![DIGIDAY[日本版]](https://digiday.jp/wp-content/themes/digiday-master/assets/images/common/logo-digiday.svg){kind=logo}
UMワールドワイド(UM Worldwide)で、初となるプライバシー保護の最高責任者に就任して3年がたったアリエル・ガルシア氏。米DIGIDAYが行ったインタビューで、UMワールドワイドが掲げる目標について論じるとともに、変容するプライバシー規制への対応力について語ってもらった。
2020年、アリエル・ガルシア氏はIPG傘下のUMワールドワイド(UM Worldwide)で、同エージェンシー初となるプライバシー保護の最高責任者(チーフプライバシーオフィサー[CPO])に就任した。 同氏のCPO就任は、規制強化の潮流に備えるメディアエージェンシーたちの動きを反映していた。
就任から3年近くが経ち、ガルシア氏の見るところ、2023年に米国ではプライバシー規制の強化に再び拍車がかかるという。実際、州のレベルでも独自の消費者保護法が次々と打ち出されている。UMでは、同氏のCPO就任以前から、プライバシー問題を常に把握しておくために、クライアントを巻き込んだ「プライバシー規制対応マニュアル」のようなものを作成していた。
将来的には、エージェンシー内のプライバシー部門と顧客サポート部門の「調和」が進むとガルシア氏は見ている。いまのところは、クライアントとプライバシーの話をすれば、中心的な話題はもっぱらカリフォルニア州のプライバシー規制で、状況の変化に応じたオペレーションとソリューションに焦点が当たるという。
Advertisement
ガルシア氏はこう説明する。「その一環として、中央のチームを編成した。GDPRの施行に備え、まずはプライバシー施策を推進するプライバシーチャンピオンのネットワークを作った。次にこの活動を拡大して、クライアント担当のプライバシーチャンピオンを配置した。GDPRへの対処法はクライアントごとに異なるため、専任の担当者が必要だと考えた」。
米DIGIDAYとのインタビューで、ガルシア氏はUMワールドワイドが掲げる目標について論じている。それは、変容するプライバシー規制への対応力を全社的に底上げし、組織の中央に専門のチームを配置して法令の変更や修正を追跡することだという。また、各州が新たに定めるプライバシー保護法への対応支援に加え、GDPRの施行方法の変更にも備えている。さらに、子どものプライバシー保護が進むなか、連邦取引委員会(FTC)の動向からも目が離せないという。
なお、インタビューの内容は分かりやすさを考慮して要約・編集している。
◆ ◆ ◆
――来年度のプライバシー施策の優先課題は何か?
より重要なテーマは規制そのものではなく、ソリューションの妥当性と永続性を正しく評価することだ。パートナー企業を評価する際、我々が一番知りたいのは、機微な個人情報をどのように保護しているか、あるいは子どものデータの不用意な収集をどのような仕組みで防いでいるかなどだ。規制当局にとって、こうした課題は、今日では単なる関心事でも、明日は規制の対象になっているかもしれない。エージェンシーとしては、事業の収支を心配するよりも、データの調達や保護のあり方について理解すること、将来的な優先課題を見越してパートナーたちがその課題にどう対処しようとしているかを理解することが重要だと考える。
――各州のプライバシー保護法に対しては、どう準備しているか?
州のプライバシー保護法についても対応は変わらない。議論の的は圧倒的にカリフォルニア州プライバシー権法(California Privacy Rights Act)だが、カリフォルニア州はいろいろな意味で異例だ。ほかの州のプライバシー保護法は、基本的にはターゲット広告からのオプトアウトがその要だ。弊社では、まずクライアント向けのプライバシー入門書のようなものを作成し、クライアントとの議論を開始した。一番の問題となるのは、各州法の内容が曖昧で、かつ一律でないことだ。我々がクライアントに提供する最大の価値は、たとえば複雑に入り組んだアドテク業界で各州法がどのように適用されるかなど、直接的な影響についてクライアントの理解を助け、点と点を結びながら、パートナー企業から適切なソリューションを選んで提案することだ。
――パートナー企業やクライアントから寄せられる最大の懸念は何か?
議論のテーマのひとつが、長期的な視点を持つこと、後手の対応から先手の対応にシフトすること、コンプライアンスという守りの姿勢から、積極的に責任を引き受け、標準や期待値に従う人々と連携するという攻めの姿勢に転じることだ。我々が日常的に交わすプライバシー関連の議論は、依然としてオペレーションに関するものがその大半を占める。たとえば、「この州でこのソリューションの準備が整うまでのあいだ、どう対処すればよいか」など。我々は仲介役としてパートナー企業と連携し、当該の州の住民をターゲティングから除外できるか否か、あるいは制限付きデータ処理設定の有無などを検討する。
――今後、エージェンシーはプライバシー担当の役員やチームを配置する必要に迫られるだろうか?
私はプライバシー施策の最高責任者だが、法務部門の所属ではない。ビジネスサイドの人間だ。社内のコンプライアンスを監督するが、職務の大部分はクライアントのサポートだ。私の経験則では、CPOの役割はエージェンシーごとに異なる。プライバシーの専門部署に所属することもあれば、製品部門に所属することもある。あと1年もしくは2年もすれば、こうしたスキルセットには調和が生まれ、もっとまとまりのある仕組みができると思う。
――いずれは米国でもGDPRのような法令が制定されるのだろうか?
いずれそうなるだろうと楽観している。ただし、今年の話ではない。当面は子どもに関する連邦法など、連邦政府の話題が多くなると思う。連邦レベルで子どもの保護が強化されるのではないか。プライバシーだけでなく、プライバシーと安全。つまり、基本的にはネットの害悪を軽減するような施策が中心となるだろう。
Antoinette Siu(翻訳:英じゅんこ、編集:島田涼平)
