GDPR 遵守の努力が足りない、パブリッシング業界:「現時点で誰もが違反している」

一般データ保護規則(General Data Protection Regulation:以下、GDPR)が1カ月前に施行され、あわただしい動きや大量の受信メール、トラッキングへの同意通知の殺到につながった。だが、専門家によると、そうした動きの多くは、企業によるGDPR遵守につながっておらず、見せかけだったという。

問題の一端は、曖昧なGDPRの解釈が千差万別なことにある、と専門家は指摘する。GDPR対策の同意要請メッセージは、サイトごとに大きく異なる。デフォルトでボックスにあらかじめチェックが入ったオプトインや、ユーザーが探す必要がある埋め込みオプション、さらにクリックしないと情報を入手できないが、拒否ボタンがない同意バナー、暗黙の同意のアプローチがある。一部の業界幹部が「核のボタン」と呼ぶものを利用しているサイトもある。このボタンは、拒否または同意する内容を説明せずに、ユーザーに何もかも拒否させるものだ。既存のeプライバシー指令(ePrivacy directive)で義務づけられているクッキーバナーメッセージの外観を変更しただけのサイトもある。

「現時点ではほぼ誰もが違反」

「多くのパブリッシャー[とマーケター]は、故意または無意識に自ら災いを招いてきたように思える。まったく不必要で不適合な同意やオプトインメールをオーディエンスに浴びせてきた」と語るのは、プライバシーベンダー、エビドン(Evidon)の親会社クラウンピーク(Crownpeak)の最高技術責任者(CTO)であるエイドリアン・ニュービー氏だ。

主に、Googleが最後の瞬間になってGDPRに関する方針を変更した結果、5月25日のGDPR施行後の騒然とした数週間は、プログラマティック広告の量が急減した。だが現在、プログラマティック支出は、GDPR施行前の水準に戻りつつある。逆なでされた神経は落ち着きつつあるが、誤った安心感を抱かないようにと、専門家は警告している。

「現時点ではほぼ誰もがGDPRに違反している。理解しやすい単一の同意用ダイアログボックスがどこにもない。我々パブリッシャーは、それによって、どれほどのダメージを受けるのか気づいていない。誰もが、プライバシーについて考えるのではなく、かつてのように物事を運ばせようと努めている」と、デンマーク拠点のメディアアナリストであるトーマス・ベクダル氏は語る。

「EUはプライバシーについて非常に精力的だ。人々がそれを無視する方法を我々は見つけたので、この流れは止まらない。そうなりつつある」と、ベクダル氏は付け加えた。「彼らはまず、GoogleとFacebookを攻撃しそうだ。そんな風にしてはじまるが、そのことを通じて、我々はパブリッシャーとして同じくらい悪いことに気づくだろう」。

二分されるアプローチ

GDPRは、曖昧で自由に解釈でき、それがこうした種々様々な同意獲得方法につながっているとして、批判されてきた。欧州のパブリッシャーは、関心ベースの合法的で比較的ソフトなアプローチや、遵守を要求するオプトアウト手法を採るところと、人々にオプトインを求める同意ベースの強硬路線を採るところに、二分されている。

たとえば、ブルームバーグ(Bloomberg)とフォーブス(Forbes)は、積極的に同意を求める厳しいアプローチを採っているように見えるが、ガーディアン(The Guardian)やメール オンライン(MailOnline)などは、同意についてのバナーを掲載している。いくつかのパブリッシャーは、クッキー使用に関する説明書きを、広告およびトラッキング用とサイト分析用に分けている。ただし、ユーザーは必ずしも一方を選んでもう一方を拒否できるわけではない。多くの場合は諾否を迫っている。ビジネスモデルにダメージを与えない形で遵守する方法を見つけるまで、気づかれずにいたいと思っているだけのパブリッシャーもある。

「混乱に支配され続け、誰かが実際にやけどするまで、誰もができるだけ太陽に近づこうとしようとしている感じだ」と、あるパブリッシャー幹部はいう。

GDPRの潜在的な利点

だが、一部の業界幹部によると、いまはあまり行動しないことにしているパブリッシャーが、長い目で見てうまくやっていけるとは限らないという。

「遵守して、法律用語でユーザーに語りかけるだけでは、パブリッシャーはこれまでとあまり変わらず、GDPRが提示している潜在的な利点を最大限に活用できないだろう。何もしなければ、市場を寡占するFacebookとGoogleの思うつぼになる」と語るのは、独立系パブリッシングコンサルタントのアレッサンドロ・デ・ザンク氏だ。

既存のEUクッキー指令に関するポリシーを別の目的に使用したり、ユーザーが「OK」をクリックして先に進めるように、サイトの最下部にクッキーバナーを掲載したりしている企業の例はたくさんある。

「GDPRの同意には積極的な行動が求められ、明確な『はい』ボタンが必要という結論に行き着く。ユーザーが同意するまでデータは一切収集すべきではない。だが、多くのパブリッシャーは混乱し、それよりもeプライバシー指令に対するのと、よく似たアプローチを採っている」と、ニュービー氏はいう。

会話ははじまったばかり

2017年にアドブロックが危機的水準に達したとき、パブリッシャーは自己反省を続けた。多くのパブリッシャーは、短期的な売上目標を達成するためにユーザー体験が無視されないようにすることに、焦点を戻した。

「2000年問題のときには、大いにパニック状態になっていた。だが、それが過ぎると、二度と話題にされなかった。GDPRはそれとは正反対だ。5月25日に施行され、それで会話がはじまった。我々は、同意を迫る方法や、同意をサブスクリプションやマネタイゼーション戦略にどう結びつけるかについて、パブリッシャーと会話している」と、アドテクベンダー、ソースポイント(Sourcepoint)の共同創設者でもある最高執行責任者(COO)のブライアン・ケーン氏は語った。

Jessica Davies(原文 / 訳:ガリレオ)