GDPR について、「流暢」に語らうための用語ガイド:「共同管理者」「CMP」など

プログラマティック広告は長年にわたり3文字略称を大量に生み出してきた。

それに習って、5月25日に施行された欧州の「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)も、このところ難解な専門用語を拡大させている。

この記事では、多用することでGDPRに通じていると思ってもらえる、よく使われる用語をおさらいする。

レイヤー方式のユーザー体験による同意獲得

ユーザーデータを使って何をするのかをウェブサイトにおいてレイヤー(階層)方式で説明するもの。プログラマティック広告収益のマネタイズに使っているアドテクベンダーの数が多いパブリッシャーに人気の方式だ。パブリッシャーが採用しているさまざまなサードパーティベンダーに関する大量の免責条項をサイト訪問者に浴びせて当惑させるのではなく、ベンダーパートナーとデータ利用に関する情報をだいたい3つ程度のレイヤーにわけて、少しずつ詳細を提示していくスタイル。

いちばん上のレイヤーは、サードパーティのすべてのアドテクベンダーとデータ利用の目的について「はい」をクリックするように案内する最初のメッセージだ。別の「設定管理」タブに進むと中間レイヤーがあって、データがサイト分析に使われるのか、リターゲティングのパーソナライズに使われるのかなど、データ利用の具体的な目的がここで提示される。ここで同意できるが、さらに最後の第3レイヤーに進むと、個々のベンダーのリストが表示される。

オープンなユーザー体験による同意獲得

GDPRにおけるすべてをさらけ出した同意の形。ターゲティング広告のための情報収集に関して、方法、理由、利点など、同意に関する価値提案を消費者に提示する。サイト訪問者に1行単位で、パブリッシャーが情報を共有したいアドテクベンダー各社についてオプトインを求めていく。より率直なこちらの同意方式は威圧感が強く、ユーザーが二の足を踏む可能性が高くなるため、当然ながら、見かけることは少ない。

データ処理契約

GDPRで新しく導入されたわけではないが、GDPRによって使われるのが目立つようになった用語。データ保護に関してパブリッシャー、エージェンシー、マーケターがお互いに結ぶ契約で、GDPR準拠のベースラインとして機能する。データ保護当局もDPAと略されるので混同しないように注意しよう。

データ処理の付属文書

この数カ月、パブリッシャー側でいわゆる苦悩のタネになっている。付属文書(Addendum)は新しいものではないが、契約更新に関する法律用語だ。GDPRによって誰もがあわてて既存契約を更新し、データ処理の付属文書がさらに広がった。新しい用語だと思われているのは、5月25日の実施期限前の数カ月に大量に流入したためで、その調査にはいまなお時間がかかっている。

データ管理者

パブリッシャーと広告主はどちらもデータ管理者だ。ファーストパーティのオーディエンスデータを所有しているあらゆる企業は、自社だけでなく、エージェンシーやサードパーティのテックベンダーといったパートナーにおけるデータの取り扱いについても責任を負う。管理者は、個人データの処理の目的と手法を決定する。また、パートナーが原因の違反でも罰金を科される。

共同管理者(Joint controller)

個人情報処理の目的と手法をふたつの会社が共同で決定し、その2社が条件についてお互いに完全に壁がない場合。共同管理者は責任を共有する。別の共同管理者(co-controller)という用語も出現しているが、専門家によるとこちらは正式な用語ではない。GoogleのGDPR方針の変更によって出てきたものだ。Googleは変更のなかで、自社を共同管理者(co-controller)と記述し、管理者(パブリッシャー)のオーディエンスデータを理論上はGoogleがすべて掌握できるようにしている。企業が共同管理者(co-controller)を採用する場合は、GDPRで正式に定義された言葉ではないことに気をつけよう。

データの処理者と復処理者

オーディエンスデータを所有しないが、広告配信やリターゲティングといったマーケティングの関連活動を行うためにオーディエンスデータを使うのがデータ処理者。一般に、処理者は管理者が文書化した指示に従って行動しなければならない。処理者もまた、管理者と一緒に罰金を科されることがある。処理者が仕事を外部委託した場合の、その第2の会社が復処理者。処理者は外部委託するのにも管理者の許可が必要だ。

同意管理プラットフォーム(CMP)

パブリッシャーは同意管理プラットフォーム(CMP)を使って、ユーザーがデータ利用に同意したもの(同意していないもの)に関する情報を捕捉し蓄積する。そのうえで、パブリッシャーがデジタル広告のサプライチェーンで一緒に仕事をしているほかの各パートナーに同じ情報が渡るようにして、軽率なデータ利用による罰金がないようにする。ほとんどのアドテクベンダーが既存のサービスにこの機能を付け足している。アドテクの新しいビジネスモデルのチャンスというわけではなく、あくまで予防措置だとベンダーは見なしている。

ハードとソフトのオプトイン(オプトアウト)

オプトイン、オプトアウト、および正当な利益の構成要素には、まだ混乱がある。「ハードオプトイン」という用語が取りざたされることが多い。混乱してはならないのは、オプトインとハードオプトインはどちらも、ウェブサイトがサイト訪問者の期待や選択の想定はせずに、「同意」や「はい」をカチリとクリックしたかどうかによって広告ターゲティングを調整することを指すということ。クリックしない訪問者には、広告のパーソナライズを実施しない。

オプトアウトとソフトオプトインは区別なく使われており、同じことを意味する。ウェブサイトは、明示的に拒否し、体験のオプトアウトをしない限り、訪問者がデータの利用を許可していると想定する。

正当な利益

正当な利益という切り札を使い、当局の反撃を何社くらいが回避できるのかはまだはっきりしていない。正当な利益を主張する企業は(理論上)、長期的な内部テストを実施し、自社がデータを収集する利益が、個人がデータを収集させない利益を上回っていることを確認することになる。その場合も、GDPRではサイトがあらゆる同意を簡単に取り消せるようにしなければならず、そのため、メールのニュースレーターでは購読中止のリンクやボタンがよりはっきりしたものになるだろう。

パーソナライズド広告と非パーソナライズド広告

パーソナライズド広告は個人データを利用する。そこには、人種、宗教、性的嗜好のような保護が必要な情報が含まれる場合がある。後者について、GDPRでは標準的な同意ではなく「明示的な」同意が求められる。

非パーソナライズ広告は、あらゆる個人情報を使うことなくターゲティングできる。一部では、「従来型」のデータターゲティング手法ではない「倫理的な」データターゲティングを採用しているとも説明されており、Googleなどもオプションとして導入している。個人データなしで広告ターゲティングするコンテクスチャルターゲティングなどの手法もここに分類できるだろう。

Jessica Davies (原文 / 訳:ガリレオ)