【一問一答】 ICO とは?:アドテク業界が注視すべき理由

データ保護に対する関心が世界中で高まるなか、企業は世界各地で増え続けるデータ保護当局(data protection authorities:以下、DPA)や政府部門への理解を深める必要があります。そうしたDPAのひとつが英国のICOです。

英国外では暗号通貨関連の用語である新規仮想通貨公開(Initial Coin Offering)とよく混同されますが、ICOはInformation Commissioner’s Office(英国個人情報保護監督機関)という正式名称をもつ英国の重要なDPA。その重要性は、これまでもっぱら英国でしか理解されていませんでしたが、米国などさまざまな国がEUの「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)に似た法律を整備しているいま、ICOに対する認識を早々に改める必要があるといえます。

デジタルマーケティングに関する新語を解説する「一問一答」シリーズ。いまICOに注目すべき理由をこれから説明しましょう。

――ICOとは何ですか?

ICOは、米連邦取引委員会(FTC)の消費者保護局の英国版といえます。700人以上のスタッフを抱え、ドイツと並んで欧州で最大かつもっともリソースの豊富なDPAのひとつです。公的な機関として、ICOは企業が英国市場でGDPRに違反していないかどうか監視しています。また、GDPRに違反したと見なした企業に対し、最高2000万ユーロ(約24億5400万円)または企業の年間売上高の4%(のいずれか高いほう)の制裁金を科す権限をもっています。すでに多くのデジタル企業が、消費者データを悪用したとしてICOから制裁金を科されています。

――では、ICOは基本的にFTCと同じですか?

そうとはいえません。FTCは英国のICOと同じく、米国の事実上のプライバシー規制当局ですが、適用する法的枠組みは大きく異なっています。英国のほうが、GDPRに見られるように法律は厳格ですが、現時点ではFTCのほうが積極的に法律を執行しており、制裁金の額も多くなっています。2012年にFTCがGoogleに科した制裁金は、プライバシー関連の制裁金としては最高額でした。FTCは当時、Googleが「Safari」のプライバシー設定を迂回したとして2250万ドル(約24億3300万円)の支払いを命じたのです。

――ICOがアドテク企業にとって懸念すべき存在である理由は?

GDPRをどの程度厳格に適用するか、その基準を定めているのがICOです。GDPRが2018年5月に施行されてからちょうど1年が過ぎましたが、ICOはアドテク業界におけるGDPRの準拠状況に関する調査をひそかに行っていたようです。そして、彼らはその調査結果に満足していません。6月20日には、アドテク企業に現在の慣行をやめるよう警告する報告書を公開しました。報告書では、オープンエクスチェンジで行われるプログラマティック広告のリアルタイム入札で個人情報が使われているケースを指摘し、アドテク企業が特に運用すべきではない分野について説明しています。

――英国の規制当局機関であるICOの動向が、米国市場に影響する理由は?

欧州のDPAにおけるICOの規模とリソースを考えれば、米国のプライバシー活動家は今後、ICOの報告書を利用してロビー活動をさらに強化し、米国でデータプライバシーの詳しい調査を求めるようになるでしょう。「この報告書が米国での議論に利用されることになるのは100%確実だ」と、米国のアドテク企業ソースポイント(Sourcepoint)の共同創業者であるブライアン・ケイン氏は述べています。「(ICOの)分析は欧州だけが対象ではない。最初からグローバルに設計された(プログラマティック広告の)技術フレームワークが対象になっている。米国での議論も同じような状況になり、同じような結果が再現され、取り入れられるだろう」。

――でも、いまのところ、ICOがより大きな懸念となるのは、欧州のテクノロジー企業では?

その考えは間違いです。GDPRは、かつては欧州だけの問題だったかもしれませんが、その影響は欧州をはるかに超えて広がっています。米国では、カリフォルニア州がGDPRに似たカリフォルニア州消費者プライバシー法(The California Consumer Privacy Act:以下、CCPA)を制定し、2020年に施行します。ニューヨーク州とワシントン州も独自の法案を検討しており、ネバダ州は独自の法律を制定したばかりです。米連邦議会では、州ごとに法律を定めるのではなく、連邦法を定めるべきではないかという議論がすでに起こっています。2018年には、Drawbridge(ドローブリッジ)やバーブ(Verve)など複数のアドテクベンダーが、GDPRを主な理由として欧州から撤退しました。CCPAの影響は受けることになるが、準拠する以外に方法はないとアドテク業界の複数の情報筋は述べています。ICOには、欧州でサービスを提供している米企業を告訴する権限もあります。その米企業がどこに広告サーバーを置いていてもです。もっとも、まだその権限が行使されたことはありませんが。

――ICOが英国企業だけでなく、グローバル企業に制裁金を科したことはありますか?

ICOはすでに、ケンブリッジ・アナリティカ(Cambridge Analytica)のスキャンダルで、Facebookに最大限の罰則を適用しました。たしかに、制裁金の額はわずか50万ポンド(約6870万円)と、Facebookにとっては海に水を1滴落とす程度の額で、ほとんど痛手のないものでした。そのためにICOは批判されましたが、ここで見落とされている重要な点は、もしこの調査がGDPRの施行後に行われていれば、ICOはGDPRの規定により、Facebookの年間売上高の最大4%にあたる制裁金の支払いを命じることができたということです。Facebookの場合、その金額は数十億ドルにのぼります。ICO自身も、GDPR施行後なら制裁金は(GDPRが定める)最大の制裁金額にはるかに近い額になっていたと明言しています。

2018年3月、英議会はケンブリッジ・アナリティカのオフィスを強制捜索して記録文書を調査する権限をICOに与えました。その数カ月後、ICOはケンブリッジ・アナリティカに対し、同社が米国市民のデビッド・キャロル氏に関して保有していたすべてのデータと情報を同氏に開示するよう命じました。ニューヨークのパーソンズ美術大学の准教授でもある同氏は、ケンブリッジ・アナリティカに情報開示を要求して拒否されていました。この法的判断により、米国に住むほかの大勢の有権者も、英国の情報保護法の下でケンブリッジ・アナリティカに情報の開示を請求できることになりました。キャロル氏は、米国の法律の下では情報を入手できなかったのです。

「ICOは欧州最大のDPAとはいえないが、非常に大規模な組織であり、彼らの判断は大きな影響力をもっている」と、米国の出版業界団体デジタル・コンテント・ネクスト(Digital Content Next)でCEOを務めるジェイソン・キント氏は述べています。「彼らは調査と弁護に関して膨大なリソースを所有している。また、Facebookを調査した経験を通じて、非常に多くの情報を得ることになった」。

――我々が注視すべき人物は?

米国のメディア業界や広告業界にいる人のほとんどが、デンマークの政治家マルグレーテ・ベステアー氏の名前をよく聞くようになるでしょう。欧州委員会で競争政策担当委員を務める同氏は、Googleの親会社アルファベット(Alphabet)に半トラストで巨額な制裁金の支払いを命じました。また、2017年にはAppleとAmazonに税金の未払いで多額の制裁金を科しています。しかし、ほかにも注目すべき人物はいます。ICOのチーフコミッショナーを務めるエリザベス・デンハム氏です。カナダでデータプライバシー担当委員を務めていた同氏は、GDPRの顔といえる存在であり、英国でケンブリッジ・アナリティカの調査を指揮していました。アイルランドのDPAでデンハム氏と同等の役職にあるヘレン・ディクソン氏にも注目しておくべきでしょう。

――アイルランドのDPAについても知る必要がある理由は?

アイルランドのDPAは、ICOと比べて規模が小さく、リソースも注目度も少ないですが、今後は変わる可能性があります。FacebookとGoogleの欧州本社がアイルランドにあり、GDPR関連でこの両社を担当する主要な機関がアイルランドのDPAになるからです。ICOでもなければ、フランスのCNILでもないのです(CNILはすでに、GDPR違反でGoogleに5000万ユーロ[約61億4000万円]の制裁金を科しています)。アイルランドのDPAは現在、FacebookやGoogleなどの企業を対象に、さまざまな調査を行っています。その裁定と、チーフコミッショナーであるヘレン・ディクソン氏の方針が、世界全体のアドテク市場にさまざまな影響を及ぼすでしょう。

Jessica Davies(原文 / 訳:ガリレオ)