欧州「一般データ保護規則」、対応遅れる米アドテク企業:これは対岸の火事ではない

世界最大級のデジタルマーケティング・カンファレンス「dmexco」が9月13日・14日、ドイツのケルンで開催された。参加者たちは、あと1年もしないうちに欧州で発効する「一般データ保護規則(General Data Protection Regulation:以下、GDPR)」について、できれば触れたくないと誰もが思っていた。

dmexcoにやってきた米国企業の幹部の多くにとって、警告のドラムビートはある種、目覚まし時計のベルになったかもしれない。GDPRが発効する2018年5月以降、広告業者は、データ使用について特定の同意を得ない限り、個人を対象にマーケティングを行うことができなくなる。その企業のサーバーがイスラエルにあろうとインドにあろうと米国にあろうと関係ない。欧州市民のデータを収集・保管する企業はすべてGDPRに従わねばならず、違反すれば罰金を科される。

数々の警告には恐ろしい内容もある。ページフェア(PageFair)でエコシステム部門を率いるジョニー・ライアン氏は以前、GDPRが「デジタルエコシステムをズタズタに引き裂いてしまう可能性がある」と述べたことがある。米国に本拠地を置くベンダーのなかには、GDPRは国際問題ではなく地域の問題だと見て、リソースを割かずに対応を先延ばしにしているものもいると、アドテク企業の幹部たちは言っている。

なぜ対応が遅れているのか?

米国企業から見ると、全99条、173の「備考」から構成されるGDPR(参考:Wiki)を完全に理解することは難しい。広告認証企業ザ・メディア・トラスト(The Media Trust)の欧州ゼネラルマネージャーであるマット・オニール氏は、エクスチェンジワイヤー(ExchangeWire)が9月11日に開催した「ATS」カンファレンスで、GDPRの完全適用には欧州の法執行者も苦労するだろうと言っている人たちもいる、と述べた。業界のある情報筋は、最近の業界イベントのひとつでGDPRが話題に取り上げられたときに、対応策があると自信を持って答えた人間は、自分が話した人のなかにはひとりもいなかったと話した。

欧州以外の企業がすべて、GDPRへの対応を嫌がっているということではない。準備が遅れている理由は、単なる怠慢、説明を細部まできちんと読んでいないこと、そして何より重要なのが、GDPRの影響を完全に把握できないことにある、と述べるのは、モバイルデータ・プラットフォームのオグリー(Ogury)で米国のサプライ部門を率いるシェイン・ミンテ氏だ。「地理的関係から、遠いところの問題のように思っている人もいるが、これは全員に関わる問題だ。(企業が)GDPRに準拠しない状態で、欧州連合(EU)圏内にひとりでもユーザーがいると、世界売り上げの2~4%が危険にさらされることになる」。

監査会社PwC(PricewaterhouseCoopers)の「メディア、インサイトおよび保証」担当パートナーであるサム・トムリンソン氏は、欧州と米国、それぞれの広告ビジネスの意識の格差を身をもって体験したという。GDPRの発効まで1年のカウントダウンがはじまって以来、トムリンソン氏や彼のグループに対しては、欧州のアドテクベンダーから、GDPRの広範な影響について教えてほしいという依頼が殺到した。PwCは彼らとの議論を通じて、クライアントであるアドテク企業のなかには、GDPRが最優先課題であるとはまだ実感していないところがあるとわかってきた。

「(業界がGDPRに焦点を絞れない)もうひとつの理由は、アドテク企業の戦略的方針が米国で生まれている場合が多いことだ」と、トムリンソン氏は語る。「そうしたアドテク企業はおそらく、販売の前哨部隊をロンドンあるいは欧州大陸の西側に置いてはいても、チームは、差し迫ったGDPRについての『地域的な』懸念に耳を傾けるより、四半期ごとの販売目標を達成することを主な仕事にしている。そのせいで、GDPRの情報が米国の本部にまであがりにくくなっている。ただし、その状況が変わりはじめる兆しはある」。

ビジネスを危険にさらす可能性

業界団体の世界広告主連盟(WFA)によると、欧州以外のマーケターの多くはGDPRへの対応に苦労しているという。WFAが、年間合計200億ポンド(約2.9兆円)以上を広告に支出している18社を対象に調査した結果、回答者の56%が、より厳格なデータ保護法に従うという課題について、欧州チームのほうが強く認識していると回答した。世界平均は44%だった。

顧客エンゲージメント・エージェンシーのPsonaでデータ部門責任者を務めるスー・マクルア氏はこう語る。「GDPRは、英国紙の経済面の見出しを大きく飾るようになったばかりだ。欧州以外の地域では、コンプライアンスについてのワークショップのなかで取り上げられるのを聞くくらいでしかない。それに、マーケターはそうしたワークショップに姿を現さない」。

WFAの最高経営責任者(CEO)、ステファン・レルケ氏は、欧州の外でGDPRに緊急対応しようという意識がない原因として、この規則が世界のビジネス慣例にどのような影響を及ぼすかについて、欧州以外のマーケターが混乱していて、必要なセーフガードの導入が遅れていることをあげている。さらに、同じマーケターがサプライチェーン、具体的にいうとテックベンダーから十分な支援を受けられていないケースもある。

「GDPRが自社のビジネスモデルを危険にさらす可能性があると考えているアドテク企業はたくさんある。こうした企業は、ユーザーとの関わりを直接持っておらず、ユーザーの同意を得ていないデータを、ずっと以前からマネタイズに利用してきている」と、レルケ氏は言う。

先行対応しているところもある

アドテクベンダーのなかには、アップネクサス(AppNexus)のように、GDPRの先を行っているところもある。アップネクサスは2017年5月、各種規則に従わないパートナーをすべて切り捨て、法令を遵守したピープルベースのIDを導入した。オープンX(OpenX)やロケットフューエル(Rocket Fuel)といった主要なアドテク企業がこれを支持した。

アップネクサスのコマーシャルおよびプライバシー担当のシニアディレクター兼顧問弁護士、ジュリア・シュルマン氏は、「アップネクサスは、新しいGDPRの環境下においても競争で優位に立てるよう、次世代のプライバシーコンプライアンスに沿ったビジネスを先取りしている。パブリッシャーや広告業者はすべて、自社とそのテクノロジーパートナーが対応準備をしているかについて確かめるべきだ」と語る。

Seb Joseph(原文 / 訳:ガリレオ)