Google 、 IAB による GDPR 準拠の枠組みへ 3月から参入:「 TCF 2.0 」導入の後に

これまで業界では一般データ保護規則(GDPR)に準拠した、標準化された枠組みを作る取り組みが進められてきた。そしてこの枠組はパブリッシャーや消費者、そして法律自体のニーズを満たすように見直しが行われた。

GoogleはこれまでIABのトランスペアレンシー&コンセントフレームワーク(Transparency & Consent Framework:透明性と同意の枠組、以下「TCF」)への参加を約束していた。だが、前述の見直し後の枠組みへの参加はこれまで表明しておらず、期限をたびたび引き伸ばすGoogleに、業界の役員らは懸念を抱きはじめていた。しかし、欧州インタラクティブ広告協議会(IAB Europe:以下「欧州IAB」)とIABテックラボ(IAB Tech Lab)による第2版のリリースに対し、Googleは2020年3月までに統合を行うとの声明を発表した。

Googleのユーザー信頼、プライバシー、透明性担当シニアプロダクトマネージャーのチェトナ・ビンドラ氏は「欧州IABの予定に沿って、TCF 1.1からの切り替えおよび完全な運用開始後にまもなくTCF 2.0の導入を行う。現状では、2020年第1四半期を予定している」と語り、また「統合方法に関するさらなる詳細を数週間以内にお知らせする」としている。

TCF 2.0における焦点

これまで広告業界では、TCFの命運はGoogleが参加するかどうかにかかっているとする関係者が多かった。Googleの参加が実現するまで、アドテクベンダーやメディアエージェンシーは広告販売で、IABのTCF、そしてGoogleの定める枠組みという2種類の異なる枠組みへの対応が求められており、相互運用性やリソース面で頭痛の種となっていた。グループ・エム(GroupM)のEMEA担当ブランドセーフティマネージャー、ステファン・ランジェロビッチ氏は「メディアバイヤーにとっては、目を通し、遵守すべき合意が1種類だけのほうがはるかに簡単だ」と語る。

TCF 2.0は、パブリッシャーやメディアエージェンシー、アドテク企業、欧州10カ国のIAB、9カ国のデータ保護担当部門のあいだで12カ月にわたる継続的な協議と計画に基づいて生まれた。TCFはパブリッシャー各社の同意管理プラットフォーム(Consent Management Platform:以下CMP)による参加となるため、パブリッシャーの公式な参加数というものはない。だが、関係者によると、アクセル・シュプリンガー(Axel Springer)やガーディアン(The Guardian)、テレグラフ(The Telegraph)といった大手パブリッシャーおよび欧州出版社評議会(European Publishers Council)などのパブリッシャー業界団体は、いずれもグループ協議に積極的に参加しているという。

TCF 2.0は「パブリッシャーにとってもアドテクベンダーにとってもありがたい」と語るのは、EPCのエグゼクティブディレクター、アンジェラ・ミルズ・ウェイド氏だ。「TCF 2.0であれば、GDPRを遵守しつつ、パブリッシャーの細やかなニーズと、いまのコンテンツ要求に柔軟に対応できる」ため、多くのパブリッシャーにとって魅力的な選択肢になるだろうと、同氏は指摘する。

今回のアップデートの焦点は、パブリッシャーによるユーザーデータの使用について、同意の要求をより明確にして、ユーザーにしっかりと情報を提供することにある。また、パブリッシャーが提携するアドテクベンダーのデータ使用方法と目的に関し、よりコントロールしやすくなる。これにより企業の正当な利益に基づく要求に対して、ユーザーは同意の取り消しと同じくらい簡単に拒否できるようになる。ベンダーの正当な利益に基づいた、広告ターゲティングのためパブリッシャーのデータ使用の可否についてユーザーに公開する際に、ベンダーはパブリッシャーのCMPから通知を受け取るようになる。

2つのメッセージを標準化

GDPRは幅広い解釈が可能で、パブリッシャーによる同意確認も軽いタッチのものから格式張ったものまでさまざまな方法が用いられている。また、デジタル広告収入の大半をオープンマーケットプレイスのインベントリに依存しているパブリッシャーのなかには、消費者にとって理解困難な法律用語と何百というアドテクベンダーを記載した頭でっかちな同意確認メッセージを表示している企業が多く、批判を浴びている。ユーザーが情報と、データが誰によってどのように使用されるかを理解したうえで同意しているのか疑問がつきまとうためだ。これを改善するため、TCF 2.0は法律用語版とユーザーフレンドリー版という2つのメッセージテンプレートを標準化して織り込んでいる。ユーザーはこの2種類のテンプレートのどちらにもアクセスできるが、法律用語版の実装は義務、ユーザーフレンドリー版の実装は任意となっている。どのテンプレートを使うかはパブリッシャーごとに異なる。だが全体として、バラバラなメッセージが表示されている現状を整理する方向性であることは確かだ。

ここ12カ月の協議の大半は、データ処理の目的における、適切な粒度について合意を得ることに費やされた。TCF 2.0には、12の目的(現行のTCFは5)と2つの特殊機能が含まれている。この目的は、オンラインの広告配信に関連するものとなっている。たとえばプロファイリングやコンテンツ、広告測定などだ。特殊機能は位置情報データと指紋情報についての追加管理機能となっている。この機能も、追加の同意が必要になる。たとえば広告ターゲティングなど、位置情報データを使用しないデータ処理もある。だが使用する場合は、ユーザーに対して明示する必要がある。

欧州IABのCEO、タウンセンド・フィーハン氏によると、TCF 2.0の中核的な新要素に38種類のバリエーションのオプションがあり、これはパブリッシャーによって5から10にまで絞り込まれるだろうとのことだ。パブリッシャーはこのオプションから、希望する目的とベンダーを選択できる。たとえば広告測定やターゲティングといった各目的のデータ処理について、どのベンダーに実施を許可し、どのベンダーを拒否するか選択できる。拒否されたベンダーを、ほかのオプションで許可することは可能だ。パブリッシャーが好きに選択できるようになっているが、これについて消費者への同意メッセージで明示しなければならない。

「同意する内容について把握しやすくするため、情報を階層化する手法だ」と、フィーハン氏は語る。

データ漏洩に関する議論

TCFの初期バージョンはメディア業界全体から厳しい批判にさらされた。アドテク企業による悪しき慣習や個人情報の誤用が、GDPRの名のもとで保護されるような内容になっているという批判だ。個人情報分野の活動家は、リアルタイム入札(オープンエクスチェンジによるプログラマティック広告売買メカニズム)がGDPRに反していると長年主張してきた。6月20日に、英国の個人情報保護機関であるICO(Information Commissioner’s Office:情報コミッショナー局)は、情報漏えいが多発するデジタル広告取引分野において、携わるアドテクベンダーに関する懸念を完全に払拭しておらず、GDPRの完全な遵守につながらないとしている。

TCFによってブランドやパブリッシャーが法的な危機にさらされるという意見は根強く、TCF 2.0は、リアルタイム入札におけるデータ漏洩という根本的な問題に対処しているわけではない。「リアルタイム入札は大規模なデータ漏洩を引き起こす」と語るのがブラウザのブレイブ(Brave)の最高ポリシーおよび業界関係責任者を務めるジョニー・ライアン氏だ。「GDPRの観点からすれば完全にアウトだろう。当該データが誰の手に渡るか、何に使用されるかもあらかじめ決まっていないため、同意を確保することもできない」。そして個人情報が保護されなければ、そもそも同意も何もないと同氏は指摘している。

だが、欧州IABとIABテックラボは、TCF 2.0によってリアルタイム入札でGDPRを遵守させられる自信があるようだ。IABテックラボのエグゼクティブバイスプレジデント兼ゼネラルマネージャーのデニス・ブックヘイム氏は「リアルタイム入札の取引で、GDPRを遵守させることが目的だ」と語る。

センシティブなデータ

とはいえ、GDPRで「特殊区分データ」と呼ばれる、性的指向や民族的な出自、政治的見解といったセンシティブなデータに関してGDPRの基準に準拠できる見込みはなさそうだ。ICOは最近、明示的な同意なしにこうしたセンシティブなデータをリアルタイム入札で使用してはならないと表明している。広告業界の幹部らは、広告のリターゲティングにおけるセンシティブなデータの使用について説明したところで、明示的な同意を得られる可能性は低いだろうと口をそろえる。ならば、こうしたデータはそもそも使用しないほうが良いだろう。

TCFは特殊区分データの処理や、そのための明示的な同意についても対応していない。それでも使用する企業も出てくるかもしれないが、その場合は自己責任となる。ある大手エージェンシー役員は匿名を条件に、「GDPRのもとで、リアルタイム入札について明示的な同意を得るのは非常に難しい」と明かす。「GDPRは直接的なデータだけではなく、たとえばバイセクシャルであると推測できるようなデータも対象になる。(TCFのもとで)ここまで対応するのはあまりにも困難だ」。

Jessica Davies(原文 / 訳:SI Japan)