英DIGIDAYは、ロンドンで開催したイベント「Hot Topic: GDPR」で、22社を対象に「一般データ保護規則（General Data Protection Regulation：以下、GDPR）」の準備に関する調査を行った。なお、オーディエンスのデータを集めて利用する広告主にとって、Facebookとケンブリッジ・アナリティカ（Cambridge Analytica）のスキャンダルとGDPRのどちらがより大きな影響を及ぼすかについて調査した結果は、こちらから確認できる。また、今後のイベントについてはこちらを見てほしい。

ポイント：

• 回答者の3分の1以上が、GDPRの施行日である5月25日までにGDPRに準拠できるかどうかわからないと答えた。
• 回答者の36％が、GDPRへの対応のために人を雇うことはしていないと答えた。
• 86％の企業が、GDPRへの準備として契約の見直しを進めている。
• DIGIDAY+のメンバー29名を対象とした別のオンライン調査では、GDPRに準拠するための会議を2018年に入ってはじめて行ったと答えた企業が52％に上った。
• DIGIDAY+のメンバー25名を対象とした別のオンラインアンケートでは、規制当局がもっとも関心を持っているのは企業がGDPRの趣旨に従っているかどうかだとする見方に、40％の回答者が同意した。

多くの企業が、GDPRへの準拠を先延ばし

GDPRは、欧州連合（EU）が制定した新たなデータ保護規則だ。5月25日に施行されたこの規制のために、企業は今後、消費者のデータを収集、利用する方法を変えざるを得なくなるだろう。もしかすると、GDPRに関する話題を耳にしたのはごく最近だという人もいるかもしれないが、それはあなただけではない。英DIGIDAYは5月、29名の企業幹部を対象としたオンライン調査を実施し、GDPRへの準拠に関する会議をはじめて行った時期を尋ねた。その結果、52％の企業が、2018年に入ってはじめてGDPRに関する会議を行ったと答えている。

Advertisement

GDPRが求める義務についての調査をはじめたばかりの企業にとって、規制当局から罰せられないようにするための取り組みは時間との闘いになっている。英DIGIDAYが4月に開催した「プログラマティックマーケティングサミット・ヨーロッパ（Digiday Programmatic Marketing Summit Europe）」で、ある出席者は次のように述べていた。「我々は米国のパブリッシャーであるため、影響は及ばないと2週間ほど前まで考えていたが、いまでは大きな混乱に陥っている」。

だが、GDPRに準拠する準備を前もって行っていたとしても、大きな違いはなかったかもしれない。GDPRが正式に承認されたのは2016年のことで、施行まで2年の猶予期間が設けられた。ところがそのあいだ、多くの企業は何もできない状態に置かれていたのだ。英国のプライバシー監視機関である情報コミッショナー事務局（Information Commissioner’s Office：以下、ICO）は、準拠のガイドラインをなかなか発表せず、欧州インタラクティブ広告協会（IABヨーロッパ）がGDPR向けのフレームワークを発表したのは、4月25日のことだった。多くの企業は、どのようにすれば準拠できるのかいまもよくわかっていない。

半数の企業が、施行日までにGDPRに準拠できる見込み

多くの企業は、GDPRの施行日が近づきつつある時期の不安な空気を、2000年問題のときに似ていると感じていた。今回の「ホットトピック」イベントでは、回答者の36％が施行日までにGDPRに準拠できるかどうかわからないと回答した。一方、施行日までに準拠できると答えた企業は50％だった。ある回答者は、施行日までには間に合わないと認めながらも、6月はじめには準備が完了できる見込みだと述べていた。

GDPRに確実に準拠するにはお金がかかる。だが、コンプライアンスへの取り組みというのは、たくさんのお金を費やしたからといって、確実に達成できるとは限らないものだ。「プログラマティックマーケティングサミット・ヨーロッパ」のある出席者が、匿名を条件に語ってくれたところによると、その人物と話をしたベンダーは、「GDPRに準拠するために800万ポンド（約1100万ドル：約12億円）を費やしたが、準拠できているかどうかいまもわからない」と述べたという。規制当局は、GDPRに準拠しなかった企業に対して、その企業の年間売上高の最高4％に相当する金額か2000万ユーロ（約2300万ドル：約26億円）を罰金として課すことができる。

3分の1以上の企業が、GDPR向けの人材を雇わず

GDPRは、オンラインでのユーザー行動を統計的に追跡する企業など、一定の条件に当てはまる企業に対し、データ保護責任者を置くことを義務付けている。この役割は、外部のコンサルタントに担ってもらってもよいし、自社で担当者を雇ってもよい。英国だけでも、2万8000人のデータ保護責任者が必要になるといわれていた。だが、データ保護責任者に対する需要が高いうえ、支払わなければならない報酬が高額になることから、英DIGIDAYが調査した企業の3分の1以上が、GDPRへの準拠のための人材を特に雇っていないと回答した。多くの企業は、外部から人を雇う方法と自社で人材を育てる方法を臨機応変に組み合わせている。「ホットトピック」イベントの調査に参加したある回答者は、プライバシーの専門家を自社に招き入れるだけでなく、社内のデータサイエンスチームを活用してGDPRへの準拠に取り組んでいると話していた。

GDPRへの準拠に大わらわになっている企業は、支援サービスを提供するという触れ込みの会社や人に注意する必要がある。多くの自称「専門家」が、GDPRコンサルタントとして自らを売り込んでいるが、EUやICOはGDPRコンサルタントに関連した公式な資格や認証プロセスを提供していない。したがって、「専門家」を雇う場合は自らの責任で行ってほしい。アイソバー（Isobar）など複数のエージェンシーがGDPRのコンサルティングサービスに乗り出しているほか、さまざまなベンダーが登場し、GDPRへの準拠を保証するというソリューションを提供している。

GDPRに準拠するより、GDPRの趣旨に従うことが重要

欧州の規制当局がGDPRへの準拠をどれほど厳格に求めてくるかは、よくわからない。そのため、多くの企業は、GDPRに厳格に準拠しようとするより、GDPRの趣旨に従って行動し、ユーザーのプライバシー保護を強化するほうが重要だと考えている。実際、DIGIDAY+のメンバー25名を対象とした5月のオンラインアンケートでは、欧州の規制当局にとって最大の関心事は企業がGDPRの趣旨に従うかどうかだとする見方に、40％の回答者が賛同した。

たとえマーケターが、GDPRへの準拠を証明するために自分たちが行っている取り組みをすべて文書化したとしても、罰金を免れることが保証されるわけではない。とはいえ、「プログラマティックマーケティングサミット・ヨーロッパ」の出席者のひとりは、次のように述べている。「（準拠するための）取り組みを行っていることを証明することが、（規制当局による）攻撃から身を護る最適な方法だ」。

多くの企業が、GDPRの施行前に契約を見直し

GDPRへの準拠に取り組んでいることをアピールするために使える手段のひとつが、パートナーやベンダーとの契約を見直すことだ。「ホットトピック」イベントで調査した企業の86％が、GDPRに準拠するために契約を見直したと述べている。

ただし、契約の見直しがパブリッシャーに大きな問題をもたらした事例もある。メディアバイイング大手のグループ・エム（GroupM）は、新しい契約書をパブリッシャーに送付し、この契約書にサインしないパブリッシャーのインベントリー（在庫）の入札をやめると一方的に通知した。しかし、多くのパブリッシャーが強い不満を示したため、グループ・エムはこの契約書を撤回。IABのトランスペアレンシー＆コンセントフレームワーク（Transparency & Consent Framework：透明性と同意の枠組）に従うと表明した。

企業が契約を見直したとしても、GDPRへの準拠が保証されるとはいえない。位置情報データ計測を行うリップル（Rippll）のCEO、ダグ・チズム氏は、保持されたデータと削除されたデータを把握できる技術がなければ、契約を見直すことにほとんど意味はないと述べている。

Mark Weiss（原文 / 訳：ガリレオ）