データプライバシーの規制当局が様変わりしている。

まず第一に数が増えた。さらに、Googleが計画しているサードパーティCookieの廃止や、Appleが現在進めているトラッキング防止のための規制を含めると、政府機関ではなく、営利企業がその役目を担うようになった。

厳密にはこれらは同じものではない。パブリッシャーがユーザーから直接データを収集したり使用したりする方法について、プラットフォームがポリシーを策定したり変更したりすることはない。Googleが個人を追跡するための代替識別子を作成しないという決定は、Google自身の製品に関するものだ。しかし、GoogleとAppleは市場で圧倒的な地位を占めているため、彼らが変更を加えると、デジタル広告のサプライチェーンのほかの部分にも波及する。

Advertisement

技術的な枠組みだけでなく、法的なコンプライアンスが必要なEU一般データ保護規則（General Data Protection Regulation：以下、GDPR）やカリフォルニア州消費者プライバシー法（California Consumer Privacy Act：以下、CCPA）とは異なり、GoogleやAppleが行おうとしていることは、実施されたその日にすぐさまその影響を受けることになる。

同意する以外の選択肢はない。

インフォリンクス（Infolinks）の最高経営責任者（CEO）、ボブ・レギュラー氏はこう語る。「我々はクジラの背についたフジツボのようなものだ。我々をGoogleやAppleと比較した場合、彼らは我々の存在に気づいてさえいない。彼らは、喜んで我々に餌を与えてくれるかもしれないが、彼らが動き出して我々が落ちてしまったとしても、彼らは気にもかけない」。

レギュラー氏によると、米国には連邦政府が定めるプライバシー法がなく、GoogleやAppleが采配を振る余地が大きくなっている。「現在我々は、州権限レベルのプライバシー規制に向かっている。しかしそれでは守り切れない。州レベルで対処することはできないので、連邦レベルのものが必要だ。いまのところ、最初の（連邦政府の）試みはAppleとGoogleだ。彼らは、正しいと思われる解決策を率先して提案しているが、その善し悪しはわからない」。

従来の規制当局の方法も完全ではない

従来の規制当局の方法も完全ではない。規制の変更が発表されると、企業は新しい法的要件を解釈し、自分たちのビジネスモデルを適切に適応させる必要がある。2年間の猶予期間を経て2018年に発効した欧州連合のGDPRへの対応のときがそうだったように、それが結果的には混乱を招き、規則を無視したり回避したりしようとする試みが数多く見られることになる。

さらに、GDPRの目的は、ユーザーが自分の個人データをコントロールできるようにし、デジタル広告のエコシステムのなかに身を潜めるプレイヤーにデータが悪用されないようにすることだが、欧州では、すべてのウェブサイトでデータ収集の同意を求めるポップアップメッセージが表示されるなど、ひどく混乱した、煩わしいユーザー体験がもたらされている。プライバシー保護活動家は、規制当局がこの法律を大規模に適切に施行できていないと考えている。メディア投資分析会社イービクイティ（Ebiquity）でグループ最高製品責任者を務めるルーベン・シュルアーズ氏は、「規制に関する問題のひとつは、積極的かつ大規模な執行が信じられないほど欠如していることだ」と述べる。「基本的に今のところ、規制は吠えかかるだけで、噛みついてくることはない」。

だが、AppleとGoogleのプラットフォームが推進するプライバシーに関する変更は、実際に噛みついてくる。しかも、0か1かしかなく、解釈の余地はない。当然のことながら、このような噛みつき方は公平なのか、その根底にある理由は正直なものなのか、それとも二重の意図があるのか、という疑問が出てくる、とシュルアーズ氏は付け加える。

「強制的にプラグを抜かれることになる」

GDPRへの対応は、法的悪夢だった。特にパブリッシャー、エージェンシー、アドテクベンダーは先延ばしにして時間を浪費し、デジタル広告のサプライチェーンにおけるほかのパートナーに制裁金の責任を転嫁するために契約書の書き換えに数カ月を費やし、（高額な制裁金を科せられる）データ管理者が誰で、（制裁金の対象とならない）処理者は誰なのかを巡って議論を繰り広げた。しかし、いまにして思えば、少なくとも小細工の余地は存在していた。

GoogleやAppleのプラットフォームは一切の融通を受け付けない。また、必要な変更は法的なものではなく、すべて技術的なものだ。ティーズ（Teads）の最高データ責任者、レミ・カッケル氏は、次のように述べる。「規制当局の猶予期間ははるかに長く、企業は地元当局からGDPRを尊重する努力するように言われ、その結果、一定期間、当局は罰金を科さないことになっていた。しかし、Googleの場合は、（サードパーティの）Cookieが使えなくなると強制的にプラグを抜かれることになる。技術的には選択の余地はなく、一夜にしてそうなってしまうだろう」。

にもかかわらず、ある人々はこうした変更を待ち望み、プライバシー問題への取り組みを推進してきた技術プラットフォームにとっても、これは歓迎すべきことだ。パーミューティブ（Permutive）のグローバルマーケティングディレクター、アミット・コテチャ氏は、「GDPRとCCPAの精神は、ブラウザが行っていることの中核をなしている。広告業界は長年、データ倫理よりもこのハイパーターゲティングを優先してきた」と話す。

プラットフォームでさえも壁にぶつかる

しかし、グローバルな施行となると、プラットフォームでさえも壁にぶつかることがある。その例を挙げよう。Appleのトラッキング防止の取り組みは中国で試練に遭っている。中国では、国が支援する業界団体「中国広告協会（China Advertising Association）」が独自のID回避策を開始したと報じられているからだ。このID回避策では、ユーザーが同意していなくても、広告目的でアプリがユーザーを追跡することができる。中国はAppleにとって重要な市場であるため、同社の対応は、Appleが商業的なロードマップよりもプライバシーを優先することにどれだけ真剣に計画しているかの究極のストレステストとなるだろう。一方Googleも、GDPRの影響で、欧州で予定していたFLoC（Federated Learning of Cohorts：コホートの連合学習）の展開に支障をきたしている。

そうした国々が技術プラットフォームの優位性を制限することはできないかもしれないが、少なくとも彼らを減速させることはできる。

［原文：Platforms, not regulators, are driving data privacy enforcement］

JESSICA DAVIES（翻訳：藤原聡美／ガリレオ、編集：長田真）