前協議を引き起こした2つのケース：TCF統合なしに導入されたフィンガープリンティングベースの識別子、およびファーストパーティデータとサードパーティデータブローカーを組み合わせたクロスデバイスアイデンティティグラフ。いずれかのパターンを検討しているパブリッシャーは、6〜12週間の協議タイムラインを計画する必要があります。

規制当局が調査でDPIAをどのように使用するか

DPIAは、クッキーに関する苦情が正式な調査段階に達したとき、規制当局が最初に求める唯一の文書です。イタリアのGarante、フランスのCNIL、ベルギーのAPD、バイエルンのBayLDAはいずれも、問題の活動をカバーするDPIAの要求で手続き上のファイルを開始します。最近の決定から3つのパターンが浮かび上がります：

遅れて作成されたDPIAは大幅に割引される

規制当局の要求後に作成されたDPIAは、事前評価の証拠として扱われません。2025年のいくつかの決定は、文書が事後的に作成されたことを明示的に指摘し、それに応じて重みを付けました。DPIAは処理の開始に先行しなければならず、文書のメタデータまたはバージョン履歴がそれを明確にする必要があります。

汎用DPIAは欠落として扱われる

サイト固有の分析なしにCMPベンダーのポータルからコピーされたテンプレートDPIAは、ますます拒否されています。イタリアの出版グループに対する2025年のGarante決定は、対象となる9サイトのうち6サイトを名指しし、それらすべてをカバーする単一の共有DPIAがArticle 35を満たさないと判断しました。

軽減措置は実際に展開されているものと一致しなければならない

DPIAが60日間のクッキー保持を説明しているが、展開されたクッキーが24か月の有効期間を使用している場合、規制当局はDPIAを不正確なものとして扱います。DPIA説明書に対して展開された設定の四半期ごとの監査は、もはや任意ではありません。

まとめ

ほとんどのパブリッシャーにとって、実践的な答えは同じです：DPIAは必要であり、新しいトラッキングが導入される前に起草される必要があり、展開された設定に対して四半期ごとに見直される必要があります。文書は長くある必要はありませんが、サイトに固有であり、起動前に書かれ、DPOまたは文書化された外部アドバイザーによって承認され、実際に本番で稼働しているものと一致していなければなりません。これら4点を正しく実行したパブリッシャーは、規制当局が質問に来たときに、DPIAをコンプライアンスの負担から最強の防御に変えます。