Cookie使用への同意に関するEU法は明確だ。広告主がパブリッシャーのサイトでトラッキングを行うことを承認するか、拒否するか。ユーザーには、これらのどちらかを選ぶ権利が与えられるべきというものだ。問題は、ユーザーにその選択肢が与えられていないと思われるケースが見受けられることだ。

先日、ある調査の結果が発表された。その調査は、アドテクエコシステムの不十分なプライバシー対策にスポットライトを当てることを目的として、イービクイティ（Ebiquity）がユーザーセントリック（Usercentric）のCMP（同意管理プラットフォーム）、クッキーボット（Cookiebot）と提携して行われた。

この調査から、トップ企業の広告支出を呼び込んでいるサイトの圧倒的多数（92.6％）が、ユーザーの同意を得る前に、彼らのデバイスに少なくともひとつのトラッカーを置いていることがわかった。

Advertisement

課題が山積みのパブリッシャー

この調査では、イービクイティが持つグローバル広告主上位100社の記録に基づき、プログラマティック広告投資をベースとする最大規模ドメイン1000個を対象として、およそ20万個のCookieが分析された。

この調査で分析された約20万個のCookieのうち、半分がCMPによって「マーケティングCookie」に分類され、これらのトラッキングツールの82.4％が、サードパーティによってユーザーのデバイスにインストールされたものと判定された。そして、これらCookieの3分の1（32.3％）が、ユーザーからの同意を合法的に得ることなく使用されていた。また、この調査から、サードパーティマーケティングCookieの70％がユーザーのデータをEU外に転送していることもわかった。こうした商慣行は厳しい規制要件の対象となる。言い換えれば、この調査が示しているのは、大手パブリッシャーの多くが、管理体制に関する誤った認識をユーザーに与えることで、彼らのプライバシーとデータ保護の権利を侵害しているおそれがあるということだ。

「広告主が望んでいるのは、信頼できるメディアへの資金供給だ。これらの数字がはっきりと示しているのは、課題は山積みということだ」と、イービクイティのグループ最高製品責任者、ルーベン・シュルーズ氏は語る。「ブランド各社には、特にここ最近の業界の発展を考慮して、プログラマティック・オープン・ウェブ・アクティビティへの投資に関し、透明性と管理の徹底をアドバイスしている」。

気が気ではないマーケターたち

当然のことながら、マーケターは気が気ではない。規制当局がこの調査結果をさらに調査するようなことになれば、立場が危うくなるのは、もちろんパブリッシャーだ。結局のところ、いかがわしいデータ収集が起きている疑いがある現場は、彼らのサイトなのだ。だが、広告主もまた、関係者として同罪に処されるのではと警戒心を強めている。そして、その警戒心が、この件に関する独自調査へと彼らを駆り立てている。某消費財ブランドの最高メディア責任者（取材許可が下りなかったため、匿名）は、次のように語る。「自社のメディアバイを監査して、プライバシーに準拠しているかどうかを確かめなくてはならないだろう」。もし準拠していない場合は、マーケターはこの監査をきっかけにして、EUベースのデータセンターの利用を保証するアドテクベンダーと提携するパブリッシャーへ、広告支出を統合できる。「考えるだけでぞっとする」と、同責任者は語る。

確かに、こうした不安は目新しいものではない。広告データのモニタリング企業が今年10月、調査結果を米DIGIDAYに教えてくれたが、この調査から、溝を埋めるための法律（すなわち、EU一般データ保護規則：GDPR）が登場してから3年が経過した現在も、ユーザーが個人データに対して許可していることと、そこで実際に行われていることのあいだにあるギャップがあらわになった。そして、イービクイティの調査により、マーケターへのプレッシャーはさらに強まった。ユーザーの同意なしに彼らをターゲットにするという考えがまかり通る広告市場、そんな広告市場を活性化させるという自身の役割と対峙するというプレッシャーだ。

これまでにアドテク企業、メディアオーナー双方と仕事をした経験を持つコンサルタントのルル・フォンマニー氏は、次のように語る。「広告主は何十年にもわたって、パブリッシャーに気づかれることなくアドクリエイティブをピクセル化することによって、パブリッシャーを介してユーザーに関するデータを集めてきた。私はずっと、データ同意の形成や承認ワークフローのピクセル化に取り組んでいるが、今ではエージェンシーとブランドが、プライバシー法が次々に制定・改正されていくなかで、データ収集の責任を負わされつつある」。

あらためて表出する疑問や課題

もし仮に広告主による確認作業が今回の調査結果を裏づけることになったとしても、だからといって必ずしも、パブリッシャーが意図的に不正行為をはたらいているとはかぎらない。一部の情報源によれば、パブリッシャーが制限を課されて、サードパーティがオーディエンスを同意なしで追跡するのをブロックできないケースもあるという。たとえば、広告主とパブリッシャーの両者が、使用されるトラッカーの種類を100％管理できない場合がそうだ。Cookieがページに置かれると、それによりサーバーが呼び出され、そのCookieが配信されたことが記録される。そのCookieはサーバーだけでなく、ほかのCookieも呼び出すことがある。基本的に、最初のCookie1個がその後、何百というほかのCookieを呼び出す可能性は常にある。ここが厄介なところだ。パブリッシャーが自社サイトで起きていることを把握しようとしても、そう易々と事は運ばないのだ。

これによって、さらなる疑問も浮かび上がってくる。IABテックラボ（IAB Tech Lab）とIABヨーロッパ（IAB Europe）が策定した、「トランスペアレンシー＆コンセントフレームワーク（Transparency and Consent Framework：以下、TCF）」は、GDPRの要求に応えられるほどに堅固なのかどうか、という疑問だ。

そのプロトコルは、GDPRに準拠する形で、企業各社（パブリッシャーやアドテクベンダー、エージェンシー）が今後も継続してウォールドガーデン外にプログラマティック広告を出せる方法を規格化している。問題は、それが実際には合法ではないかもしれないという点だ。EUのデータ保護当局のなかには、TCFの堅牢性を疑問視しているところもある。事実、IABヨーロッパの方針立案グループは現在、ベルギー当局からの指示を待っている。同当局の監視委員会は近々、今後の鍵をにぎる、TCFのGDPR準拠に関する評価を発表する見込みとなっている。

調査結果を鵜呑みにしてはいけない

英国の業界団体、オンラインパブリッシャー協会（AOP）のマネージングディレクター、リチャード・リーブス氏は、次のように語る。「TCFは開始以来、善良な関係者や、コンプライアンスに対する業界全体の願望に大きく依存してきたが、その管理・確認にはTCFの管理者による実施・強制が必要であるという課題は、以前から知られてきた。プログラマティックサプライチェーンの実現に、TCFは不可欠だ。AOPのシニアメンバーと連携し、TCFの目的の実現をサポートするなかで、リスクをさらに軽減するためにできることが、いくつも見つかっており、それらを公表してきた。その記録はIAB、ICOとも共有している。両者は直接の話し合いを通して、どうすれば管理・確認を強化して徹底できるかについての彼らの意思決定を報告してくれている」。

今回の調査結果は驚くべきものだ。だが、これを鵜呑みにすべきではない。事実、一部の消息筋は、イービクイティのレポートを読んだ関係者に、そのなかで展開されている主張の一部を独自に分析してみることをアドバイスしている（ただし、その結果を疑問視している消息筋もいなかった）。イービクイティの監査事業もユーザーセントリックのCMPも、このレポートが掻き立てる不安から何らかの利益を得る立場にあるということを留意すべきだ。

［原文：‘This is scary stuff’: Cookie compliance efforts continue to fall short even three years after GDPR］

SEB JOSEPH and RONAN SHIELDS（翻訳：ガリレオ、編集：長田真）