![DIGIDAY[日本版]](https://digiday.jp/wp-content/themes/digiday-master/assets/images/common/logo-digiday.svg){kind=logo}
米民主党が議会に提出した「コンテンツプロバイダーによる逸脱行為を阻止するための顧客に対するオンライン告知(略称:CONSENT)」法案。これはEUのGDPR(一般データ保護規制)に似た規制を米国に課すものです。ただし、このふたつには重要な違いがあります。
欧州で間もなく施行されるプライバシー法が米国にも登場するのか、その答えが明らかになりつつあります。
米国の上下両院は4月10〜11日(米国時間)、FacebookのCEO、マーク・ザッカーバーグ氏に対する公聴会を開き、Facebookがユーザーのプライバシーを保護できなかった件を厳しく追及しました。そんななか、エドワード・マーキー上院議員(民主党、マサチューセッツ州選出)とリチャード・ブルメンタル上院議員(民主党、コネチカット州)が、「コンテンツプロバイダーによる逸脱行為を阻止するための顧客に対するオンライン告知(Customer Online Notification for Stopping Edge-provider Network Transgressions:以下、CONSENT)」法案を提出しました。この法案は、5月25日に施行される欧州連合(EU)の「一般データ保護規則(General Data Protection Regulation:以下、GDPR)」に似た規制を米国に課すものです。ただし、このふたつには重要な違いがあります。
デジタルマーケティングの未来に示唆を与える用語をわかりやすく説明する「一問一答」シリーズ。今回は、この法案について説明していきます。
Advertisement
――この法案は何を義務付けるものなのでしょうか?
ひと言で言えば、同意を得ることです。パブリッシャー、プラットフォーム、ブランドなど、ユーザーの情報をオンラインで収集する者は誰であれ、ユーザーから明示的な同意を得ない限り、その人に関する情報を利用、共有、販売できなくなります。また、その情報を利用、共有、販売する方法について詳しく説明し、その方法に「著しい」変更がある場合には、そのことをユーザーに通知する義務があると法案には書かれています。
――その情報とは、厳密には何を指すのでしょうか?
広告のバイヤーやセラーがオンラインでターゲット広告を表示し、その効果を測定するために通常使用しているデータのことです。具体的には、人々がオンラインで訪れたサイト、人々が使用しているアプリ、人々の位置情報が含まれます。また、電子メール、プライベートメッセージ、通話情報、金銭の情報、健康情報、社会保障番号、子供に関する情報の利用についても、ユーザーの同意を得ることが必要になります。
――消費者にとってはいい話のように思えます。問題点は何でしょうか?
名前やメールアドレスなど、個人を特定できる情報について抜け道ができる可能性があることです。こうした情報は、同意を必要とする種類の情報に含まれていません。どのような種類の個人情報の利用、共有、販売に同意が必要になるのかを決めるのは、この法律を施行する米連邦取引委員会(FTC)の役目になるでしょう。FTCがこの法律に基づいてそのような情報を除外すれば、企業は、名前やメールアドレスなど、個人を特定できる情報を利用、共有、販売する場合に、そのことをユーザーに通知するだけで済むようになります。
――パブリッシャー、広告主、そしてFacebookやGoogleなどのプラットフォームにとって、この法律はどのような影響をもたらすでしょうか?
プラットフォームと広告主は、彼らに情報を収集することを許可した人々にしか、ターゲット広告を表示できなくなります。ただし、先ほど述べた抜け道を活用すれば、ユーザーや顧客の名前とメールアドレスを照合することで、ターゲット広告を表示できるようになる可能性があります。広告主の場合は、ターゲットにできるオーディエンスセグメントの規模が小さくなるかもしれません。一方、ブランドは、自社のサイトやアプリで収集した情報を利用して、ターゲット広告を表示したり、広告の閲覧が購買行動に結びついたかどうかを調べたりする場合にも、人々の同意を得ることが必要になります。
――パブリッシャーとプラットフォームが、同意をした人にしか自社のサイトやアプリの利用を認めないようにすることはできないのでしょうか?
できません。同意しない人々に対して自社のサイトやアプリの利用を禁止することはできないと、法案には書かれています。
――つまり、これはGDPRの米国版なのでしょうか?
そうであるとも、そうでないとも言えます。一見すると、GDPRとCONSENT法案はどちらも、一定の情報を利用する企業に人々の同意を得ることを義務付けています。しかし、15ページしかないCONSET法案がおおむね表面的な記述にとどまっているのに対し、99の条項から成るGDPRは、人々のデータを処理する企業と比較する形で、人々のデータを管理する企業に対する規則の適用の仕方を詳しく定めています。もうひとつの大きな違いは、個人情報に関する抜け道です。CONSET法案では、企業が個人情報の利用方法について説明すれば、同意を得なくてもその情報を利用できる可能性があります。
――この法案が通過する可能性はどれくらいあるでしょうか?
難しい質問です。議会は2011年と2015年にふたつのオンラインプライバシー法案を提出しましたが、どちらも通過しませんでした。法律事務所ミシェルマン&ロビンソン(Michelman & Robinson)のパートナーであるアダム・ソロモン氏は、Facebookの一件によって機運が高まっているのではないかとしながらも、この法案が通過する可能性は「まだきわめて低い」と述べています。また、共和党に賛同者がいないため、このままではどうにもならないと、法律事務所デイビス&ギルバート(Davis & Gilbert)のパートナーであるゲーリー・キベル氏は語っています。
GDPRについてより詳細を知りたい方は、無料PDF「GDPR入門ガイド」をダウンロードしてください。
Tim Peterson(原文 / 訳:ガリレオ)
