ニューヨーク・タイムズ（The New York Times）、ワシントン・ポスト（Washington Post）、フィナンシャル・タイムズ（Financial Times）各紙は10月第2週、消費者の個人情報保護をめぐる新たな基準案への支持を明らかにした。この新基準はWebサイトが利用者の個人データを制限なしに第三者へ提供することを防ぐための、より簡便な方法を提供するものだ。

その方法とは、「グローバル・プライバシー・コントロール（Global Privacy Control：GPC）」と呼ばれ、消費者が個人データ保護に関する意思表示を可能にする。具体的には、ブラウザの設定または拡張機能を通じ閲覧する全サイトに対し、サイト利用者が自らの個人データを第三者に提供・販売しないよう通知することができるというものだ。

米国でカリフォルニア州消費者プライバシー法（California Consumer Privacy Act：CCPA）が2020年1月に施行されて以来、対象事業者のWebサイトには「個人情報を販売しない」と題した項目を「明確で目立つ」形で表示することが義務づけられるようになった。これによりカリフォルニア州の住民は、自身の個人データ販売をやめるようWebサイト運営事業者に要請できる。

Advertisement

ただ問題は、閲覧しているサイトごとにこの手続きが必要で、消費者団体コンシューマー・ユニオン（Consumers Union）の月刊誌コンシューマー・リポート（Consumer Reports）が10月に発表した調査によれば、「サイト利用者にとっては煩雑で時間がかかる作業になる」という点だ。また、CCPAにおける 「販売」の定義にはまだ曖昧さが残っている。ただし、CCPAの強化版といえるカリフォルニアプライバシー権利法（California Privacy Rights Act：CPRA）が11月20日の住民投票により承認されれば、上記のような問題も解決するかもしれない。

CCPAの規制をさらに強化

新基準のGPCは企業と研究者の協力のもと推進され、かつて提案された「トラッキング拒否（Do Not Track）」の取り組みで不十分だった点を改善したいとしている。

トラッキング拒否が最初に提唱されたのは2009年にさかのぼる。当時はこうした取り組みに法的拘束力がなかったため業界側の導入が進まず、けっきょく立ち消えとなってしまった。GPCがこれまでと違うのは、現行のCCPA中の規制を厳格化したところにある。GPCでは、サイト利用者が「ブラウザのプラグイン機能におけるプライバシー設定のような、ユーザー側対応による包括的な個人情報保護の仕組み」を利用し、利用者が自身の個人データ販売を「オプトアウト」したいと意思表示した場合、企業はその要請にも応えなくてはならない。

今後はGPC通知による意思表示が広がりを見せ、EU一般データ保護規則（General Data Protection Regulation：GDPR）並みの法的拘束力をもつ枠組みに発展することが期待される。ただし現時点でGPCは実証段階にあるため、サイト利用者からの要請に応える法的義務はない。

利害の一致を見たパブリッシャーと保護派

大手パブリッシャー以外にGPCに賛同している企業としては、WordPress（ワードプレス）の運営元であるオートマティック（Automattic）、検索エンジンのダックダックゴー（DuckDuckGo）、トラッキング防止ツールのディスコネクト（Disconnect）、プライバシー重視型ブラウザのブレイブ（Brave）、FireFoxの運営会社モジラ（Mozilla）があげられる。また、米連邦取引委員会 (FTC) の前CTO（Chief Technology Officer）アシュカン・ソラタニ氏と、ウェズリアン大学コンピューター・サイエンス学部教授のセバスチャン・ジメック氏も同様に支持を表明している。

「以前から、パブリッシャーとプライバシー保護推進派の利害には一致する部分があるとみなされてきた」と、プライバシー保護を訴えるブロガーでGitHubプロジェクト開発メンバーでもあるドン・マーティ氏は指摘する。「プライバシー保護推進派としては、自分の個人情報が知らないうちに企業に提供されるのは避けたいだろうし、パブリッシャーとしても収集したオーディエンスのデータに関する主導権を失いたくないだろう」。

パブリッシャーとプライバシー保護推進派とのあいだに経済面での利害の一致があることは明らかだが、「つい最近まで、パブリッシャー社内の技術者とプライバシー保護基準の推進者とのあいだの組織的なつながりはなかった」とマーティ氏はつけ加えた。「しかしパブリッシャーの関与により、GPC基準の実地運用テストを早い段階でおこなえるようになりそうだ」。

読者の信頼とビジネス上の利点の両立

GPCは、インタラクティブ広告協議会（Interactive Advertising Bureau：IAB）によるCCPA遵守の枠組み（IAB-CCPA compliance framework）との相互運用を視野に入れて作成された。つまりGPC通知を追加するプロセスの導入は、パブリッシャーにとって（少なくとも理論的には）かなり容易であるはずだ。

ニューヨーク・タイムズは、CCPAとGDPR両方の遵守に向けて、同社サイトにGPC通知を取り入れる予定だ。「わが社は、プライバシーと信頼の強力なつながりに価値を見いだしている」と語るのはニューヨーク・タイムズのデータ・ガバナンス部門のバイスプレジデントをつとめるロビン・ベルジョン氏だ。「ニュースパブリッシャーの事業は読者の信頼なくしては成り立たない。よって我々は、企業活動と運営のありとあらゆる面において、読者の信頼にふさわしい存在でなくてはならない」。

加えてビジネス上の利点もある。ベルジョン氏によれば、「パブリッシャーが保有するデータの第三者への流出が少なければ少ないほど、オーディエンスの個人データならではの価値が高まる」という。アドテク企業のウェブサイト利用者が個人データの販売を許可しない選択をしたからといって、その企業が利用者向けパーソナライズド広告を掲載できなくなるわけではない。重要なのは、取得した個人データを第三者企業が所定の目的以外に使用しないよう徹底することだ。

「ブラウザや法規制における（プライバシー関連の）変更はその多くが、業界が消費者の期待に十分応えてこなかった結果として起きたものだ」とジェイソン・キント氏はいう。GPC基準案に賛同しているパブリッシャー業界団体デジタル・コンテンツ・ネクスト（Digital Content Next）のCEOであるキント氏は、「サードパーティ企業やアドテク企業、テクノロジー・プラットフォームは、個人にかかわるデータを本人の想定外の使い方をして多大な利益を得てきた。彼らにまかせきりにしていたら、我々はふたたび、業界として問題の解決策を導き出すのに失敗したことになる」と続けた。

州や政府機関もGPCを支持

GPC基準案は、メディアおよびテクノロジー業界以外の有力者からも一定の支持を得ている。カリフォルニア州司法長官ザビエル・ベセラ氏は、GPC基準が同州内で法的拘束力を有するか否かについて最終判断を下す立場にあるが、氏は10月7日付のツイートで次のようコメントしている。「GPC基準案は、有意義な包括的プライバシー管理の実現に向けた第一歩だ。これにより消費者は、Web上でプライバシー権を行使するためのシンプルかつ容易な方法を手に入れることになる」。

そのほか、オレゴン州選出の民主党上院議員ロン・ワイデン氏もGPC基準に賛同の意を示している。ワイデン上院議員はこの件に関する米DIGIDAYの取材に対し、eメールで次のように発言した。「（GPC基準案は）タイミングとしては遅すぎたぐらいだ。企業が収集した個人データのトラッキングや販売を阻止する現実的で効果的な方法を消費者に示しているわけだが、昨年私が提出したプライバシー保護法案 （Mind Your Own Business Act）の目的はまさにそれで、実現可能性があることがGPCの取り組みで示された」。

ワイデン上院議員主導によるプライバシー保護法案は2019年10月、上院に提出された。立法化されれば、連邦政府規定により対象事業者が「トラッキング拒否」の要件を満たす義務が生じ、消費者には、ターゲティング広告用としての個人データの第三者提供を拒否する選択肢が与えられる。一方、米連邦取引委員会 (FTC) は、プライバシー保護措置違反をした企業に対し、年間売上高の最大4%相当の罰金を課する権限を有するようになる。しかし共和党上院議員は、民主党主導によるこの法案の今期中の議決を阻止する姿勢を明らかにしている。

一方、英領バミューダのプライバシー委員会長であるアレクサンダー・ホワイト氏は10月第3週、声明を出し、GPC基準案について「（既存の仕組みとの）相互運用の可能性を示した好例だ」と称えた。

普及するかは未知数

「GPC基準がどの程度のペースで普及していくかは予測が難しい」とニューヨーク・タイムズのベルジョン氏は述べている。ワールド・ワイド・ウェブ・コンソーシアム（Worldwide Web Consortium：W3C）管轄下のプライバシー・コミュニティグループが10月8日開催した電話会議で、GPC基準案について短い議論が交わされたという。W3CはWebテクノロジーの標準化をおこなう非営利団体で、この会議にはGoogle、Apple、マイクロソフト（Microsoft）、Facebookといった企業の代表者が出席していた。

GPCの普及にはいくつかの条件がある。まず、カリフォルニア州司法長官やヨーロッパのデータ保護当局者などがGPC基準を承認すること。また、主要ブラウザ各社が迅速にGPC対応の修正版をリリースすること。そうなれば、最速で数週間ほどで広まる可能性もある。

一方、「GPC推進派は反対勢力についても覚悟しているだろう」とベルジョン氏はいう。「特にアドテク企業からの反発が激しくなると、普及が6カ月から1年ほど遅れるか、完全につぶされてしまう恐れさえある」。

［原文：‘A common set of interests between publishers and privacy nerds’ Why publishers are backing the sequel to ‘Do Not Track’］

（翻訳：SI Japan、編集：分島 翔平）