デジタルマーケターが価値の高いオーディエンスを見つけるうえで、ますます重要な役割を担うようになっているのがデータ管理プラットフォーム(Data management platforms:以下、DMP)だ。このプラットフォームはサードパーティーデータに大きく依存しているが、そのデータが透明性の高い方法で収集されているとはいえない。しかし、欧州で「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)が2018年5月に施行されれば、DMPはサードパーティーデータの取得で厳しい事態に直面する可能性がある。

GDPRがもたらす影響



DMPは、もっぱらクッキーを利用してサードパーティーデータを処理し、類似ターゲティングを行っている。現在の法律では、クッキーを利用するのにユーザーの同意を得る必要は必ずしもない。だが、GDPRはこの状況を変えることになる。クッキーから収集するデータを含め、個人データを要求するときには、各ユーザーから明示的な同意を得なければそのデータを使用できなくなるのだ。そのため、DMPはGDPRの下でいまより多くの法的義務を課せられるようになる。GDPRのおかげで企業によるサードパーティーデータの取得が困難になるため、DMPはファーストパーティーデータとセカンドパーティーデータへの依存を高めざるを得なくなるかもしれないと、アドテク企業の幹部や弁護士は述べている。

「DMPが前もって行うべき法的業務はさらに増えることになる。特にデータプロバイダーとの取引においてだ」と、ポーランドに本拠を置くアドテク企業クリアコード(Clearcode)のマシエフ・ザワジンスキCEOはいう。「サードパーティーデータの入手は、GDPRのために難しくなるだろう。そのため、DMPはファーストパーティーデータとセカンドパーティーデータをより重視するようになる可能性が高い。しかし、だからといってサードパーティーデータが重要でなくなるわけでも、DMPがサードパーティーデータの利用をやめるわけでもない」。

DMPのニュースター(Neustar)で最高プライバシー責任者を務めるベッキー・バリ氏は、GDPRがDMPとアドテク企業全体に深刻な影響をもたらすと考えている。その理由は、よく知られているように、アドテク企業がオプトアウトによる推定された同意に基づいてデータを利用しているからだ。だが、GDPRでは個人の同意を得ることがデータ利用の法的要件になっていると、バリ氏は指摘する。「さらに、アクセス、訂正、消去、携行といったデータ主体の権利が強化されるため、いまより安全性の高い消費者向けポータルが必要になる。状況によっては(DMP側で)新たな処理コストが発生する可能性もあるだろう」と、バリ氏は語った。

DMPをどう定義するか?



GDPRがDMPの業務に影響を与えるかどうか、あるいはどのような影響を与えるのかという話は、この規制の下でDMPが自らの役割をどう定義するのかという話に行き着くというのは、アドエクスチェンジのオープンX(OpenX)で最高法務責任者を務めるダグラス・マクファーソン氏だ。DMPは「データ管理者」として、「個人データを利用する目的と手段を決定する」のだろうか。「データ処理者」として、「管理者の代わりに個人データを処理する」のだろうか。あるいは、「データの二次処理者」として、データ処理者が行う以上のデータ処理作業に関わるのだろうか。選ぶ役割によって、どのような方法で、またどのような理由で個人データを収集するのかが決まるとマクファーソン氏は語った。たとえば、データ処理者は、データ管理者に通知しないまま二次データ処理者に業務を委託することはできない。

ほとんどの場合、DMPはデータ処理者として活動することになるが、一定のケースではGDPRの下でデータ管理者とみなされるようになるとマクファーソン氏は考えている。たとえば、クレジットカード企業からデータを収集し、ユーザーの行動パターンを調査してユーザープロファイルを作成し、データ製品を作って販売するような場合だ。データ管理者とみなされた場合、DMPはGDPRの下で多くの法的責任が課せられるようになる。データ処理活動の記録を保管したり、データとデータセキュリティに関する社内ポリシーを適用したりすることが必要になるのだ。

「こうした活動の一部は、GDPRのもとになった規定でも義務付けられている。だが、多額の罰金を科せられることがないため、この規定を深刻に捉えていた企業はほとんどない」と、マクファーソン氏はいう。「しかし、GDPRはその状況を変えるだろう。たとえば、データ漏えいが起こった場合、データ管理者は2000万ユーロ(約26.7億円)または世界市場で得た収益の4%にあたる額の罰金を科せられる」。

同意の定義もあいまい



GDPRの下では、DMPの役割に加え、ユーザーの同意に関する定義もDMPに影響を及ぼす。「いまのところ、どのような種類の同意を得ればGDPRの要求にかなうことになるのかはっきりしていない。これから数カ月のあいだに、同意に関する詳しいガイダンスが発表されるといわれている」と、マクファーソン氏は話す。「GDPRがいまの法律よりも明確な同意を義務付けた場合、DMPは提携先のブランドやパブリッシャーに対し、各ユーザーから明示的な同意を得るよう求めることが必要になるかもしれない。あるいは、ファーストパーティーデータやほかのデータソースを探すことになるだろう」。

一方、バリ氏は、GDPRによる同意の定義の変更がDMPにとって「重大な制約」になると考えている。DMPは通常、パブリッシャー、小売企業、広告主のサイト上で、仮名化されたサイトデータやログデータを収集して分析している。「EUのデータ保護関連法では、IPアドレスが個人データとみなされる場合がある。そのため、ニュースターではその情報を最大10日間保管しているが、その際は一部を削除したIPアドレスかハッシュ化したIPアドレスのみを自社の製品とサービスのために保管している」と、バリ氏は言う。

また、DMPビジネスを手がけるロテーム(Lotame)でグローバルプライバシー担当の法務顧問兼バイスプレジデントを務めるティファニー・モリス氏によれば、ファーストパーティーの立場であればスムーズに同意を獲得できるが、サードパーティーの立場では、データが異なる複数の企業に流れる可能性があるため、同意を得るのは困難だと指摘する。「我々はデータプロバイダーと話をし、彼らがGDPRをどう解釈しているか、ユーザーの同意をどのように得ているか、インターネット広告協議会(IAB:Internet Advertising Bureau)の同意方式に従っているかどうかを確認している」と、モリス氏は語った。

ニュースターやロテームといったDMPは、GDPR独自の要件をデータプロバイダーとのベンダー契約書に追加する取り組みをすでにはじめている。だが、モリス氏によれば、DMPにとって本当に厄介なのは、どのような技術を使ってデータプロバイダーとやり取りするのかを決めることだという。「たいていの場合、DMPはデータ処理者として単独で活動し、データ管理者またはクライアントの指示の下でファーストパーティーデータを処理している。しかし、ときにはDMPがデータ管理者として活動する可能性もある」と、モリス氏は説明する。「GDPRでは、データ管理者とデータ所有者の両方が個人データに責任を負うべきだという考えが明確に示されている。しかし、(提携先のデータプロバイダーが)どのように同意を得ているかを検証する技術的手段がないのだ」。

肯定的な意見もある



こうした問題はあるものの、この記事のために取材したテクノロジー企業の幹部や弁護士は、GDPRの施行が質の高いデータとデータ管理を実現する機会になると考えている。また、GDPRの課す規制によって、アドテク市場で統合の動きが起こると考えている。メディアバイヤーが、GDPRに準拠しないベンダーと手を切らなければならないというプレッシャーを感じるようになるからだ。

「GDPRについては多くの否定的な報道がなされているが、私は肯定的に考えている」と、エージェンシーのマークル(Merkle)でヨーロッパ、中東、アフリカ地域のデータソリューション担当バイスプレジデントを務めるニック・マッカーシー氏はいう。「すべきことはたくさんあるが、そのおかげで人々が責任を負うようになるだろう」。

Yuyu Chen(原文 / 訳:ガリレオ)