2020年5月25日で、EU一般データ保護規則(General Data Protection Regulation / GDPR)の施行から2年がたつ。GDPRは、企業が個人情報の収集、保存、管理や使用の方法に関して、消費者の利益を保護するために導入された最も広範囲にわたる法律の一つである。
この規則では、違反が判明した企業には重大な罰金が課せられることが約束されており、罰金の最高額は2,000万ユーロ(またはポンド相当額)、または前会計年度の全世界における総売上高の4%のいずれか高い方となる。
実際のところ、非常に高額な罰金は、ほとんど課せられておらず、まれである。British Airways(ブリティッシュ・エアウェイズ)は1億8,300万ポンドの罰金に、またMarriott Hotels(マリオット・ホテル)は8,900万ポンドの罰金を課されている。両社とも現在、罰金に対し控訴している。また、ICO(Information Commissioner’s Office / 英国個人情報保護監督機関)は、Cathay Pacific(キャセイパシフィック航空)の全世界の顧客940万人分の個人情報(氏名、パスポートの詳細情報、生年月日や電話番号などを含む)にハッカーがアクセスするデータ侵害があったとして、3月に同社に500,000ポンドの罰金を課した。本件の罰金額が比較的低いのは、データ侵害の発生がGDPR施行前だったからだ。
ICOはまた、アドテクノロジー(アドテク)業界のビジネス慣行を調査することとしていたが、5月初旬にリアルタイム入札とアドテク業界に対する調査を一時停止すると述べた。しかし、少し不気味な口調で「アドテクノロジーに対する懸念は残っており、数ヶ月以内に然るべきタイミングで作業の再開を目指している」と指摘した。
そこで、施行から2年、GDPRに対する業界の評価はどうであろうか、第一線にいる方々に意見を聞いてみた。
欧州委員会の倫理専門家であり、HewardMills(英国のデータ保護コンサル企業)のCEO Dyann Heward-Mills氏:
「欧州は、再び岐路に立っている。GDPRは、データ保護における画期的な転換点であり、世界中で同様の法律が制定される波及効果を引き起こした。だが、新型コロナウィルス感染症は、ほとんど誰も予想しなかったやり方でGDPRを厳格なストレステストにかけている。接触者追跡や従業員の検査などのテクノロジーやプロセスの出現は、データ保護とプライバシーについて重大な懸念を引き起こしている。
欧州での労働状況は、今も新型コロナウィルスに影響を受けているが、データ保護とプライバシーはビジネスの優先事項であり続ける必要がある。これが、欧州の規制当局にとって、規約を遵守し続ける企業へのサポートが重要である理由だ。企業は、消費者と従業員の信頼を築くべく、データプライバシー、セキュリティやコンプライアンスの各チームを適切に整備する必要があり、それらを行うことで不当な不利益を被ってはならない」。
Association of Online Publishers(AOP / 英国のオンラインパブリッシャー組合)のマネージングディレクター Richard Reeves氏:
「我々は、パブリッシャーの業界団体として、GDPR施行までの間、懸命に取り組み、パブリッシャーに求められる要件を正確に理解、準備を行った。その期間中はICOと緊密に連携を行ったし、それから2年後の現在も、彼らと積極的な対話を続けている。GDPRワーキンググループは発展し、ICOワーキンググループとなった。
一年前のアドテク業界に対するICOの警告は、非常に有効なものであった。直近に発表されたICOによる調査の一時停止が、企業がコンプライアンスに置く優先度を変えるものであってはならない。我々の会員にとって、GDPRは依然として重要な課題である。我々は、提供された指針に沿って引き続きリソースを投資しており、ICOとの関係を含め、パートナー達と緊密に連携している。
ワーキンググループの成果の一つは、緩和オプション案の概要をまとめた文書の作成である。これは、エコシステムの複雑さを認識し、GDPRの下でのデータ管理者としての責任を果たすために、他の業界、技術ソリューションや業界団体へのパブリッシャーの依存を認めるものである。今後も我々は、プレミアムパブリッシャーの業界団体としての役割を果たし続け、他の利害関係者がエコシステムにおける自身の責任を認識できるようにしていく」。
Adform(デンマークのアドテク企業)CTOのJakob Bak氏:
「GDPRの実施から2年、アドテクとリアルタイム入札(real-time bidding / RTB)に関するICOのレポートから1年、そしてカリフォルニア州消費者プライバシー法(California Consumer Privacy Act / CCPA)の制定から5ヶ月がたった。今日、プライバシーはかつてないほど重要であり、サードパーティCookieの段階的な廃止はすでに世界中で開始している。だが、これは、我々が知っているように、プログラマティック広告の終了を意味しているわけではない。
業界としては、データの整合性を最優先することで、消費者に個人データの収集、保存、処理方法に関する知識をさらに提供することができる。業界のこの横断的な共同作業によって、複数のサードパーティベンダーとの共同作業から、業界標準としての包括的な同意管理ソリューションを含む、より高度な統合的広告プラットフォームへの移行が加速するだろう」。
PubGalaxy(RTBプラットフォームを提供するブルガリアの企業)COOのIvan Ivanov氏:
「すべての企業が、現時点でGDPRの遵守を管理できているはずだが、パブリッシャーと広告主は特に、行く手に立ちはだかる最悪の事態に今まさに備えるべきだ。ますます世界的にプライバシー規制が導入され、広告支出は不安定となり、サードパーティCookieの終焉が迫ってきているため、業界は変化する状況に適応する必要に迫られている。これに対応する形で、ファーストパーティデータ(企業が自社の顧客やウェブサイト訪問者に関して収集した情報)の準拠使用の人気が高まり続けることが予想される。直接的な関係を確立することにより、パブリッシャーとその広告主は、パーソナライゼーション手法を活用し、強力な収益化の機会をつかむことができる」。
Adverity(オーストリアのソフトウェア企業)のCEO Alexander Igelsböck氏:
「2年がたつが、GDPRは、欧州と世界中の企業にとって重要な優先事項としての地位を保っている。英国でのアドテク業界に対する調査の「一時停止」に関するICOの発表は、データのプライバシーが議題から取り下げられるべきという意味ではない。企業は引き続き、データ管理のベストプラクティスを確実に行い、データをより正確に追跡するための適切なシステムとプロセスを備え、そして適切な許諾を得て、常に遵守することに重点的に取り組まなければならない。
業界としては、コンプライアンスの意味を明確に理解しており、今後は、我々の責任を遵守するための最も効率的な方法を模索する必要がある。コンプライアンスと優れたサービス水準を両立させるための手段と方法がある。これを企業にとっての戦略的アドバンテージに変えるときが来た」。
TVSquared(英国のテレビ広告効果測定企業)CEO Calum Smeaton氏:
「広告とアドテクのエコシステム全体で、プライバシーは、単なるチェックボックスリストに並ぶ事項以上のものとなるべきだ。これは、消費者と業界のニーズに合わせて進化し続けるものである。物理的なインフラストラクチャであろうと、データのアクセスやコントロールを管理する方法であろうと、TVSquaredのDNAにはプライバシーが埋め込まれていることを確信した。私自身も含めて、創設チームのメンバーはフィンテックの出身であり、高度なセキュリティ規制環境での業務に慣れているため、これは我々にとっては習慣化されたものなのだ。
デジタルマーケティングでは、サードパーティCookieの段階的廃止は、データプライバシーの次のステージを示している。スマートTVやサブスクリプションプラットフォームを介して利用できる情報が増加しているため、テレビは、データプライバシーの次の波において最も重要なプレーヤーであるが、デジタルファーストの企業と比較するとサードパーティCookieの消失による副次的な影響は少ないだろう。ただし、データのプライバシーに関する懸念は、サードパーティCookieに限定されるものではなく、個人情報の重視とデータの管理、処理やアクセスの方法もフォーカスされており、特にデジタルとテレビが衝突している今、我々にとっての最優先事項である」。
Lotame(米国のデータ管理プラットフォーム)のCPO Amy Yeung氏:
「業界と規制当局の緊密な連携により、双方が利用可能なテクノロジーと業界のデータフローをよりよく理解できるようになっている。その結果として、企業がGDPR施行によって直面している課題に対してより明確な見通しが得られ、また遵守への最善のアプローチ方法に関してより明確なインサイトが得られている。さまざまなワーキンググループがあり、IAB(Interactive Advertising Bureau / ネット広告業界団体)、ANA(Association of National Advertisers / 米国の全国広告主協会)、ESOMAR(European Society for Opinion and Marketing Research / ヨーロッパ世論・市場調査協会)などの独立した諮問機関があり、これらの問題にさらに取り組み、待ち受けているいくつかの技術的課題を明らかにすることに役立っている。我々が求める透明性と消費者のアウェアネスのために、これらの機関を引き続き活用できることを願っている」。
Infoworks(米国のソフトウェア企業)のCEO Buno Pati氏:
「プライバシー法が今後一年にわたって発展するにつれて、「個人情報」のデータに対する消費者のコントロールが劇的に増加するだろう。GDPR施行からの2年は、消費者データの保護と消費者のコントロールに関する氷山の一角を示しているに過ぎない。グローバル社会にあっては、我々は、プライバシーが保護されていることを信頼できる必要がある。2020年から2021年にかけて、政府や規制当局が新たなプライバシー法を制定するにつれ、個人データの消費者によるコントロールが劇的に増加することが予想される。10年以内に、これらの規制措置によって、個人データの完全な消費者コントロールが可能になり、消費者がデータを直接収益化したり、データを商品やサービスと直接交換したりできるようになるだろう」。
DoubleVerify(デジタルメディア測定ソフトウェアを提供する米国企業)の欧州、中東およびアフリカ担当マネージングディレクター Tanzil Bukhari氏:
「GDPR実施から3年目、そしてポストCookieの世界に入るにあたり、多くのマーケターは、新しい方法を利用してオーディエンスにリーチすることを模索している。GDPRは欧州において重要で必要な規制であるが、それは広告主がターゲティング、分析や最適化に使用できるデータも制限している。
コンテクチュアルターゲティングは、個人を特定できる情報(PII)を使用したり、Cookieを追跡したりすることなく、Cookieベースのターゲティングの代替手段となる。それは、入札やインプレッション(広告が表示されること)のデータではなく、ページのコンテンツに関する情報を使用する。機械学習と人間の専門知識を組み合わせてセマンティックターゲティングとコンテキスチュアルターゲティングの規模と正確性を高めることで、マーケターは、キャンペーンのパフォーマンスを最大化しながら消費者にターゲティングして、メディアエクスペリエンスを改善するための実行可能な代替手段を手に入れる。これはターゲティングの特効薬ではないが、将来のパフォーマンス向上において重要な役割を果たすだろう」。
Integral Ad Science(デジタル広告検証企業)の欧州、中東およびアフリカ担当マネージングディレクター Nick Morley氏:
「GDPRから2年後、我々の調査によると、消費者の33%は特定のデータプライバシー規制を意識していないとしても、大多数の消費者(実際には消費者の94%)にとってプライバシーは依然として重要な関心事である。英国の消費者は、個人情報を共有する代わりに、関心や購入履歴に基づいたデジタル広告を見る方を好む。サードパーティCookieの廃止に伴い、広告主は、コンテキストをオーディエンスターゲティングへのアプローチにおける重要な部分として考慮しなければならない。
10人中9人近くの消費者(87%)は、オンラインで過ごす時間はデータが収集され、広告目的で使用される機会が増えることを意味すると理解している。ただし、環境(そのページに書かれているトピック、伝えられる気持ちや感情)を考慮することで、ブランドは、戦略を調整して、関連するコンテンツとともに消費者と関わることができる。コンテキストが受容的な消費者にリーチする明確な機会を提供していることを認識することは、我々がCookieのない世界に足を踏み入れるにあたって、ブランドにとって信じられないほど価値を有するだろう」。
※当記事は英国メディア「Mobile Marketing Magazine」の5/26公開の記事を翻訳・補足したものです。