苦い勝利と呼ぶべきか。

広告販売を仲介する無数のアドテク企業が、サードパーティCookieを通じて隠密裡に個人データの収集や共有を行うのはプライバシーの侵害ではないか。長年にわたり、プライバシー擁護派はそう主張してきた。彼らの強い主張を背景に、またプライバシー保護の強化を求める政府や消費者の圧力に押されて、Googleなどの企業は、ようやくサードパーティCookieの廃止に動きはじめた。同時に、デジタル広告業界の関心は、一部のプライバシー擁護派たちがさらに侵略的だと見なす代替技術に傾きつつある。

「その皮肉はよく分かる」と、技術者のアシュカン・ソルターニ氏は言う。同氏はカルフォルニア消費者プライバシー法（California Consumer Privacy Act）の制定に携わり、米連邦取引委員会（FTC）のプライバシーおよび個人情報保護部門に勤務経験を持つ。

Advertisement

広告主、アドテク企業、デジタルパブリッシャーたちは、20年の長きにわたり、サードパーティCookieとデータという通貨に依存して、開かれたウェブ上である種の物々交換を成立させてきた。具体的に言うなら、個人情報と引き換えに、コンテンツ、サービス、あるいはより適切な広告を提供してきたわけだ。一方で、非営利団体ワールドプライバシーフォーラム（World Privacy Forum）の創設者であり、同団体の理事を務めるパム・ディクソン氏は、サードパーティCookieによるサイト横断的な個人の追跡には、一部「明らかな行き過ぎ」もあると指摘する。ディクソン氏も、長年にわたって、プライバシーセーフなデジタルエコシステムを唱道してきた人物だ。

ところが現在、Cookieと同じように、アドテクのサプライチェーン全体を通じて受け渡し可能な新しい識別子を生成するために、かつてないほど多くの個人情報が収集されている。このような代替技術のなかには、電子メールアドレスや電話番号など、ファーストパーティデータを必要とするものもある。

ライブランプ（LiveRamp）やトレードデスク（The Trade Desk）のようなテクノロジー企業、そしてパートナーシップ・フォー・リスポンシブル・アドレサブル・メディア（Partnership for Responsible Addressable Media：責任あるアドレサブルメディアのためのパートナーシップ）のような業界団体は、このような代替技術について、電子メールアドレスを文字と数字から成る文字列に変換し、仮名IDを生成するため、サードパーティCookieよりも確実にプライバシーを保護できると主張する。さらに、この種の代替識別子の生成は、ユーザーの同意を得て行われるとも訴える。電子メールアドレスのような個人データは、ブランドやパブリッシャーがユーザーとのやりとりのなかで収集するためというのが彼らの言い分だ。

古参のデジタルプライバシー活動家で、非営利団体センター・フォー・デジタル・デモクラシー（Center for Digital Democracy：CDD）の常任理事を務めるジェフ・チェスター氏は、この議論を一蹴する。「ファーストパーティデータが常にユーザーの許可付きという主張を認めるわけにはいかない。それは詭弁だ」。現に、ユーザーに同意を求める文言について、こうあるべきという指針も要件もほとんど存在しない。

前出のソルターニ氏も、「ファーストパーティデータから生成する識別子は、Cookieよりもさらにプライバシー侵害のリスクが高く、ユーザーに付与される透明性や管理権も低下する」と述べている。同氏は、サードパーティCookieが削除またはブロックできる点に言及し、ハッシュ化または暗号化されたデータを組み込む識別子のほうが問題だと論じる。というのも、代替識別子の生成では、複数のデバイスで発生するアクティビティをまたいで、永続的かつ個人を特定できるようなユーザー連携が行われるからだ。ある意味で、これらの技術は、「実際の名前その他の［個人を特定できる］情報よりも、強力な識別子を生成しかねない」とソルターニ氏は述べている。

生まれながらにデータ依存症

データ収集を最小限に抑えるための取り組みが続く一方で、電子メールアドレスなど、ファーストパーティの顧客データを収集する競争は加速している。サードパーティデータ連携に依存して、メッセージのカスタマイズや投資効果の高い広告出稿を行ってきた広告主たちとしては、これに代わる別の手段を模索しなければならない。

業界は広告主と消費者の間のコミュニケーションを果てしなくパーソナライズしつづけてきたが、「ファーストパーティデータの戦略的収集は、その延長線上にあるものだ」と、CDDのチェスター氏は指摘する。「1990年代から連綿と続いてきた、デジタル広告の中核をなすOne-to-Oneマーケティングモデルの軌跡を見る思いだ。彼らはファーストパーティデータを増やし、FacebookやGoogleに移植している。これは新しいトレンドではない」。

1994年（最初のバナー広告が登場したまさにその年）の10月に産声を上げたCookieの構造こそが、個人レベルのデータ追跡に大きく依存する業界を生んだ。そう指摘するのは、非営利団体電子フロンティア財団（Electronic Frontier Foundation）の技術者、ベネット・サイファース氏だ。同団体は、10年以上、デジタル広告によるプライバシーの侵害防止を訴えつづけてきた。「Cookieはデフォルトで第三者がフルアクセスできるように設計されているため、ウェブ上で個人を追跡し、プロファイリングを行うことが非常に容易だった」とサイファー氏は述べている。「トラッキング業界はいろいろな意味で反消費者的な慣行に慣れ、しかもそれに大きく依存していると思われる。残念なことだ」。

推定同意？

とはいえ、代替識別子の採用と普及には多くの障害がある。たとえば、Googleは米現地時間の3月3日、自社のプロパティで扱う広告を除き、電子メールアドレスを用いて生成したものを含め、Cookieに代わるいかなる識別子もサポートしないと発表した。この表明によって、代替技術をめぐる不確実性はさらにいっそう深まった。

もうひとつの潜在的なハードルが法律の問題だ。電子メールアドレスを使用して仮名IDを生成し、ウェブ横断的な追跡を行うにあたり、アイデンティティ技術企業のほとんどは、米国のユーザーに対して、データ収集の実行時に明示的な告知やインフォームドコンセントの確認を行う仕組みを整備していない。現状では、このような代替技術を採用する企業の多くが、プライバシーポリシーに「マーケティングや広告を目的として個人情報を使用できる」という一般的な記述があるとして、ユーザーの同意を取得したと解釈している。

しかし、消費者のプライバシー保護と透明性の堅持を宣言する業界として、このようなやり方を標準とするのはいかがなものか。規制当局にも通用しないのではないか。たとえば、カリフォルニア州のプライバシー法は、個人情報の取り扱いについて記述した一般的な利用規約に同意したことをもって、個人情報の販売に同意したことにはならないと定めている。また、2022年1月以降に企業が収集した個人データを対象とする同法の最新版に照らせば、電子メールアドレスから生成したIDの使用は、データの販売と見なされるという議論もある。

現に、ソルターニ氏も「規制当局の理解は得られないだろう」と述べている。「［パブリッシャーによる］ハッシュ化された識別子を含む個人のIDの移転は販売に当たる」。

一方、CDDのチェスター氏は、電子メールアドレスの収集に対する同意と、ID技術への転用に対する同意は別物である旨を、複数のプライバシー保護団体が団結して議員に訴えることを期待する。同氏によると、消費者保護団体がより実効性のあるプライバシー保護施策を求めて有望な議員たちへの働きかけを強めるかたわら、さらに大きな皮肉が進行しているという。

チェスター氏いわく、「一番の皮肉は、ほかでもない業界によるCookie排除の取り組みが、我々が20年も待ち望んだ政治的な巻き返しの引き金になりそうなことだ」。

［原文：After winning the battle over third-party cookie tracking, will privacy advocates lose the personal-data use war?］

KATE KAYE（翻訳：英じゅんこ、編集：長田真）
Illustration by IVY LIU