リテーラーから中小パブリッシャーに至るまで、さまざまな企業が現在、プライバシー法に詳しい弁護士ドミニク・シェルトン・ライプツィグ氏に問い合わせている。皆の関心はほかでもない、カリフォルニア州司法長官のツイートが最近投稿した、トラッキング拒否（Do Not Track）に取って代わる新たなグローバルプライバシーオプトアウトツール、「グローバルプライバシーコントロール（Global Privacy Control、以下GPC）」に関するツイートだ。

これがカリフォルニア州消費者プライバシー法（CCPA）および新たな規制の遵守にどう影響するのか、メディアおよび広告業界の一部企業は大慌てで理解に努めている。

We’re heartened to see how CCPA has spurred #DataPrivacy innovation like @globalprivctrl (GPC).

Advertisement

Instead of opting out of each individual website, users can enable a ‘stop selling my data switch’ on the @DuckDuckGo, @Brave, or @Mozilla browsers w/ the GPC. https://t.co/hcYc2xGY5k

— Attorney General Becerra (@AGBecerra) January 28, 2021

ー 皆さんはおそらく、お気に入りのサイトのホームページで「Do Not Sell My Personal Information（私の個人情報を販売しないで）」ボタンを目にしたはず。
オプトアウト（拒否）するにはそれをクリック。 #DataPrivacyDay

　

ー CCPAが@globalprivctrl (GPC)といった#DataPrivacyの技術革新を促したのは嬉しい限り。
ユーザーはサイトごとにオプトアウトする代わりに、GPCを採用するDuckDuckGo（ダックダックゴー）やBrave（ブレイブ）、Mozilla（モジラ）といったブラウザで「私のデータ販売を停止」ボタンを有効化できる。

「私もあれには驚いた」と、パーキンス・コーイ（Perkins Coie）法律事務所でアドテクプライバシー＆データマネジメントプラクティスのパートナー＆共同チェアを務めるライプツィグ氏は、カリフォルニア州司法長官ハビエル・ベセラ氏の2021年1月28日のツイートについて米DIGIDAYに語った。ベセラ氏はバイデン米大統領から保健福祉長官に指名されている。カリフォルニア州におけるプライバシー法の監督役の後任は、まだ名前が挙がっていない。

不透明なGPCの行方

少数のプライバシー保護専門家が開発し、2020年10月に発表されたGPCはオプトアウトツールであり、仕組み自体はトラッキング拒否と大差がない。後者は2013年頃に大いに注目を浴びたが、尻すぼみに終わっていた。一方、GPCの目的は、企業による個人情報の販売をユーザーがより容易に阻止できるようにすることにある。これがあれば、ユーザーが個々の企業やウェブサイトにいちいち通知する必要がなくなり、ウェブサイトおよびアドテク中間業者に対し、データ販売のオプトアウト通知をブラウザに自動で送信させることができる。

CCPAはEUの一般データ保護規則（General Data Protection Regulation、以下GDPR）と同じく、データの販売および共有をオプトアウトする権利をユーザーに与えている。また、その内容についてはGDPRよりも具体的に明言しており、「ブラウザプラグインまたはプライバシー設定など、ユーザーによる有効化が可能なグローバルプライバシーコントロール」を介したオプトアウトを認めるよう、企業に要求している。

GPCが2020年1月1日から施行されたCCPAに準拠したオプトアウト要求だと暗に示すベセラ氏のツイートは、コンプライアンス上求められる技術標準に関する司法当局の見方を示すものだ。同時に、業界の不安を明らかなものにしたと、カリフォルニアにオフィスを構えるライプツィグ氏は言う。「あれで時計の針が一気に進んだ。わが州の司法長官がGPCは現行のCCPAに則するとツイートをした事実を、米DIGIDAYの読者はきわめて真剣に受け止めたほうがいい」。

「サードパーティCookieが存在するウェブサイトを持つ企業は、GPCを採用するいずれかのブラウザ経由でユーザーがそのサイトに到達できる場合、大いに影響を受けることになる」と、ライプツィグ氏は警告する。さらに、カリフォルニアで事業を営む企業で、ブラウザのオプトアウト要求に配慮しないところは、消費者からの苦情やコンプライアンス違反として司法当局から訴えられることになるとも、同氏は付け加える。実際、CCPA関連の訴訟はいくつかすでに起きている。

ただし、ユーザーがGPCをどの程度受け入れるのかは不透明だ。ブラウザ拡張機能であるダックダックゴー・プライバシーエッセンシャルズ（DuckDuckGo Privacy Essentials）をGoogle ChromeやMozilla Firefox 、Microsoft Edgeなどに追加している人々は、GPCをデフォルトで設定することになる。同じことはダックダックゴー・プライバシーブラウザ（DuckDuckGo Privacy Browser）を利用するAppleおよびAndroid端末ユーザーにも言える。

ダウンロード数は4000万以上だが……

開発グループによれば、すでに4000万人以上のユーザーがGPCツールをダウンロードしている。だが、パブリッシャーとアドテク企業がそのオプトアウト信号を認識しなければ、いくらダウンロードされていようが何の意味もない。

たとえば、ファイナンシャル・タイムズ（The Financial Times）、ニューヨーク・タイムズ（The New York Times）、ワシントン・ポスト（The Washington Post）といった新聞社、広告マネジメント企業のカフェメディア（CafeMedia）、マーサー・スチュアート（Martha Stewart）やオールレシピズ（AllRecipes）といったブランドのパブリッシャー、メレディス・デジタル（Meredith Digital）は、GPCオプトアウトを承認すると発表している。だが、全体として見れば、その数はまだまだ少ない。

「ほかにも多くのパブリッシャーやブラウザベンダーが関心を示しているが、私は現在、それらの社名を挙げられる立場にない」と、GPCプログラムの立ち上げに寄与したプライバシー研究者アシュカン・ソルタニ氏は米DIGIDAYに語った。

メレディス広報のジル・デイヴィソン氏は、「GPCは消費者が自身の選択肢を我々に伝えるためのフレームワークになると確信している。こちらで決定したものを与えるのではなく、選択を消費者に委ねるものだからだ」と語る。

「今四半期中の（GPC）導入に向けて尽力している」と、約3000のデジタルパブリッシャーの広告事業および販売を管理する企業、カフェメディアのチーフストラテジーオフィサー、ポール・バニスター氏は言う。同社は関係するウェブサイトがGPC信号を認識したケースを記録はしているが、オプトアウトしたユーザーについてデータ販売を阻止するには至っていない。そうするには、さらなる技術導入が不可欠であり、2021年2月末までの完了を目指していると、同氏は語った。

「収益に影響が及ぶとは考えていない」

GPCによって目に見える影響が出るか否かは、パブリッシャーおよびアドテク企業の対応と、広告ブロッカーやほかのプライバシーコントロールを未使用の人々が今後これを導入する数によると、バニスター氏は言う。ただし同氏は、GPCが広く導入されたとしてもカフェメディアのパブリッシャーパートナー勢の収益にマイナスの影響が出るとは考えていない。その理由のひとつとして、GPCがいまだメインストリームには到達していない点を挙げる。「いま現在、GPCを有効化しているユーザーはすでに、（GPCをデスクトップおよびAndroidのブラウザで有効化する）Braveのようなブラウザや広告ブロッカーを使用している。したがって、広告収入の面で今後も影響が出るとは思わない」。

とはいえ、コンテクスチュアルターゲティングなど、ブロックの対象となるサードパーティデータの共有に頼らない他の方法も採っていくと、バニスター氏は付け加える。いずれにせよ、「肝心なのは、しっかりと向き合い、その仕組みを理解し、乗り遅れないことだ」。

GPCは、消費財やサービスの品質検査や消費者の擁護もおこなう月刊誌、コンシューマー・レポート（Consumer Reports）の支援も受けている。同誌のテックポリシー部門を率いるジャスティン・ブルックマン氏は、カリフォルニア州司法省がGPCオプトアウトの導入を実際に命ずるかどうかはまだ定かでないし、するにしても少なくとも近々実施されることはないのではないか、と語る。

「司法当局が導入を命ずるかどうか、現時点では何とも言えない。いま現在、GPCを使用し、称賛している人はほとんどいないからだ」。

ブルックマン氏は、トラッキング拒否が行き詰まった様子を間近で見ている。センター・フォー・デモクラシー＆テクノロジー（Center for Democracy and Technology）のコンシューマープライバシー部門ディレクターとして、同氏はかつてトラッキング拒否に関する話し合いに携わった。ブラウザベンダー、プライバシー専門家、技術者、広告業界の利害関係者らが一堂に会し、ウェブの標準化団体のワールド・ワイド・ウェブ・コンソーシアム（W3C）が音頭を取ったこの協議は、2013年には失敗に終わっていた。業界団体であるデジタル広告協会（Digital Advertising Alliance：DAA） や、プライバシー擁護派の中心的存在で技術者のジョナサン・メイヤー氏といった主要メンバーが、大きな進展が見られないことを理由に降りたからだ。

弁護士のライプツィグ氏もトラッキング拒否の失敗をよく覚えており、とりわけ紛糾したW3Cのトラッキング拒否会議を実際に傍聴していたという。ただ、トラッキング拒否の概念がGPCという形で復活したことはきわめて重要視していると、同氏は言う。「紛争回避、規制回避を第一とする企業は皆、ウェブサイトへのGPC導入とオプトアウトの実行法について、できるだけ早く取り組みを開始したほうがいい」。

［原文：Why a tweet from California’s AG about a global privacy tool has companies scrambling］

（翻訳：SI Japan、編集：分島 翔平）