GDPRの遵守に対し、楽観的な主張をするアドテクベンダー

一般データ保護規則(General Data Protection Regulation:以下、GDPR)に準拠した企業だと認めてもらうには、そのなかで記載されている「正当な利益(legitimate interest)」を謳っていさえいればいい。このような考え方を拠り所にしているアドテクベンダーは、別の戦略を考えたほうがいいだろう。しかも急いでだ。

GDPRの施行まで4カ月を切った現在。いまだ、GDPRへの準拠やその施行について、一部で混乱がみられる。

なかでも苦境に立たされているのは、ユーザーの位置情報を利用するアドテクベンダーのようだ。情報筋によれば、彼らの多くが自社のビジネスはGDPRにおける「正当な利益」という条項に準拠していると声高に主張している。そうすることで、データ利用についてユーザーの同意を得るという高いハードルを、少しでも低くしたいと考えているのだ。

ユーザーの明確な同意なしにユーザーデータを利用する行為に対して、正当な利益を主張できる企業もなかにはあるかもしれない。だが、もっぱら入札ストリームデータ(bid-stream data)を利用して、セグメントとオーディエンスを特定しているようなアドテクベンダーは、正当な利益を抜け道として利用することはできない。

ところが、実際には多くのアドテクベンダーがこの言葉を免罪符のように利用していると、複数の情報筋が述べている。GDPRの詳細がいまだに不明なため、一部の企業がデータの保護について間違った解釈をしてしまい、あとでしっぺ返しを食らうことになる可能性が生まれているのだ。

「(位置情報を利用する)アドテクベンダーが、正当な利益のためにデータを利用できると主張しながら、その理由を説明できないのであれば、そのベンダーは、GDPRの意味するところをまったく理解できていない愚か者ということだ」と、あるアドテク企業の幹部は匿名を条件に語った。また、入札ストリームデータに依存するベンダーの多くが正当な利益を主張しながら、ほとんどのベンダーがその根拠を示していないと、この幹部は付け加えた。

エージェンシーの意見

エージェンシーのなかには、位置情報データに関するRFP(提案依頼書)の送付を、ベンダーに求めるところもある。だがGDPRへの準拠に関する計画について、位置情報ベンダーから満足な回答を得られたことはないと、複数の情報筋が述べている。「彼らは(エージェンシーに対して)正当な利益があると大雑把に主張するが、その主張には具体性がない」と、前述の幹部はいう。「したがって、今後はエージェンシーによる(位置情報)ベンダーのふるい落としがはじまるだろう」と、この幹部は語った。

サードパーティベンダーによっては、エージェンシーを安心させるために、入札ストリームデータへの依存度を減らしていると話すところもある。だが、それだけでエージェンシーが満足することはない。「(独立系の)テックプロバイダーからの回答はあまりにも大雑把だ」と、あるメディアエージェンシーの上級幹部は匿名を条件に話してくれた。「彼らは、100%準拠しているといったり、こうした『大雑把な』指針を設けているといったりする。だが、忘れられる権利を保護したり、データの処理方法を伝えたりするために、どのような対策を準備しているのかという私の質問には、何も答えていないのだ」。

そのようなベンダーが自社にとって重要なパートナーであれば、データ保護の影響を評価するテストを実施し、彼らがGDPRに準拠しているかどうかを評価することになると、前述のエージェンシー幹部は語った。だが、「重要なパートナーではない場合は、切り捨てる」という。

とはいえ、一部のベンダーが正当な利益という言葉を免罪符のように考えているのは、ある程度やむを得ないことだ。GDPRがどのように施行されるのか、いまだにはっきりしない現状が、企業を抜け穴探しに駆り立てている。「企業は排除されてしまうというリスクを、100%とはいわなくてもある程度抱えているため、あらゆる手段を尽くしている。取引関係を失わないようにするために、薄氷を踏むようなリスクを冒し、時間稼ぎをし、ある程度の食い扶持を確保しながら、これから何が起こるのかを見守っているのだ」と、あるメディア企業の幹部は匿名で語ってくれた。

自分自身を改革すべし

だが、正当な利益を主張していれば安泰だと思い込んでいるベンダーの多くが無視している、GDPRの核となるルールは明確だ。そのルールとは、ユーザーデータの利用に正当な利益があるかどうかを判断するにあたって、企業は自社の利益とユーザーの利益のバランスをとる必要があるということだ。また、データの処理は間違いなく必要であり、同じ結果を得られる別の手段が利用できる場合には、正当な利益という考え方を当てはめることはできない。

「正当な利益だからという理由で、人々を安心させ、保護することはできない」と、アクセンチュア(Accenture)のデジタルマーケティング責任者、アミール・マリク氏はいう。「同意を得るプロセスは、あらゆる曖昧さを排除するためのものでしかなく、正当な利益はすでに明確に定義されている。したがって、これを抜け道として利用することはできないのだ。最終的には(ユーザーの)同意が必要になる」とマリク氏は語った。

簡単にいえば、正当な利益を隠れ蓑にしようとする行為は、長期的にはうまくいかないということだ。むしろベンダーは、自社のプロセスを見直す機会としてGDPRを利用する方法を率先して見つけ出す必要がある。「アドテク企業は、GDPRの網をかいくぐろうとするのではなく、自分自身を改革する必要がある。強制的ではなく、より純粋な形でオーディエンスからエンゲージメントを獲得するという必要性に対応するために、新しいソリューションの開発にエネルギーを注ぐべきなのだ。彼らは、自社の利益ではなく、パブリッシャーと広告主の正当な利益に適うように行動するべきなのだ」と、ニュースUK(News UK)の元幹部で独立系コンサルタントのアレッサンドロ・デ・ザンチェ氏は述べている。

Jessica Davies(原文 / 訳:ガリレオ)