![DIGIDAY[日本版]](https://digiday.jp/wp-content/themes/digiday-master/assets/images/common/logo-digiday.svg){kind=logo}
[ DIGIDAY+ 限定記事 ]ルクセンブルクにある欧州司法裁判所が10月1日、Cookieを使用するためにあらかじめチェックを入れた同意ボックスをユーザーに提示する手法は、GDPRに照らして法的に有効ではないとしました。その代わりに、企業は消費者から「自発的な同意」を得る必要があるという判断を下したのです。この内容について解説します。
[ DIGIDAY+ 限定記事 ]データプライバシーの取り扱いに関して、規制当局がメディア業界と広告業界へのプレッシャーをますます強めています。
今回打撃を加えたのは、欧州司法裁判所でした。ルクセンブルクにある同裁判所が10月1日、Cookieを使用するためにあらかじめチェックを入れた同意ボックスをユーザーに提示する手法について、一般データ保護規則(General Data Protection Regulation:以下、GDPR)に照らして法的に有効ではないと述べたのです。その代わりに、企業は消費者から「自発的な同意」を得る必要があるというのが裁判所の判断でした。
「消費者と直接関わり合う銀行などの組織と異なる方法でデータを処理する特権が、アドテク企業に与えられているわけではない」と、コンテクスチュアルターゲティングベンダーのピア39(Peer39)でグローバルマネージングディレクターを務めるアンドリュー・モーシー氏は述べています(同社はサイズミック[Sizmek]の元子会社)。「にもかかわらず、ベンチャーキャピタリストとシリコンバレーに渦巻く上昇志向は、うまく対応できるという信念を駆り立てている。しかし、多くの企業が法に抵触することになると、私は思う」
Advertisement
GDPRをはじめとするデータプライバシー関連の法律に関しては、法的に根拠のない話が飛び交っており、既存の手法を説明するためにさまざまな用語が用いられているケースが多く見られます。そこで、今回の「一問一答」シリーズでは、この裁判所の判決をより深く理解したいと考える人たちのために、基本的なことから説明しましょう。
――まず、「自発的な同意」とは何ですか?
簡単にいえば、ユーザーがパブリッシャーやブランドから情報を受け取るには、手動でオプトインする必要があるということです。メールマーケティングやターゲット広告など、どのような形式であってもです。これによってユーザーは、パブリッシャーやブランドが事前に説明した目的でデータを使用することに自ら同意したことになります。この対象は極めて個人的な情報に限らず、その個人に属するすべてのデータが対象となります。ユーザーが同意するためには、同意しようとしている内容について正しい情報を提示してもらう必要がありますが、これがもうひとつの厄介な問題です。
――それは、なぜでしょうか?
いま起こっている問題のひとつは、さまざまな種類の同意メッセージが存在するため、データが必要な理由やデータの利用目的に関して消費者に伝える情報のレベルにバラつきがあることです。たとえば、プログラマティック広告収入に大きく依存しているパブリッシャーは、多数のアドテクパートナーをその取引に関与させています。しかし、厳密にはアドテク企業は消費者ブランドではないため(Googleを除く)、消費者が誰に対して何を同意しているのか本当に理解できる可能性は低いでしょう。よくわからないまま同意ボタンをクリックして目的のコンテンツにアクセスするか、同意を拒否して立ち去ってしまうかのどちらかになります。
――ぱっと見、自発的な同意は単純な話のようにも思えますが、なぜ大きな問題なのでしょうか?
これまで、膨大な数の企業(従来のパブリッシャーやブランドのマーケター)が、自社のウェブサイトで「暗黙の同意」を前提としてきました。多くの企業は、あらかじめチェックされた同意ボックスを提示することで、ページをマネタイズする能力やニュースレターなどを介して顧客とコミュニケーションする能力が失われないようにしています。しかし、この状況が混乱を引き起こす可能性があります。「このような取り組み(あらかじめチェックを入れた同意ボックス)は規模の拡大に役立っているが、今後はマーケターが残した過去の遺物になるだろう」と、モーシー氏は語っています。
──では、今回の判決は誰にとって悪いニュースなのですか?
オプトインをデフォルトにし、あらかじめチェックを入れたボックスを使用しているすべての企業です。
――今回の新たな判決は、何がきっかけだったのですか?
欧州司法裁判所は、ドイツで宝くじサイトを運営するプラネット49(Planet49)に関する訴訟について、ドイツ連邦裁判所から再審理を求められていました。プラネット49は、あらかじめチェックを入れたボックスをプロモーション用ゲームで利用していたのです。欧州司法裁判所は再審理の結果、企業がトラッキング目的でCookieを使用するには、ユーザーから(説明に基づく)自発的な同意をあらかじめ得る必要があるとの判断を示しました。また、Cookieの保存期間についても詳細な情報を提示する必要があるとしています。
――今後の動きは?
今回の判決は、英国の個人情報保護監督機関である情報コミッショナーオフィス(ICO)がらみの騒動と相まって、あらゆる企業をリスク管理モードに移行させることになると多くの人が考えています。マーケティングクライアントを抱える複数のアドテク情報筋によれば、ブランドマーケターの多くが、GDPRの下で罰金を科せられた場合に備えて、2020年のリスク予算を確保しはじめているようです。「プラネット49に対する欧州司法裁判所の判決は業界全体に衝撃を与え、対応が後手にまわっていたすべての企業が、特にCookieを使った手法に関して、プライバシー対策に本腰を入れざるを得なくなると我々は予想している」と、デジタルエクスペリエンスプラットフォームのクラウンピーク(Crownpeak)のプライバシー専門家であるゲイブ・モラサン氏は述べています。
――簡単に解決できる問題ではなさそうですね。
そのとおりです。オープンウェブで広告を購入、販売、追跡するための技術的基盤は非常に複雑で、数十万の仲介者が関与しています。そのことだけでも、同意要求システムに悪夢のようなユーザーエクスペリエンスをもたらすには十分です。アドテクベンダーは、「段階的な同意獲得」プロセスが続々と登場すると予測しています。このプロセスでは、ユーザーにいきなり大量の情報が表示されることはなくなりますが、ユーザーが詳しい情報を知ろうとすれば、複数のページをクリックして調べることが必要になります。とはいえ、GDPRの原則を遵守しようとする企業が増えれば、それほど大変な問題には思われなくなるでしょう。
「抵抗を続けて最後の手段に打って出ようとする動きが見られることには当惑させられる。そのエネルギーを新たな戦略やソリューションの開発につぎ込み、GDPRをパブリッシャーに受け入れやすいものにする機会と考えるほうがいいと思うだが」と、独立系パブリッシング・コンサルタントのアレッサンドロ・デ・ザンチェ氏は語っています。
Jessica Davies(原文 / 訳:ガリレオ)
