個人情報保護を厳格化する、新「EUデータ保護指令」が議決の見通し:欧州におけるネット広告の苦悩

2015年12月、新たな「EUデータ保護指令」の草稿の詳細が明らかになり、ヨーロッパのデジタル業界は騒然となった。

この指令は、2016年春に欧州議会で議決される見通しで、2年の公布期間を経て2018年に発効されるまでに、加盟国は国内法を整備しなくてはならない。それ以降、加盟国内で消費者データの使用に関して、厳しいルールが適用されることが見込まれる。ちなみに、ここまでこぎ着けるまでに、交渉やロビー活動などで4年の歳月がかかった。

概して、この法律はメディア・広告業界に多大な影響を及ぼすと考えられている。アドテク企業にも強烈な影響が及ぶだろう。ヨーロッパインターネット広告協議会は、この更新した指令を「ヨーロッパの前進を妨げている」と表現している。

以下に、カギとなるいくつかの問題をQ&Aで取り上げていこう。

そもそも、なぜこのような「指令」が存在しているのか?

現行の「EUデータ保護指令」は20年前のものだ。「忘れられる権利」など、インターネットにおけるプライバシー運用に厳格な立場をとる近年のEUの傾向のなかで、法律を現代に即したものへ更新しなくてはならないと考えられていた。

だが、EUに加盟する28カ国すべてに対応できるシンプルな法律を成立させることは難しい。そこで「指令」というスタイルが採用されている。「指令」とはEUの法体系のなかで、それぞれの加盟国がそれぞれの国内事情に合わせてカスタマイズできるものだ。つまり、大枠だけ決めて、国内法で詳細を詰めるという方法である。

この新しい「EUデータ保護指令」は「EUクッキー指令」とは違うのか?

「EUデータ保護指令」の影響力の方がはるかに大きい。これまでの国内法に余地を残す「指令」では、デジタル先進国の市場が、ドイツのようにプライバシーポリシーがきつい国とまったく同じルールを制定しなくても良いということだった。

実際、デジタル広告市場が発達しているイギリスでは、国内産業の状況と照らし合わし、「EUクッキー指令」が求める消費者によるクッキー利用許諾に「暗黙の同意」というループホールが用意されている。「暗黙の同意」とは、クッキーを自動的にドロップするサイトへ訪れても、「クリックをしたということは、クッキーが端末にドロップされることを暗黙のうちに了解した」ことになる枠組みだ。現実的に考えると、クッキーの仕組みを知っている消費者は、多数派ではないかもしれないが。

しかし、今回の「EUデータ保護指令」の草稿によると、加盟国の裁量が効く部分が少ないため、国内法整備の段階で骨抜きにするのは難しそうだ。このようにEUが態度を硬化させたのは、米国家安全保障局(NSA)が、EUの各セクションやEU内で発言権の強いドイツのメルケル首相を盗聴していたことが発覚したためだ。これらは元NSA職員のエドワード・スノーデン氏による一連の暴露で明らかにされた。

どのような規定が想定されるのか?

一般的に企業は、消費者データを使用する際、使用にあたっての法的根拠を示さなくてはならないが、これは消費者に簡易的な承諾を得ることで解決できた。しかし、欧州委員会は「機微な」情報の使用に関しては、「明確な」許諾が必要だと、注意を促している。

この新たな「EUデータ保護指令」の何が問題なのか?

当初からこの指令案では、「個人情報」という単語に、すべてのデータがひとまとめに集約されていた。これは、オンライン広告で使用された個人のクッキー情報に対して、個人の医療データ並みのプライバシーポリシーが適用されることを意味する。

インターネット広告協議会(IAB)とダイレクトマーケティング協会(DMA)が、定義をより明確にするためのロビー活動に失敗したため、クッキー情報に関しても厳しい運用が課せられることになった。

誰に一番の被害が及ぶ?

もっとも悪影響が出る企業は、消費者と直接的な関係性をもたないアドテク企業たちだ。事実、クリテオ(Criteo)やアップネクサス(AppNexus)のようなアドテク企業は、消費者と直接コミュニケーションをとることがない。

仮にコミュニケーションができたとしても、消費者はアドテク企業の企業名やブランド名を知らないため、コミュニケーションを断るだろう。

パブリッシャーにとってはどのような効果がある?

大量の商品をサードパーティーに販売してもらうパブリッシャーは、苦しむことになるはずだ。もし仲介企業がターゲット広告のためのデータを集められないとしたら、パブリッシャーは収益を失い、「強制的」に別の収益源を探す必要に迫られるか、コストを圧縮しなくてはならなくなる。

誰が一番の得をする?

ある情報筋によると、GoogleやFacebook、Amazonなどは、顧客との直接的な関係性を多くのデバイスを通じて構築しているため、この新たな「EUデータ保護指令」の下であっても問題はないと考えられるという。

しかし、広告売上を失った独立系のパブリッシャーは、法令遵守することによって発生するコストを極力避けるため、Facebookの「Instant Articles(インスタントアーティクル)」などのプラットフォームに群がり、広告売上を分配することで妥協しようと考えているようだ。

罰金はあるの?

当然、罰金はある。罰金の金額は違反の度合いと企業の年商によって異なる。罰金は最大で世界全体における総売上の4%だ。最高2000万ユーロ(約26億円)という。

Jessica Davies(原文 / 訳:BIG ROMAN)※[日本版]編集部で加筆・編集した
Image from ThinkStock / Getty Images