GDPR 準拠へ奔走する、パブリッシャーとアドテク企業

パブリッシャー各社にとって、間もなく発効されるEUの一般データ保護規則(以下、GDPR)とそれに伴うeプライバシー保護法は一連の信頼低下につながるものであり、不安要素となる。

GDPR発効を1カ月後に控えた4月25日、欧州インタラクティブ広告協会(IABヨーロッパ)およびIABテックラボは、パブリッシャー向けにあるフレームワークを公式発表した。その内容は、パブリッシャーに対し、アドテクベンダーが個人データを収集、また使用しても良いか、と問うものだった。このフレームワークは、GDPRの透明性規則を遵守し、eプライバシーの同意審決に向けて準備をしつつ、オンラインのターゲティング広告を現状維持することを目的としている。

しかし、パブリッシャーは当初出されたフレームワークに応じない姿勢を示した。ベンダーによるデータ使用に関して、不透明さが残るというのだ。広告測定会社クアンキャスト(Quantcast)でプロダクトリーダーを務め、GDPR実施検討部会のメンバーでもあるソマー・シンプソン氏によると、同社をはじめとする実施検討部会のパブリッシャーは、「責任のすべてが自分たちにあることを懸念し、抜け道がすべて封鎖されていることを確認したいと考えている企業がほとんどだ」という。

アップデート版の中身

そのため、フレームワークを公式にリリースした1週間後、IABヨーロッパおよびIABテックラボはアップデート版を再リリースし、ベンダーがパブリッシャーのオーディエンスデータをどのように利用するかを明確化し、どのベンダーにデータアクセス権を付与するか、パブリッシャーによる管理権を強化した。

アップデート版のフレームワークでは、パブリッシャーのサイトに訪れた人のデータを収集し、別のサイトやアプリに掲載する広告のターゲティングを行う、あるいはそこで表示するコンテンツをパーソナライズする場合、ベンダーはパブリッシャーやそのオーディエンスにまでその旨を公開しなければならない。具体的には、ベンダーはその用途を、5つのいわゆる「目的」の1つとして(もともとのフレームワークでは4つだった)リストアップする必要がある。この「目的」というのは、ベンダーがパブリッシャーにオーディエンスデータ供与を求める際に提示するものだ。

シンプソン氏は、「これは主に、パブリッシャー側からの要求によるものだ。なぜなら、もともとあった4つの目的ではあまりにもバンドリングがきつく、GDPRに反するアプローチのようだ、というものがいたのだ」と述べた。

フレームワークの課題

IABヨーロッパのフレームワークには、課題も残る。もっとも明らかなのが、アップデートされたフレームワークの公式版はGDPR発効までリリースされない、という点だ。メディアマス(MediaMath)でデータポリシーおよびガバナンス担当バイスプレジデントを務め、またIABヨーロッパの合意に関する検討部会の会長でもあるアリス・リンカーン氏は、「このフレームワークは、規制がヨーロッパやそれ以外の地域で進化するとともに、進化するように作られたものだ」という。同氏は、5月25日の発効日以降、パブリッシャーにさらなる管理権を付与するため、さらにアップデートが加わるだろう、と述べた。

しかし、実際にはパブリッシャーがどれだけ管理権を持つことかできるのか、はっきりしない。パブリッシャーは、データ使用を許可されているベンダーを規定し、ベンダーが申告したデータ使用計画に基づいてアクセスすること条件にすることができる。しかし、これは「要求」というよりも「依頼」という形に近いため、シンプソン氏の言葉によると「厳しい言葉での提言」となる。このフレームワークは、倫理規定に基づいて運用される。Do Not Track(RIP)機能と同じようなものだ。「これはすべてのベンダーに対し、意図を理解し、尊重するよう求めるものだが、パブリッシャーが実際にそれを止めることはできない」と、シンプソン氏はいう。

管理権があいまいなことから、ベンダーは同意なしに個人データを使用できる「正当な権利」があると主張することができるため、パブリッシャーにとって問題はさらに深刻だ。しかし、正当な権利、という抜け道を使って、個人データを広告関連の用途で使用できるかどうか、誰にもわからない。

対応が異なる可能性

ITPテックラボのGDPRテクニカルワーキンググループのメンバーであるジョン・ポター氏は、次のように述べている。「正当な権利に関する法的助言と、それが広告に適用されるかどうか、は相反している」。

規制当局は合法的な権利については棚上げ状態で、これまでの対応内容を見る限り、規制担当部署によって対応が異なる可能性がある。「正当な権利に関しては、EUの国々よって定義が異なっている。したがって、立法の主観的解釈だけでなく、その主観性というのは市場によってやや極端になる」と、インデックス・エクスチェンジ(Index Exchange)のCEOであるアンドリュー・カザーレ氏はいう。

米DIGIDAYの分析によると、IABヨーロッパのフレームワークに参加しているベンダー99社のうち52社(本記事公開時点)は、確実性がないにもかかわらず、予定されている個人データ使用に関して、1件以上の事案にについて正当な権利を主張している。また、21のベンダーは、データ収集および利用を許可したサイトおよびアプリ以外のものでも、ターゲット広告およびコンテンツのパーソナライズを目的にデータ使用することが、正当な権利だと主張している。

「別の会社が、合法的権利を有しているかどうか判断することは、それほど効果的ではない」と、リンカーン氏はいう。「その件に関して、私は私自身の考えを持つことができ、それに基づいてその企業と取引するかどうか助言する。しかし、本当に権利があるかどうか、ということに関する判断は、常に白黒つけられるわけではない」。

5月25日という期日

発効日までにGDPR遵守することは不確実だが、多くのパブリッシャーやアドテクベンダーによる最大の盲信は、「期日はそれほど厳格ではない」ということかもしれない。

「純粋に規制の観点から見れば、5月25日に体制を完璧に整えておく必要はない」と、アドテク企業のスマートアドサーバー(Smart AdServer)でチーフプロダクトオフィサーを務めるロメイン・ジョブ氏はいう。「規制当局はさまざまな場面で、企業がGDPRを遵守するまでに時間がかかることを認めると話している。彼らは、すべてのものが正しい方向に進んでいることを確認したいのだ」。

GDPRについてより詳細を知りたい方は、無料PDF「GDPR入門ガイド」をダウンロードしてください。

Lucinda Southern(原文 / 訳:Conyac)