データ規則は進化を続け、世界有数のテック企業もプライバシー保護を推進している。Cookieや広告ターゲティングに関し、マーケターは直ちに行動を起こすことが求められている。
プライバシーおよびデータ保護の問題は新しいものではない。データ保護ガイドラインは、包括的な法律や、医療や金融といった特定業種を対象にしたものなど、世界中のさまざまな国で長年適用されてきた。ただし、そうした法律の多くは、この情報化時代に向けて作られたものではなかった。これが変わったのは2018年のGDPR施行からであり、GDPRをきっかけとして全世界的に規制環境が変化した。
大半の企業はGDPRなどプライバシーに関する法律をコンプライアンスの問題だと考えているが、データプライバシーの焦点はマーケティングとCookieであり、この点を理解することが重要だ。そのため、Cookieの利用に関し、マーケターは最も厳しい規則を順守できるよう備える必要がある。欺瞞的に同意を取りつけるバナーなどでの応急処置は一時的なものであり、今後は規制当局への対応が必要となる。ファーストパーティデータとコンテンツ連動型広告への注力こそが喫緊の課題だ。
GDPRがもたらした(そして今も続く)変化とは
インターネットの時代(2000年代初頭)におけるデータ保護のための特定の法律は、EU、日本、インドで作られた。これらはハッキング、スパム、個人への攻撃的なメッセージといったサイバー犯罪、広範なドメイン上のデジタルコミュニケーションやeコマースサイトで実施されている大規模な行動ターゲティング広告を主な対象としていた。機密性の高い個人情報の収集または処理には同意が必要となった。2000年代初頭、欧州で立案されたeプライバシー規則では、あらゆるデータの収集に積極的な同意が求められるようになった。そして、GDPRをはじめとしたその後の法律では、以下の3点の変更があった。
1. 個人データにあたるものの定義が拡大された。
デバイスID、Cookie ID、ウェブ閲覧履歴といったデバイスに紐づく情報が個人データに含まれるようになった。デバイスは個人のアイデンティティの本質的な部分だと認識されたのだ。ここで重要なのは、個人データの性質は常に進化しているということである。バイオメトリクス、すなわち音声認識や顔認識の技術で使われる画像や動画も個人データに含まれるようになった。また、Cookieはまさしく個人データであり、Cookieには、Cookieによって収集された名前、目的、責任者の名前、有効期間、受信者の名前やカテゴリーなどあらゆる情報が必然的に含まれることになる。
2. GDPRで同意にあたるものの表現が詳細になった。
以前は、同意に対する適切な定義がなかったことから、「このサイトはCookieを使用します」と書かれたバナーが示されるだけであることもあった。ユーザーの承諾が必要なケースでは、ユーザーの注意が向かないようにバナーがデザインされることさえあった。ドイツの裁判所における「Planet49事件」の最近の裁判では、Cookie同意バナーについて、あるべき形状や処理目的を明記すべきであること、明示的であるべきこと、消費者自身による確認と無効化が可能であるべきことなどが焦点になっている。
3. 問題が生じるリスクだけでなく、法令違反のリスクがある。
以前の規則では、罰金や罰則のおそれがあるのは明確な損失を主張された場合だけだったが、新しいプライバシー法では、法令に従っていないだけで罰金や罰則が科せられる。法令順守(コンプライアンス)の問題ではあるが、マーケターにとっては、それが直接日常業務に重大な影響を及ぼすため注意が必要だ。意図せぬデータ侵害は、評価の失墜や集団訴訟に発展する可能性がある。すでに有名ブランドに対するそうした訴訟の例は多数存在している。
規制間の整合性が取れていない状況
ここまで一般論を述べてきたが、データプライバシー規制については、実際にさまざまな国で個別に制定、施行されている。諸規制の間に整合性はなく、文化による差異がある。インドと中国はプライバシー法にサイバーセキュリティ主導のアプローチを採っており、データの国有化と現地化を義務付けている。東南アジア諸国連合(ASEAN)にはプラバシーフレームワークはあるが、プライバシー関連法を通過させたのはフィリピン、シンガポール、台湾、マレーシアの4カ国のみである。EUは、GDPRがすべての加盟国に適用されるが、Cookieの利用に適用されるeプライバシー規則はまだ標準化されておらず、加盟国によってさまざまな考え方がある。米国ではカリフォルニア州が先駆けとなり、まずカリフォルニア州消費者プライバシー法 (CCPA)、次にカリフォルニア州プライバシー権利法(CPRA)が可決した。
ポリシーに関する議論においては、Cookieの利用にはユーザーの同意が必要という考えと、企業側の合法的な権利であるという考え方で議論が分かれている。シンガポールは最近、データ保護法を改正し、「合法的な」ビジネスを目的とする場合のユーザー同意を除外した。日本をはじめいくつかの国では、国際的なサービスと国内のサービスとで同意のフレームワークが異なる。
つまり、国や地域によって個人データと同意を構成する要件の定義と解釈が異なっているのだ。その影響で、グローバルマーケターにとって同意を管理することは非常に困難なことになっている。
とはいえ、技術の進歩に規制が追いつかないのは致し方ない。倫理を中心に据えて規則に数歩先んじる責務は、マーケター側にあると心得るべきだ。
利害関係者への影響
消費者にとって、厳格な同意制度は彼らの権利を強化するが、消費者は訪問する全てのウェブサイトで同意バナーをクリックすることが必須となり、インターネットにおける顧客体験が大きく損なわれることになる。権利が強化される一方で、同意の内容や、バナーの「承諾」をクリックするとどうなるのかについて、消費者が必ずしも理解していないことが調査によって示されてきた。
パブリッシャーにとって、ユーザーの同意が必要となる同意のフレームワークを導入するとURLに関連づけられるサードパーティCookieの数が大幅に減少するため、収益に直接影響する。ブラウザー側では既に、サードパーティCookieの段階的な廃止が始まっているか、少なくともそのスケジュールが定められている。生き残り策として「Cookieウォール」を構築し、Cookieの承諾を消費者に強制する動きもあったが、これはその後、GDPR違反になることが明らかになった。
アドテク企業にとって、焦点は収益への影響をいかにして最小化するかだ。彼らは最終消費者と直接的な関係を結んでいるわけではない。消費者からの同意は、ウェブサイトを運営するブランドやパブリッシャーに取得してもらっている。しかしパブリッシャー側にとって、この同意取得のインセンティブが十分ではない場合もある。違法だとみなされたり、広範な規制プロセスの対象にされたりする可能性のある技術には誰も投資したがらないため、こうした不確実性があると、アドテク業界のイノベーションは失速してしまう。アドテク業界には、サードパーティのデータトラストや、消費者の嗜好を収集する合法的な手段など、Cookieに代わるものを考える必要があるのかもしれない。
ブランドや広告主は、プライバシーに関する変更が顧客との関係にどう影響するのかを最も懸念している。しかし、こうした状況はブランドに、最終消費者である顧客を啓発し、ファーストパーティデータ戦略を構築することにより、顧客との関係を強化する機会をもたらす。こうした困難な作業に取り組むマーケターを支援すべく、同意管理プラットフォーム(CMP)も登場したのである。
ラビ・ガネシュ(Ravi Ganesh)氏はスタートアップを対象とするマーケティングアドバイザー。以前はインドのハバス・グループ(Havas Group)でデータと分析の責任者を務めた。