![DIGIDAY[日本版]](https://digiday.jp/wp-content/themes/digiday-master/assets/images/common/logo-digiday.svg){kind=logo}
カリフォルニア州消費者プライバシー法(California Consumer Privacy Act:以下、CCPA)が施行されて1年以上が過ぎた。パブリッシャーや、プログラマティック広告の販売業者のあいだでは、CCPA […]
カリフォルニア州消費者プライバシー法(California Consumer Privacy Act:以下、CCPA)が施行されて1年以上が過ぎた。パブリッシャーや、プログラマティック広告の販売業者のあいだでは、CCPAへの対応をめぐり、いまなお対応が分かれている。
ニューヨーク・タイムズ(The New York Times)をはじめとする一派は、CCPAを厳格に解釈し、その遵守に保守的なアプローチをとっている。広告マネジメント企業のカフェメディア(CafeMedia)をはじめとする他派は、「販売」に関するCCPAの曖昧すぎる定義を大まかに解釈しているが、いずれこのアプローチが規制当局との衝突を招くことになるかもしれない。
カリフォルニア州の住民が、CCPAに従ってパブリッシャーが自身の個人情報を販売するのをやめるようにリクエストしても、いまなおパブリッシャーの多くは、その情報を使用してターゲット広告を販売している。他社がその情報をどのように使用するかに関して、自社が管轄権をほとんど持たないプログラマティック広告市場に、そのデータを渡しているのだ。彼らパブリッシャーは、IAB(インタラクティブ広告協議会)が定めるCCPAのコンプライアンスフレームワークを用いているが、共有するデータの保管に問題が生じると、彼らは遵守不履行のリスクにさらされ、訴訟や法的執行の対象になりやすくなると、プライバシーを専門とする弁護士たちは口を揃える。
Advertisement
ローブ&ローブ法律事務所(Loeb & Loeb)のパートナーで、プライバシー、セキュリティ、データイノベーション関連訴訟を担当するグループの共同主任を務めるジェシカ・リー氏、IABのCCPAフレームワークについて、 「違法とは言わない。準拠していないとは言わない」と話す。実のところ、プログラマティック広告市場への継続参加を望んでいる企業には、「IABのフレームワークが、いまあるなかでベストな選択肢」だと、同氏は語る。
しかしそれでも、同氏によれば、IABのアプローチが「ある種のリスクを生むことは間違いない」という。データを共有する企業が、契約上の合意に違反してそのデータを使用するかもしれないからだ。リー氏をはじめとするアドテク/プライバシー専門の弁護士たちは、広告の複雑なサプライチェーン上にいる誰もがクリーンであると仮定することのリスクを指摘する。ケリー・ドライ&ウォーレン法律事務所(Kelley Drye & Warren)のパートナーで、プライバシー及びセキュリティ関連訴訟担当主任を務めるアリサ・フットニク氏は、「サプライチェーン内には、思い切ったアプローチをとっている関係者もいるはずだ」と話す。
ニューヨーク・タイムズの保守的なアプローチ
ニューヨーク・タイムズなど、リスクを嫌うパブリッシャーにとって、CCPAの大まかな解釈は選択肢のなかにない。「ニューヨーク・タイムズは、よりプライバシーフレンドリーなエコシステムへの道を示し、切り開こうとしてきた。既成概念の枠を超えようとしてきたのだ」と、同紙のデータガバナンス部門でバイスプレジデントを務めるロビン・バージョン氏は語る。
ニューヨーク・タイムズの場合、カリフォルニア州の住民が自身のデータの販売をオプトアウトしている、または(カリフォルニア州司法長官が、オプトアウトのリクエストに該当すると示唆している)「グローバルプライバシーコントロール」ツールをオンにしていると、その住民のページ訪問によって生じる広告スペースが、リアルタイムのプログラマティック広告市場で販売されることはない。その代わりに、同紙はこうしたサイト訪問者をターゲットにした広告を出すためにコンテクスチュアルシグナルと自社のファーストパーティデータに依存している。
「ニューヨーク・タイムズでは、ユーザーが『Do Not Sell(売らない)』の状態のときには、オープンプログラマティックはシャットダウンされるのが基本だ」と、バージョン氏は語る。しかし、カリフォルニア州の住民が、ニューヨーク・タイムズに個人情報を販売しないようにリクエストしても、同紙のオプトアウトツールには「あなたの個人情報は引き続き当社のサービスプロバイダーと共有され、同プロバイダーが当社に代わってデータ処理を行います」と表示される。これによって、ニューヨーク・タイムズがリスクにさらされる可能性がある。
バージョン氏によれば、これらのサービスプロバイダーはアナリティクスや広告配信に関係する業務を行っているという。同氏は自身による2020年7月のブログ投稿を米DIGIDAYに教えてくれた。その投稿には、ニューヨーク・タイムズは読者に関するデータを、新規のサブスクライバーを獲得するために、トラッキング企業や「データ管理業者」と共有すると書かれている。同投稿には、2019年4月現在、これらのデータ管理業者をサブスクリプションオファーのページなど「サイト内のマーケティングに関係する部分」に限定したと、述べられている。「これにより、ニューヨーク・タイムズがサードパーティのデータ管理業者と共有するデータ量は90%以上減少した」という。
フットニク氏によれば、ニューヨーク・タイムズのアプローチは多数のなかのひとつにすぎず、データ使用に関しては比較的保守的なものだという。「いまのところ、共通のアプローチはなく、至るところに散らばっている」と、同氏は語る。
カフェメディアの大まかな解釈
ニューヨーク・タイムズの別の側にいるのが、カフェメディアだ。同社もIABが定めるCCPAのコンプライアンスフレームワークを使用している。カフェメディアは、デジタルパブリッシャー3000社に代わり、広告運営とその販売を管理している。同社のエコシステムイノベーション部門でバイスプレジデントを務めるドン・マーティ氏は、これらのパブリッシャー全社のサイトには「Do Not Sell」ボタンが実装されていると話す。
ユーザーがこのボタンを使って自身のデータの販売をオプトアウトしても、カフェメディアは継続してオープンプログラマティックシステムを使って広告インベントリー(在庫)を埋め、あたかもユーザーが「Do Not Sell」をオンにしていないかのように、これらの広告市場で運用しているサードパーティ企業に同じデータを渡すという。マーティ氏によると、カフェメディアはデータの下流で実際に起きていることを監視しておらず、特定のデータがどのように使われるかについてはサードパーティパートナーに任せているという。「結局、ここで話はベンダーがCCPA下で『販売』をどのように定義しているのかへと戻る」と、同氏は語る。
CCPAの定義が曖昧であることを考えれば、「『販売』は大きな論争を呼ぶ言葉だ」と、リー氏は語る。カフェメディアをはじめとする、IABのフレームワークを採用する企業は、「Do Not Sell」の定義をサードパーティ企業の解釈に任せている。そのため、そのデータを得る企業は、そのデータで何ができるのか、何ができないのかを、さまざまに解釈している可能性があるという。
この記事の取材に応じてくれた弁護士たちは、CCPAがプログラマティック広告の技術的側面にどのように適用されるのかという問題に対して、はっきりしない態度をとっているカリフォルニア州司法長官、ハビエル・ベセラ氏に失望している。その曖昧さがCCPAの解釈をめぐる混乱の原因になっていると、彼らはいう。
プログラマティック広告市場でIABのフレームワークに頼っている企業は、もちろんカフェメディアだけではない。「当社のパブリッシャーパートナーの大多数が、IABのフレームワークを採用している」と、ティーズ(Teads)の事業開発部門でグローバルシニアバイスプレジデントを務めるエリック・シー氏は語る。同社は、ESPNやワシントン・ポスト(The Washington Post)、BuzzFeedをはじめとするパブリッシャーの広告管理をサポートしている。同氏の口からは、具体的にどのクライアントがIABのアプローチを用いているのかについては語られなかった。ティーズは、DSP(デマンドサイドプラットフォーム)も広告バイヤーも、該当する場合は、サードパーティCookieを介したサイト間のトラッキングを防ぐことで、CCPAの規制に従うことを契約で要求していると、シー氏は話す。
カフェメディアのマーティ氏が、こんな例を教えてくれた。同社がデータを共有するある外部企業は、ほかのソースから一部のデータが混入するのを防ぐファイヤーウォールを内部に配備している。そしてそれにより、どのように広告をターゲティングするかの決定に用いられる情報を限定しているという。
強制措置の兆し
IABのフレームワークを用いている企業は、CCPAを遵守しているように見える。だがその一方で、同法の「販売」の定義とターゲット広告への適用が明確になれば、この状況も変わるかもしれない。もしそうなれば、他社とデータを共有し、その他社がそのデータの使用を続けていた場合、CCPAを遵守しているように見える企業も窮地に追い込まれるだろう。「司法長官による強制措置の対象になる可能性は否定できない」と、リー氏は語る。違反の疑いがかかれば、CCPA、あるいはカリフォルニア州のその他のプライバシー法の下、訴訟に発展するおそれもあるという。
定義の明確化と、当局が強制措置に踏み切る確率の上昇──これらふたつの兆しはすでに見えている。2022年からデータ使用に適用されることになっている改訂版CCPA、カリフォルニア州プライバシー権執行法(California Privacy Rights and Enforcement Act:以下、CPRA)の下では、消費者に自身のデータの「共有」をオプトアウトする権利を明示的に与えることにより、「販売」の意味をめぐる混乱が取り除かれる。これにより企業各社には、データを共有する他社が契約条件を満たしているかどうかを年次監査を介してモニタリングする重荷がかせられる。
また、CPRA施行の際には、執行能力を強化するための州機関も誕生する。この州機関は、企業各社に監査を実行させるべく、目を光らせることになっていると、リー氏は話す。契約上の合意を頼みの綱として、サードパーティパートナーのコンプライアンスを確保するだけでは、「これからは不十分だろう」と、同氏は語った。
KATE KAYE(翻訳:ガリレオ、編集:長田真)
