「まだ始まったばかりだ」: GDPR から1年、さらなる罰金を予測する広告業界

現状維持に甘んじてしまうことは危険だ。広告業界の関係者に取材したところ、多くの会社が一般データ保護規則(GDPR)について、このトラップにハマっているようだ。

広告収益を維持するために、とにかく最小限の対策だけを行いたい、という気持ちは強い。また深刻に心配するほどの罰金はパブリッシャーには取り立てられていない、という現状もあり、厳重なアプローチでもってユーザーたちの同意を獲得していたパブリッシャーのなかにも、それを緩めるところが出てきている。競合たちが成長している一方で自分たちの広告収益が減ってしまい、GDPRが原因で損をしている感覚を軽減するためだ。

「現状維持に甘んじる、一定の空気が流れている」と、アドテクベンダーのサブライム(Sublime)COOであるアンドリュー・バックマン氏は言う。「多くの人々が規制当局から罰則を受けない限りは、このままを続けて、『収益が減るのであれば何の意味があるのか』と疑問を持つようになるだろう」。

それでも、Googleを含めたアドテク企業による、プログラマティック広告におけるリアルタイム入札技術に対して、プライバシー・アクティビストたちは継続してクレーム申請を続けている。最近ではオランダ、ベルギー、スペインから申請が出ている。現状の形でリアルタイム入札が続けられるかどうかは、現状を維持したいと考える企業とプライバシー・アクティビストたちのあいだの深刻な対立を生んでいる。

GDPRに関して厳しいアプローチをとったアドテクベンダーたちも、手短な変更だけでことを済ませた、ほかのライバルが多数存在することから、損をしたと感じている。「法律を文字通りに受け取る、厳密なアプローチを我々はいまでも採っているが、そのことでダメージは出ているだろう」と、アドテクベンダーのソブロン(Sovrn)CEOであるウォルター・ナップ氏は言う。「ユーザーにわざと誤解させるような『ダークUIパターン』を使うことは我々はしていない。規制を無視して当局にバレないよう祈る、というような態度は取らなかった。しかし、他社にはそういう行動をしているところがある、という証拠がある。それは我々の損になっているか、と聞かれたら間違いなくイエスだ。自分がルール通りにプレイしていて、ほかはしていないのだから」。

規制当局は数多くの捜査を現在進行中だ。アイルランドのデータ当局は52のケースを調べている。そのうち11はFacebook、ワッツアップ(WhatsApp)、インスタグラム(Instagram)に関係しており、3つがTwitter、2つがApple、1つがリンクトイン(LinkedIn)、そしてもう1つ、クワントキャスト(Wuantcast)だ。Googleは依然として、フランスの当局CNILからの5700万ドル(約61億円)の罰金に直面している。

「多くの人が、昨年5月がクライマックスだと思っていたが、本当はあれははじまりに過ぎなかった。GDPRが業界に与える影響という点ではまだ20%にも達していない。長い道のりが待っている」と語ったのは、インフォサム(InfoSum)の営業部門バイスプレジデントであるスチュアート・コルマン氏だ。

ここまでの道のり

先日、GDPRは1年記念を迎えた。1年前、欧州のメディアや広告業界のエグゼクティブたちはパニックに陥っていたが、そのときと比べると、規制とビジネスへの影響に対する彼らの態度は大きく異なっている。

パニックの大部分は、Googleが直前になってデータ・プライバシー管理に変更を加えたことが原因だった。これによって、パブリッシャーだけでなく、メディアバイイングエージェンシー、そしてアドテクベンダーたちに混乱が生まれた。直後には広告レートの急落が一時的に発生したが、その後数週間で安定した。ニューヨーク・タイムズ(The New York Times)といったアメリカのパブリッシャーたちは、事態が落ち着くまでは欧州のオープンマーケットプレイスにおける広告を停止した。USAトゥデイ(USA Today)はサイト上のすべての広告を停止し、現在も継続して停止している。ロサンゼルス・タイムズ(Los Angeles Times)などは欧州からのサイト訪問者をブロックした。現在ではヨーロッパでもサイトは開けるようになったが、広告は掲載されていない。

昨年4月の段階では、パブリッシャーたちが抱える最大の恐怖は、ターゲッタブル広告在庫の減少だった。ユーザーたちが自分のデータが使われることに同意しないことで、これが起きるかもしれないと考えたのだ。広告主たちもクッキーの量が減ることについて同様の懸念を抱えていた。厳しいユーザー同意に関する戦略を実行してきたグループは、ある程度広告収益を失った形になるが、そのダメージは決定的なものには至っていない。全体的にパブリッシャーたちは、高いオプトイン率を報告している。

ティーズ(Teads)によるリサーチでは、欧州におけるパブリッシャートラフィックの63%がいまでは、同意管理プラットフォーム(CMP)によってフィルターされているという。スペインはトラフィックの82.12%と、もっとも高いCMP実行率を持っており、それにオランダが82.39%、フランスの74.22%、英国の67.28%と続く形だ。平均して、広告目的のデータ利用に関してユーザーの95%が同意を提供していることがわかっている。

当然、反論もある。デフォルトで「オプトイン」を選ばせるサイトの数は懸念を呼ぶほど多い。GDPRでは「オプトアウト」がデフォルトであることが求められている。ウェブサイトのなかには、ユーザーがほかの記事へクリックして飛んだり、ページ上で何らかのアクティビティを見せさえすれば、それも同意として解釈するアプローチを取っているところもある。これらの「解釈による」同意は、GDPRの規定に従えていない。しかし、広告レートがそれほど大きくは下がっていない理由はもうひとつあると、エージェンシーの一部は疑っている。

「誰もがルール違反をしている。これらの企業はどれも、規制当局の言うことに従っていない。簡単な逃げ道を全員が使っている。消費者になにかを表示して見せているだけで、消費者はただ注意を払って見ていない。注意書きや細かい文面を読んだりはしない」と、バックマン氏は言う。

欧州だけの問題ではなくなった

データプライバシーに配慮したビジネスは、ヨーロッパだけのプライオリティではなくなったといっても過言ではない。これはグローバルな問題である。プライバシー問題は、GDPRによって大きくインスピレーションを受けていることは間違いない。しかし、ケンブリッジ・アナリティカ(Cambridge Analytica)のスキャンダルといったユーザーの個人データを漏洩・悪用するニュースや、GoogleやFacebookといったプラットフォームが選挙に与えた影響についてのニュースが話題になることで、アメリカでもデータプライバシーの優先度は高まっている。カリフォルニア州では2020年にGDPRと同等の役割を担う、カリフォルニア消費者プライバシー法が施行される。同時に、ワシントン州はプライバシー法案を成立させるふたつ目の州になろうと取り組んでいる。議会は連邦規模でのプライバシー規制に取り組みつつある。それにより、さらにGoogleとFacebookにスポットライトが当たっている。

「広告ビジネスという点でのGoogleの圧倒的なシェアと、データ活用に関する彼らが守っているルール。このふたつの交差点に対して、ヨーロッパだけではなく世界中から注目が集まっている。この意義は非常に大きい。そして、GDPRの施行は、その一因だった。データポリシーと、競争に関するポリシーはいまやグローバルな時代だ。これは実際的な変化としてはもっとも大きいものだ」と、アメリカのパブリッシャー業界団体であるデジタル・コンテンツ・ネクスト(Digital Content Next)CEOのジェイソン・キント氏は言う。

キント氏によると、州法を超えて効果を持つプライバシー連邦法を通過させようとする力強い取り組みが行われているようだ。「より懐疑的な人々や、消費者権利の保護活動に取り組む人々からは、カリフォルニア州が非常に強い法律を持っているだけという形にはしたくないと考えている。彼らは制度に対して不信感を持っている。ビジネスがよりシンプルになるという点からも、我々にとっては連邦レベルでのひとつの法律がある方が好ましい。しかし、それが実現する可能性は低いだろう。というのも、CCPAやGDPRほど厳しい政策を求めている人もいれば、それよりは緩いものを求めている人もいるからだ」と、彼は言う。

GDPR施行以前は、GoogleとFacebookがGDPRの利益を受けるというのが業界の総意であった。究極的には、大規模にユーザIDでのログインができるのはこのふたつの企業しかないからだ。GoogleもFacebookもどちらとも、GDPRを超えたレベルでの深刻なデータプライバシーに関するプレッシャーを受けている。消費者の記憶にはケンブリッジ・アナリティカのスキャンダルはいまだ新鮮に残っており、Facebookはあらゆる側面でこの問題と戦っている。一方、Chromeブラウザの設定といった、Googleが最近プロダクトに加えた変更は、今後のデータプライバシー取り組みの序章に過ぎないと広告関係者は考えている。

「自分のオフィスで寝たことは、これまでに2日しかない。1日はY2K問題であったが、これは何の問題も起きなかった。もう1日はGDPRだ」と、ソースポイント(Sourcepoint)の共同ファウンダーであるブライアン・ケイン氏は言う。「GDPRはY2Kとは、まったく異なっている。Y2Kは社会的な対応も必要なく、一過性の問題であった。我々はいまだにGDPRの影響を感じている。AppleとGoogleがプライバシー機能をどれだけマーケティングし、アピールしているかを見れば明らかだ。プライバシー権には新しいフォーカスが加えられた形だ。そして、GDPRはその縮図となっている。データがどのように使われるか、その透明性を達成するのは簡単ではない」。

ユーザ体験が犠牲になっている

そんななか、皮肉な状況が生まれている。GDPRはもともとユーザのために考えられたものだった。自分の個人情報が企業によってどのように使われているか、理解し管理することを容易にする助けとなるのが目的だった。実際は、CMP(同意管理プラットフォーム)の標準化の欠如、そしてメディアや広告業界が何を持ってユーザーの同意と解釈するかが幅広良いことが、大きな混乱を呼んでいる。消費者の体験が悪化している状況を見て、ブランドマーケターたちは頭を抱えている。「ひとりの消費者として、最初私は多くの通知メッセージを拒否した。いまでは異なるメッセージが次々に現れることに嫌気がさして、とにかくすべてに承諾をクリックしている。消費者に対して、GDPRが何であるかちゃんと教育をした人は誰もいない」と先週、アイルランドで行われたDigidayブランド・サミット・ヨーロッパ(Brand Summit Europe)でひとりのシニア・マーケティング・エグゼクティブは語った。

大部分のパブリッシャーたちが、いまではCMPを導入している。しかし、アドテクの情報源によると、たった3カ月前に導入したところもあるようだ。ユーザーの同意を求めるメッセージに関して統一された形式を作るべきだが、このような状況では難しい。

この進捗の遅さは、パブリッシャーたちが何か悪いことを企んでいるわけでも、彼らの利益を守るための戦略を隠しているわけでもない。取材をした情報源によると、イギリスではユーザーの同意を得ることに関して、自社の利益を守ることを優先した戦略は、以前はパブリッシャーの多数派だったが、いまでは少数派になったとのことだ。進捗の遅さの理由は不確実性にある。「望むべき前進が見られていない、というのは純粋な結果だ。そのため、いまは非常に不安を抱えた時期となっている。ICOやほかのDPAは本格的な取り組みを開始し、より明確さや定義をルールに関して提供しはじめる。ここ数カ月に出されてきた発表は一見おとなしいものだが、重大な結果へとつながるかもしれない。大規模な罰金が報告されるだろう」と、コルマン氏は語った。

Jessica Davies(原文 / 訳:塚本 紺)