GDPR の警告、アドテク企業をようやく動かす:「強制してこそ変化がもたらされる」

英国の個人情報保護監督機関、情報コミッショナー局(Information Commissioner’s Office:以下、ICO)は、「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)を遵守するための2度目の機会をアドテクに与えてきた。

だが、実際に強制しなければ、意味がないかもしれない。

ICOは6月第4週、GDPRに違反する慣行を続けないよう、アドテク業界に厳しい警告を発した。プログラマティック広告内での現在の慣行(特にリアルタイムビッディング[以下、RTB])は、その多くが本質的に違法だというのが、警告の主旨だった。

文書には、ターゲティング広告を目的とした個人データの悪用をICOが容認しない特定の分野が、次のように明記されている。特に、RTBを行っている企業の場合、正当な利益がそれに依存することは許されない。民族的出自、健康状態、政治的志向を含む特定の関心事の分野に関するデータは明示的な同意が必要であるが、契約上の合意だけでは遵守のためにそれに依存できない。

動じないアドテク企業

表面的には、文書はアドテクに対してきわめて懸念を抱いている。だが、アドテク企業は相変わらず動じていない。理由のひとつは、重い処罰の脅威がないためだ。また、デジタル広告のサプライチェーンが複雑なことを考えれば、提起された問題に対処しようとする取り組みは、修正に長い時間が掛かるのも理由だ。GDPR違反で特定の企業を召し出すまで、大きな変化は起きそうにない。少なくとも短期的には。

ICOは、インタラクティブ広告協議会(IAB)やGoogleの GDPRフレームワークで緊密に協力して完全に遵守するよう手助けし、半年後に再度調査して、変化の証拠があるか確認すると述べた。だが、公式には、厳しい処罰ではなく、さらなるガイダンスを公表する可能性があると約束するにとどまっている。

「ICOは、缶に穴を開けたが(アドテクの)蓋をはぎ取ってはいないような状態だ」と、ロンドン・メディア・エクスチェンジ(London Media Exchange)の最高経営責任者(CEO)ダン・ウィルソン氏は語る。「RTBがベースである広告コール内でのデータの利用方法は、プライバシーに対するシステム上のリスクだと警告されてきた。そういった声明を発表できずに立ち去ることはできない」。

ICOは怒りを示すべきとき

エッセンス(Essence)のようなメディアエージェンシーは、継続的なGDPR違反に光を当てるのに必要な措置として、ICOの警告を歓迎してきた。「ユーザーからの同意取り付けを効果的に行う慣行には有効期間があり、我々はそうした慣行をなくしたいと強く思っている」。エッセンスのシニアバイスプレジデントで、欧州・中東・アフリカ地域(EMEA)でのメディア・アクティベーションの責任者であるライアン・ストーラー氏は、そう述べながらも、警告だけでは現状は変わらないと付け加えた。「多くの人々がそれについて話しているが、強制してこそ、変化がもたらされる。レポートに書かれている調査結果の多くは意外なものではないが、違反している企業を見せしめに罰する必要がある」。

ICOはこれまでに、GDPRアセスメントの大多数について鞭より飴を好むことを明らかにしてきた。だが、多くのメディアエージェンシーと一部のアドテクベンダーは、ICOは怒りを示すべきときだと述べてきた。「そうならなければならない――そうした罰金なしでは、変わるきっかけがほとんどない」と語るのは、パブリッシャー技術ベンダー、ソースポイント(Sourcepoint)の共同創業者であるブライアン・ケイン氏だ。

ICOは、ワシントン・ポスト(The Washington Post)で行ったように、書面化された軽い警告を出す以上のことをする必要が出てくるだろう。「あれはもっとも及び腰の声明だった」と、ケイン氏はいう。「意味がない。将来のある時点で、ICOは誰かに対してある種の罰金を科すだろう。ICOは、警告と調整する時間を十分に与えてきた」。

「火遊びをするのと同じ」

多くの広告業界幹部は、違反しているアドテク企業が最新の警告に急いで対応しなければ、深刻な影響があると確信している。独立のパブリッシングコンサルタントであるアレッサンドロ・デ・ザンチェ氏は、「現時点でICOのガイドラインを真剣に受け止めないのは、火遊びをするのと同じだ」と語る。「ICOはまず警告を発してから、数カ月の非公式な猶予期間を設けたあとで罰金を科すと聞いたことがある」と、同氏は付け加えた。「これを無視して、傲慢で反抗的なアプローチを示すと、信頼性が著しく低下している業界にさらなるダメージをもたらすだけだ」。

さらなる罰金や、よりいっそう主流のニュースがこの問題を大々的に取り上げるリスクを避けたければ、デジタル広告業界は対応しなければならない、という意見にほかの者も賛同している。そうしたニュースは、ブランドセーフティをめぐる問題とともに取り上げるといったように、消費者にもっと注目されるような扱いをするだろう。

「未チェックのままであれば、もっと大きな注目を集める危険がある」と、アドテクベンダー、ティーリアム(Tealium)でEMEAのソリューションコンサルティングを担当するディレクターのデビッド・モリス氏は語る。「ケンブリッジ・ アナリティカ(Cambridge Analytica)のせいで、Facebookで起きていることがよりいっそう注目される扱いをされ、GDPRが施行されたときには、主流のBBCニュースで取り上げられた」。

データ利用に関する未来

だが、プログラマティック広告取引の手段としてのRTBにおける現在のデータ利用に未来があるかどうかをめぐっては、懐疑的な見方がまだある。「業界の一部は、RTBとプライバシー規則、それも特にGDPRが両立しないという明白な事実を受け入れるのではなく、進んで全速力で壁に衝突する準備ができている」と、デ・ザンチェ氏は語った。

Jessica Davies(原文 / 訳:ガリレオ)