個人情報保護の観点から、広告・マーケティングにおけるCookieの利用をはじめとしたデータ活用の規制が進もうとしている。現状の課題を整理し、企業がこれから取るべき行動についてエキスパートがまとめた。
「データ活用」はここ数年、多くの企業にとっての重要なトピックであった。デジタル広告領域においても、よりコスト効率の高い運用を実現する上でデータは欠かせない。
ところが2019年から、Cookie利用規制問題など、データ活用の在り方がプライバシー保護という観点から語られる機会が増えてきている。法規制の話とプラットフォーマーによる技術的な規制などいくつかの要素がからみ合い、事業主サイドからは、何をどうしていくべきなのか見当がつかないという話も聞こえてくる。
そこで今回、なるべく多くの方にとっての頭の整理になればと思い、デジタル広告におけるデータ活用の現状と今後の展望について前後編でまとめてみたい。
まず、私自身のお話をさせていただこう。2004年に社会人としてのキャリアをスタートし、媒体社、広告代理店、アドテク事業者、大手プラットフォーマーでのお仕事を通じて、アドテクノロジーと深く付き合ってきた。
第三者配信や位置情報を利用したマーケティングプラットフォーム、クロスデバイス類推テクノロジーなど、その時々のテクノロジーは画期的で、大変エキサイティングなものだった。以前であれば正しく判別できなかったぼんやりとした生活者像を、圧倒的なデータと解析技術によって解像度を高めていくことについて、喜びすら感じていた。
2010年代の特に前半は、生活者がデジタル接点で生み出すデータの主導権について語られる機会はまだほとんどなく、事業主が収集したデータを自由に活用できるような雰囲気さえあった。そのような画期的ソリューションがマーケティング担当者の問題解決につながると喜々として提案してきた私にとって、現在におけるプライバシー重視の潮流はある意味で180度の方向転換であり、自分が過去に推進してきたことを否定するようなところもある。いわばしくじり先生的な気持ちである。
まずは、プライバシー保護に関する法規制の話から触れていく。欧州のGDPR(General Data Protection Regulation:一般データ保護規則)、米国カリフォルニア州のCCPA(California Consumer Privacy Act:カリフォルニア州消費者プライバシー法)は誰もが押さえておくべきグローバルトレンドである。
GDPRについて、おさらいの意味も含めて簡単にポイントのみ説明をする。GDPRは2018年の5月に欧州連合(EU)で施行された法律である。主に、生活者の個人データを自分自身でコントロールできるようにし、個人が不利益を被らない仕組みを用意するための法律である。
その中でマーケターが特に注目すべき部分は、CookieやIPアドレスなどの“仮名化”された情報も全て「個人情報である」ことが明確に宣言されている点である。“仮名化”とは、個人を完全に特定できない状態にした“匿名化”とは異なり、追加の情報があれば個人を特定できる状態のデータである(これらは現在の日本では、インフォマティブデータとして個人情報とは区別されている。)。
そしてGDPRでは、データの利活用に当たってユーザーから「暗黙的ではない同意」を得ることが求められている。例えば「このままサイトを見続けていると、Cookieポリシーに同意したことになる」というのは暗黙的な同意に該当する。このような同意取得の手法を取っている日本企業はまだまだ多いが、GDPR的にはユーザーをだましていることに当たる。
また、「ザ・個人情報」というべき従来通りの定義の個人情報についても、管理不備に対する罰則が厳しくなっている。例えば英国航空大手のBritish Airwaysはサイバー攻撃によって約50万人の個人情報を流出させてしまい、約257億円の罰金が科せられた。またクレジットカード番号を暗号化していなかったため、さらに個人補償約875億円の支払いも命じられた。その他、フランスにおいてGoogleはターゲティング広告の透明性・説明責任の欠如を指摘され約63億円の制裁金支払いを命じられている。
GDPRが制定された2016年当時、米国は欧州と比較してデータ活用に対して寛容度が高いと想定されていた。しかし、その後Cambridge AnalyticaによるFacebookデータの不正利用疑惑などもあって、米国民のプライバシー保護に対する意識が高まった。
カリフォルニア州は州法としてCCPAを制定し、2020年の1月に施行した。CCPAもGDPRと同じくデータ主権は生活者にあり、特に生活者の知る権利に比重を置いた法律となっている。具体的には、生活者から「私の情報がどう使われているか教えてほしい」と求められたとき、企業は自社のサイトにおけるコンテンツの出し分けや広告ターゲティングの根拠などになっている情報を開示しなければならない。
企業は生活者から預かった情報を適切に管理・運用していくことが求められる。生活者が自身のデータが利用されることを望まない場合は、企業は情報を速やかに削除する必要がある。つまり、カスタマーサポートに組み込み管理・運用する体制が欠かせない。故に、システム投資が増える企業負担の重い法律であるということになる。
CCPAは今のところカルフォルニア州にのみ適用される法律だが、侮ってはいけない。理由は大きく2つあると考えている。
1つ目は、このレベルの基準がグローバル企業のスタンダードになり得るためだ。プライバシー関連法は他の州でも検討されているが、州ごとに微妙に異なる法律対応を行うのは企業にとって煩雑になる。そのため、米国全体で適用される連邦法の成立を求める声明も出ている。署名にはAmazon.comやJohnson & Johnson、Dell、IBMといったグローバル企業のCEOも名を連ねている。この連邦法がこれらグローバル企業にとってのスタンダードになれば、カリフォルニア州民へのビジネスを展開しているかどうかにかかわらず、これらの企業と取引をする場合にCCPA水準での対応を求められる可能性が高い。
2つ目の理由は、少し長期的な目線になるが、グローバル企業との戦い方の話である。プライバシー重視の目的とは、顧客にとってのベネフィットを重視したビジネスを行い顧客との信頼関係を築いていくことに他ならない。その厳しい基準をクリアしているグローバル企業と競合する上で、顧客との信頼関係構築に重きを置かない企業が優位に立つことはますます難しくなるだろう。
日本国内の話題だと2019年に発覚したリクルートキャリアの内定辞退率提供サービスの問題が記憶に新しいだろう。GDPRやCCPAに関して「自社は海外ビジネスをしていないし」と、何となく無関係な話であるかのようにやり過ごしてしまっていた人でも、リクナビ問題については注視していたのではないだろうか。
2020年3月10日に閣議決定された個人情報保護法の改正案ではリクナビ問題を踏まえ、CCPAに寄せたと思われる項目が盛り込まれている。生活者が自らのデータの利用方法について開示請求権や削除要求権を持つことになる点がそれだ。
企業の視点から見るとこれは、生活者から預かった情報を適切に管理・運用していく仕組みへの投資が必要であることを意味する。罰則強化なども盛り込まれており、「同意の取得」という大前提が日本においても標準化する見込みだ。
Copyright © ITmedia, Inc. All Rights Reserved.