Facebookによるカリフォルニア州のユーザーデータの取り扱い方が、自社ビジネスに与える影響について知っておくべきこと。

 

2020年1月1日に、カリフォルニア州消費者プライバシー法(CCPA)が施行された。企業は、この規則の執行日となる7月1日より前から、確実にコンプライアンス遵守となるための取り組みを続けてきた。これは目新しいニュースではないし、現時点ですでに、2年以上この話題を議論している。そして2年経過した今も、ご存知のようにCCPA関連コンプライアンス要件について混乱が生じている。

 

CCPAコンプライアンスの課題の1つは、さまざまなタイプのビジネスにおいて、何を遵守するべきかが明確になっていないことである。特に、全広告主とFacebookの間のようなデータ共有関係が存在する場合である。

 

今週Facebookは、「Limited Data Use(LDU)」(データ使用制限機能)と呼ばれる新機能を発表した。7月1日から、LDUはすべてのFacebookビジネスアカウントで自動的に有効になり、Facebookがカリフォルニア州居住者と識別したすべてのユーザーに対して、Facebookエコシステム内でのユーザーデータの保存と処理方法を制限する。LDU機能は、ユーザーがカリフォルニア州在住かどうかを自動的に検出し、データ使用制限ルールを適用する(詳細は後述)。しかし、この機能は、7月31日までしか有効ではなく、その後Facebookは、企業に対しLDUパラメータを含むよう、ピクセル(広告効果分析ツール)をアップデートするように求めている。

 

731日までに対応しなかった場合、コンプライアンス(およびコンプライアンス違反に伴うすべてのリスク)について、事業者が単独で責任を負うことになる。

 

CCPAについて言及している記事はすべて、著者が弁護士ではないこと、そして、記事が法的アドバイスではないことを何度もアナウンスする必要があるようだ。これは、この記事にも当てはまる。筆者は弁護士ではないため、読者の個々の組織のコンプライアンス対策については、弁護士に相談すべきである。

 

他の広告プラットフォーム(Google Adsなど)は、集中型オプトアウトボタンやその他のソリューションを提供しているため、多くの企業が、CCPA施行後に生じる可能性がある責任を回避するために、Facebookピクセルをアップデートする必要があることに気付いていないかもしれない。現時点では、LDUパラメータは、Facebookピクセルにはデフォルトでは含まれておらず、要件の範囲を確認するためには、特定の開発者ドキュメントページを参照する必要がある。

 

現時点でわかっていることは以下の通りである。

 

FacebookのLimited Data Useは、どのようにして、CCPAコンプライアンスを遵守するのか?

プラットフォーム上の広告主は、Facebook LDUを使用することにより、どのユーザーデータが、CCPAデータ管理規制の対象となるかを特定することが可能となる。Facebookは州別の条件リストの中で、ユーザーデータが制限される個別の方法を概説している。その中には、広告主がCCPAの遵守について単独で責任を負うことを示す文言も含まれている。

 

この機能を使用するには、Facebookが、ユーザーがカリフォルニア州にいるかどうかを自動的に検出できるように、既存のFacebook PageViewピクセルに、簡単な変更を加える必要がある。具体的には、開発者は、Facebookピクセル内に、自社ビジネスのCCPAコンプライアンスレベルを明確にするための配列「dataProcessingOptions」を含める必要がある

 

この配列は、広告主が、自社でカリフォルニア州のユーザーを識別しているかどうか、もしくは、Facebookによる自動識別処理を望んでいるかどうかをコントロールすることができるもの。もちろん、ここで生じる不明確性は、CCPAがGDPRのような「オプトイン」ではなく、「オプトアウト」に焦点を当てた法律であるという事実に由来している。では、いつLDUを有効にすべきなのだろうか?いつでもいいのか?それとも、ユーザーがトラッキングされたくないことを明示した時のみだろうか?それは、個々の広告主の判断に委ねられており、そこから生じるリスクは、広告主が負うことになる。

 

リマインダー:ブランドが、8月1日までに対策を講じなければ、コンプライアンスを遵守していないことになる。

 

 

FacebookのCCPAコンプライアンスは、ビジネスのデジタルマーケティングに、どのような影響を与えるだろうか?

現時点では、Facebook上でのCCPAコンプライアンスのすべての影響が明らかになっているわけではない。しかしFacebookが、ユーザーアイデンティティを一元化するために個人情報(PII)を使用する方法を制限することは確かである。その結果、デジタルマーケティング担当者が、顧客行動トラッキングやオーディエンス・ターゲティングを実行することがより困難になると予想される。

 

また、今回の変更は、高度な顧客マッチング、オフラインでのコンバージョン追跡、カリフォルニア在住者向けのリターゲティングの有効性に影響を与えるため、Facebook上でのパフォーマンスの低下につながると考えている。

 

しかし、当面の主要な影響は、リターゲティングについてである。Facebook LDUを有効にすると、ビジネスは行動(ウェブサイトのピクセルベースの)リターゲティングキャンペーンに、ユーザーを含めることができなくなる。わかりやすくいうと、ユーザーの100%がカリフォルニア在住の場合、LDUを有効にした場合、オーディエンスプールのユーザーは、0人となる。Facebookは、2020年7月1日から7月31日の間は、自動的に有効化しているため、現時点で、すでにこのような事態が発生している。

 

ビジネスは、どのようにFacebook LDUを導入すべきだろうか?

この質問に答える前に、上記で簡単に触れた1点を強調しておくことが重要である。CCPAコンプライアンスは、ユーザーがトラッキングをオプトアウトできるようにすることに重点を置いている。(対照的に、GDPRではユーザーにトラッキングのオプトインを要求している)。つまり、ユーザーがウェブサイトを訪問した場合、ユーザーにオプトアウトのオプションを与えるクッキーへの同意バナーを表示することができる。そして、CCPAでは、ユーザーがオプトアウトを選択した場合、トラッキングを停止する必要がある。

 

非常に少数のユーザーしか、トラッキングにオプトインすることを選択しないが、それがオプトアウトを選択することになると、その人数は、はるかに有利なものになる。つまり、FacebookのCCPAコンプライアンスに関しては、リスクに対する許容度に応じて、複数のアクションが選択できるということである。

 

Facebookは、CCPAコンプライアンスに関するコミュニケーションにおいて曖昧な表現をしているが、それは、リスクの評価責任をビジネス側のみが負うということを意味する。リスクが最も低いものから最も高いものまで、3つの可能性のある方向性を、それぞれの長所と短所とともに以下で明示したい。

 

リスク回避型:これは、ビジネスにリスクをもたらさないためベースラインとなる。ビジネスは、トラッキングのオプトアウトを明示的に設定する必要はない。しかし、その代わりに、ユーザーがカリフォルニア在住者として識別され、PageViewタグが動作した全てのインスタンス上のLDU配列を有効にする。

 

  • 長所:ゼロリスクである。カリフォルニア州の住民の100%がカバーされる。
  • 欠点:カリフォルニア在住者はリマーケティングキャンペーンから除外される(他のデータターゲティング機能からも同様に排除)ので、パフォーマンスが大きく低下する可能性が高い。

 

リスク許容型:特に、CCPAがどのように解釈されているかをまだ学んでいる段階のため、この中間アクションはややリスクが高いといえる。企業は、CookieBotOneTrustのようなクッキーコンプライアンスソリューションを使用して、トラッキングをオプトアウトする選択肢をユーザーに提供する必要がある。オプトアウトしたユーザーに対してのみLDUを有効にすると、それによって、Facebookのピクセルが動作しなくなる。ピクセルを動作無効にすると、LDUを有効にした場合と同じように機能するという奇妙な状況が生じる。

 

  • 長所:低リスク。カリフォルニア州のユーザーのほとんどがオプトアウトしない可能性が高い。いつものように行動をトラッキングし、リターゲティング広告を表示することが可能なことを意味する。
  • 短所:設定が複雑になる可能性がある。また、オプトアウトによって、全体的にピクセル動作が制限された場合、LDUがどのように機能するのかが不明である(結果としては、リスク回避型と同じ影響を及ぼす可能性がある)。

 

ハイリスク型:何もしないで様子を見る。もし、Facebookのピクセル上でLDUを有効にしないこと、そして、サイト訪問者にオプトアウトを提供しないことを検討している場合は、リスク、潜在的責任、およびCCPAの不遵守に関連する罰則について、法務チームと話すことを強く推奨する。

 

  • 長所:カリフォルニア州の住民であるすべてのユーザーを、リマーケティングリストとトラッキング対象に含めることができる。
  • 短所:罰則の可能性が高く、非常に高リスクである。

 

推奨するリスク回避型以外の実行を選択した場合は、クッキーが無効化されたときに、別のブラウザや以前のセッションでオプトアウトしたユーザーに属するデータを処理するリスクがあることに留意すべきである。

今のところ完璧な解決策はなく、前述のソリューションの全てに、それぞれ課題がある。私は、この問題を専門としているが、今でも次のような疑問を抱いている。

 

  • 全カリフォルニア州民向けの普遍的な LDU アプリケーションを使用したアプローチは、抑制リストにどのような影響を与えるのか?
  • トラッキングを制限するというユーザーの意思決定を、セッション間の永続的なクッキーに保存する時間が限られているときに、その意思決定をどのように持続させることができるのか?

 

ここでは、技術系弁護士のSteve Blickensderfer氏からのアドバイスを紹介しよう(これも、法的なアドバイスではない)。

 

ビジネス拠点がカリフォルニア州にない場合、何かすべきことがあるか?

CCPAは、ビジネスの所在地に関係なく、カリフォルニア州住民をターゲットにしたビジネスに適用される。ビジネスがFacebook上で、カリフォルニア州住民を対象にマーケティングを行っている場合、コンプライアンスを遵守していなければ、責任を問われ、罰則の可能性も生じる。

 

もちろん、CCPAによる制限の全体的な影響は、ビジネスの市場がどの程度カリフォルニア州住民に偏っているかによって異なる。しかし、近い将来、同様の制限規則が全国で可決される可能性が高く、すでにEUでは、GDPRの下でより厳しい規制が適用されていることに注目する必要がる。

 

最後に、技術的な手段(ITP/AppleがSafariに搭載しているトラッキング防止機能、ETP/クラウドベースのセキュア・ウェブ・ゲートウェイ)と立法的な手段の両方で消費者のプライバシー保護を同時に求めるという現在の手法が、コンプライアンスを困難なものにしていることが明らかになってきている。基本的にこのプロセスでは、企業はまず、ユーザーのデータにすべてアクセスし、不正な使用をしていないことを確認しなければ、法律に違反しているかどうかを知ることができない。未来の効果的なプライバシー保護は、プライバシーは全く存在せず、企業は自由に個人データを利用できる状態である。ユーザーがその使用方法を明示的に指示しているという現在とは違い、未来の効果的なプライバシー保護は、より抜本的なものになるかもしれない。

 

その時がいつか来るとしても、まず2020731日までにアクションを起こす必要がある。今後も、制限事項や法廷での解釈方法など、CCPAコンプライアンスに関連した最新情報をお伝えしていく。

 

※当記事は米国メディア「Marketing Land」の7/6公開の記事を翻訳・補足したものです。