グループ・エムの GDPR 対応施策、パブリッシャーらに波紋

グループ・エム(GroupM)は、来る5月25日、EUにおける一般データ保護規則(GDPR)の発効後もターゲティング広告を継続するため、パブリッシャー各社に対し、グループ・エムと顧客データ管理を共有することを要求する新たなデータ保護契約への署名を求めている。

グループ・エムは、契約に署名しないパブリッシャーはGDPRに準拠していると判断できかねるので、そのようなパブリッシャーとは取り引きを中止することになると述べた。パブリッシャーのなかには、グループ・エムが自らのGDPR準拠のニーズを肩代わりするよう強要しつつ、罰則への法的責任をパブリッシャーに押し付けているのではと、恐れているものもいる。

グループ・エムのデータ保護補遺

メディアバイイング大手のグループ・エムは、欧州連合で「何らかの形で個人情報に触れる」すべてのサプライヤーとベンダーあてにデータ保護補遺(Data Protection Addendum、DPA)を送付したと話す。 DPAは、パブリッシャーがGDPRのもとで遵守すると期待される、契約として拘束力のあるデータ保護原則だ。同文書によると、この契約に交渉の余地はない。

パブリッシャー各社の法務チームが文書を見直しているが、米DIGIDAYが話を聞いたパブリッシャー5社は、契約に使用されるターミノロジー(専門用語)に困惑しており、なかにはこれを「トロイの木馬」文書と呼ぶものといるという。パブリッシャーが、データ管理をグループ・エムと共有しなければならなくなる可能性があり、そうなればグループ・エムが(現在のデータ処理者という立場から)GDPRがいうところのデータ管理者となり、顧客データのソースとなってしまうからだ。データ管理者は同意の必要性に関して顧客と直接やり取りすることができるため、データ処理者よりも強い立場になる。データ処理者はサードパーティが集めたデータにアクセスする直接的なパイプを有していないからだ。

グループ・エムの広報担当者は以下のような声明を発表した。「グループ・エムには広範なGDPRプログラムがあり、グループ・エムのデータ補遺はその一部にすぎない。グループ・エムのデータ補遺は個人データを処理する同社のサプライヤーすべてに対して準備されたものだ。その個人データがグループ・エムに属するのか、それともクライアントやサプライヤーなのか、ということは関係ない。今回のデータ補遺は、データプライバシーに関するグループ・エムのコミットメントを明確に発信し、我々のサプライヤーに向けて同じコミットメントを実証するように求めるものだ」。

前述の広報担当者は、この契約が法律で規定された範囲を超える責任を課すものではなく、同エージェンシーはパブリッシャーの疑問に関して基本的にケースバイケースで対応していくと付け加えた。

誰が法的責任を取るのか?

もしサインしない場合、グループ・エムとの取り引きを失うというパブリッシャーの懸念について尋ねたところ、グループ・エムの広報担当者から以下のような声明が寄せられた。「将来的なサプライヤーとの関係性は、問題のサプライヤーの体質、およびデータプライバシー、とりわけGDPRに対してどのようなコミットメントを示せるか、ということにかかっている」。

GDPR施行が近づくにつれ、誰がユーザーの同意を得、また法的責任を取ることを期待されているのか、という問題があいまいになっている。パブリッシャーは既知の消費者ブランドであり、データのソースだ。つまり、ユーザーと直接的な関係性のある彼らこそ、ユーザーの同意を得るベストポジションにいるということになる。サプライチェーンの先にいるエージェンシーやベンダーが同意を得るのはもっと難しいだろう。すると必然的にターゲットはパブリッシャーとなり、アドテクベンダーやエージェンシーは、GDPRのもとで広告のターゲティングを継続するため、彼らを媒体手段として利用しようという流れに行き着く。

データプライバシー補遺にある長い利用規約の一覧には、タグとデータ収集に関するセクションがある。そこには、いかにしてグループ・エムが法的責任のリスクを回避しつつ、パブリッシャーのデータを共有しながら、クッキーを排除してオーディエンスのプロファイリングを実行するかという方法の概要が記されている。利用規約には、パブリッシャーのサイトはリッチメディアや、ほかの広告配信のタグを受け入れる必要があり、また「エージェンシーと広告主はサイトのタグによる影響について一切の法的責任を負わない」と規定されている。

業界の情報筋によると、グループ・エムは本質的にパブリッシャーに対し、オーディエンスとの関係性を差し出すよう要求していることになり、オーディエンスデータがパブリッシャーにとってもっとも貴重な資産だと考えると、大きな疑問がわいてくる。

各パブリッシャーによる対応

各パブリッシャーの法務チームは文書を見直しているところだが、彼らはデータプライバシー補遺にサインしないだろう、というのが全般的な見方だ。「まともなパブリッシャーなら、サインはしないだろう」と、ある業界幹部はいう。「これはGDPRの精神を軽視するもので、ほとんどのパブリッシャーのビジネスモデルを損なうものだ」。

グループ・エムの契約が登場したのは、ちょうどGoogleがパブリッシャーに対して、GDPRに準拠した「共同管理者」の立場を認めるよう要求したと報じられたころだ。ウォールストリートジャーナル(The Wall Street Journal)によると、これはGoogleのアドテクノロジーを使用して広告を販売するサードパーティのウェブサイトやアプリに代わって、同意を得るようパブリッシャーに求めるものだという。

欧州インタラクティブ広告協会(IABヨーロッパ)のトランスペアレンシー&コンセントフレームワーク(Transparency & Consent Framework:透明性と同意の枠組)は、GDPR施行前に業界全体を制度に準拠させておくことが目的であり、パブリッシャーにも取り引きを希望するアドテクパートナー全般に代わって同意を得ることを求めている。ただ、これを使用するか否かはパブリッシャーに選択権がある。

「これでは、まるで脅迫だ」

グループ・エムは、「パスポート」の名で知られるイニシアチブ(イギリスやEU諸国のパブリッシャーに同意を得る役割を肩代わりさせること)を試みたが、パブリッシャーの協力を得られず、頓挫してしまった。その後、グループ・エムは、IABヨーロッパのフレームワークを支持する道を選んでいる。

「これは市場にとって非常に公正なイニシアチブであり、このように同意を得ることが、皆にとって最大の関心事である(とグループ・エムは説明している)」と、パスポートイニシアチブのパブリッシャー幹部は話す。「しかし、同時に彼らは、もしもパブリッシャーが同意しなければ、パブリッシャーのインベントリーを購入するのに必要なテクノロジーを使用できないのだから、取り引きを中止するしかないという。これでは、まるで脅迫だ」。

Jessica Davies (原文 / 訳:Conyac