ターゲティング 広告は、「個人情報の販売」に当たるのか? :米・パブリッシャーを悩ます CCPA の解釈

カリフォルニア消費者プライバシー法(California Consumer Privacy Act: CCPA)の遵守を目指すパブリッシャーの取り組みが多様化している。広告販売におけるターゲティングが、「カリフォルニア州住民の個人情報の販売」に当たるか定義が曖昧で、解釈が分かれているためだ。広告主のなかには、この部分がはっきりするまでターゲティング広告の利用を避ける企業も出てきた。

今年1月1日に発効したCCPAは、カリフォルニア州住民の個人情報を事業に利用することを一切禁じている。実際に執行規則が有効となるのは7月1日だが、その執行を担当する同州の司法長官事務所から明示的な指導がない限り、ターゲティング広告の販売とデータ共有が許容されるかは不明なままだ。

なかには既存の業務内容がCCPAの定める個人情報の販売にあたらず、受ける影響はほとんどないと考えるパブリッシャーも存在する。一方、個人情報の販売に当たるという厳しい見方もある。この立場をとるパブリッシャーは、自社ホームページに個人情報の販売を行わないよう要望するオプトアウトのリンクを設置しているところも多く、それによって広告価格が半額にまで落ち込むケースもみられた。一方、中間的な立ち位置のパブリッシャーも存在する。厳しい解釈を行いつつも、オプトアウトのリンクは目立たせていないのだ。

ターゲティング広告がCCPAで許容されるかが曖昧で、パブリッシャーの対応もさまざまななかで、CCPAに準拠しているか怪しいパブリッシャーに広告を出稿するのをとりやめる広告主も表れはじめた。エージェンシー役員らによれば、広告主のなかには自社で想定するCCPAのコンプライアンス基準を満たすパブリッシャーに資金を投入する企業も見られるという。「後悔するよりは安全策、ということだろう」と、あるエージェンシー役員は語る。

オプトアウト率が広告価格に影響

このようにCCPAの曖昧さが解消されるまで安全策をとる広告主があらわれたことで、同法に完全に準拠していると言い切れない状態のパブリッシャーは影響を受けている。だが逆に、同法に準拠するため極端に慎重になっているパブリッシャーへの影響もまた少なくない。たとえばサイト上でオプトアウトのリンクを明示しているパブリッシャーがこれにあたる。

中小企業2万5000社に広告を販売しているテック系企業のインフォリンクス(Infolinks)によると、カリフォルニア州住民による個人情報販売のオプトアウトが行われた場合、1月31日時点で広告の平均価格は44%減少しているという。

パブリッシャー向けに同意管理ツール(CMP)を提供しているソースポイント(Sourcepoint)によると、個人情報の販売に関する消費者のオプトアウト率は0%から30%にまで増加しているという。同社のCOOを務めるブライアン・ケイン氏によると、この率は、オプトアウトの通知リンクがどれくらい強調表示されているかによって変わるという。

オプトアウトに関するお知らせをホームページのトップに表示するパブリッシャーも存在する一方、一番下までスクロールしないと目に入らないフッターに表示する企業もある。フッターに表示しているあるパブリッシャーによると、サイトの訪問者のうち通知をクリックするのは1%未満で、さらに個人情報販売をオプトアウトするのはそのうち10%に過ぎないという。

オプトアウトのリンクからオプトアウトするパブリッシャー

ドットダッシュ(Dotdash)やジフ・デービス(Ziff Davis)など、ウェブサイトにオプトアウトのリンクを設置していないパブリッシャーも存在する。

ジフ・デービスの場合、プライバシーポリシーのなかで事業目的で個人情報を「公開または販売した、または販売する可能性がある」と記載している。だが実際、同社はオプトアウト要求のツールを提供している。ただそのリンクをサイトのホームページに掲載していないのだ。これはカリフォルニア州の司法長官事務所がCCPAの施行を開始したあとで問題視されるおそれがある。同法では、今年1月1日以降にCCPAを完全に遵守していなかった企業を遡及して罰する期間が設けられている

法律企業のフォーリー・アンド・ラードナー(Foley&Lardner)の共同経営者アーロン・タントレフ氏は、もし企業がカリフォルニア州住民の個人情報を販売しているのにオプトアウトのリンクをホームページに表示していない場合、「義務付けられているものがないため問題になりうる」としている。

ジフ・デービスの広報担当は、メールで次のように述べている。「当社は、CCPAが規定する『販売』に当たる形で、カリフォルニア州消費者の個人情報をサードパーティと共有する可能性があるサイトについて、オプトアウトのリンクの実装を積極的に進めている」。

ドットダッシュの場合、サイトにオプトアウトのリンクが置かれていないことは問題になっていない。同社はCCPAの規定する形で個人情報の販売を行わないとする立場をとっているためだ。同社はほかの面でも同法を遵守している。たとえば同社のユーザーは、ドットダッシュが収集する情報について通知を求められるほか、その情報の削除も要求できる。

ドットダッシュのプログラマティック収益および戦略担当シニアバイスプレジデントを務めるサラ・バドラー氏は、同社の広告事業は現時点でCCPAの影響は受けていないと語る。「いかなる変化も減少も発生していない」。

サービスプロバイダーのセーフティネット

ドットダッシュは、広告事業に関する安全策をさらに充実させるため、サービスプロバイダーとしてアドテク企業を指定している。これはCCPAにともないアドテク業界で話題になっていた手法だ。 CCPAの規定では、サービスプロバイダーとして他社を指定した場合、特定の事業目的に限り、カリフォルニア州住民の個人情報を共有できることになっている。たとえ情報販売についてオプトアウトした個人の情報についても共有が許されるのだ。

エージェンシー役員らによると、パブリッシャーがアドテク企業にプログラマティック面の担当を委託したとして、それを確認するのは難しいと考える広告主もいるという。これは広告主がパブリッシャーと直接関係を結んでいない場合に特に懸念されている問題で、インフォリンクスで起きているような広告価格下落の要因となっている。

パブリッシャーとアドテク企業がサービスプロバイダーの取り決めに従って事業を行っていることを確認するため、インタラクティブ広告協議会(Interactive Advertising Bureau: 以下IAB)はサービスプロバイダーに関する限定契約(Limited Service Providers Agreement)を設けた。

IABのシニアバイスプレジデント兼法務顧問を務めるマイケル・ハーン氏によれば、現在、パブリッシャーとアドテク企業を含む200社がこの限定契約に署名しているという。ハーン氏は、CCPAが1月1日に発効したばかりであることを踏まえれば、これは「十分に大きな数と言えるだろう」と語っている。

Tim Peterson(原文 / 訳:SI Japan)