Googleが3月22日(米国時間)、パブリッシャーに対し、ユーザー情報の収集に関するユーザーからの同意を、Googleに代わって獲得するよう求めていくという広告ポリシーの変更を明らかにした。この動きは、FacebookやAmazonなど、パブリッシャーのサイトで広告を販売する大手テクノロジー企業にとって、自社のアドテクオプションを大きく変えることなく欧州の「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)に準拠する道を切り開くものになる可能性がある。

欧州のプライバシー関連法であるGDPRのもとでは、Googleがパブリッシャーの読者にターゲット広告を表示する際に、読者の同意を得ることが必要になる。法律家たちによれば、この同意をGoogleが間接的に得ることは違法ではない。

Googleはまた、自社のアドサーバー「Doubleclick for Publishers(DFP)」やアドエクスチェンジ「DoubleClick Ad Exchange(AdX)」を使用するパブリッシャーとともに、ユーザーデータを共同管理する役割を引き受けると語った。その場合は、パブリッシャーも管理者となる。Googleにとって、共同管理者という役割は重要だ。なぜなら、Googleがデータの所有者となり、そのデータを好きなように利用できるからだ。もし「データ処理者」という役割に甘んじれば、Googleは管理者(この場合はパブリッシャー)の決めたとおりにしかデータを利用できなくなる。

Googleにとっての別の用途



「これはおそらく、Googleが実際には、パブリッシャーにサービスを提供するだけでなく、自分たちの利益のためにデータを活用していくつもりであることを示す動きだ。彼らがそれ以外の方向に進むとはとても思えない」と、法律事務所デイビス&ギルバート(Davis & Gilbert)のパートナー、ゲーリー・キベル氏は語る。

「ある企業がデータ管理者の役割を引き受ける意思を示したときは、なぜそのような義務を自発的に引き受けようとするのか疑問に思うべきだ。その理由は、そのデータを使った別の用途があるからに違いない。もはやデータ処理だけに甘んじるつもりはないのだ」と、法律事務所ミシェルマン&ロビンソン(Michelman & Robinson)のパートナーであるスコット・リヨン氏はいう。

Googleにとって、その別の用途とは、おそらくGoogleがすでに行っていることだ。すなわち、複数のサイトにまたがってユーザーを特定し、彼らのブラウジング行動に基づいて広告を表示できるようにすることだ。管理者の役割を引き受け、データを収集することへの同意をパブリッシャー経由で取り付けることで、Googleは自社が広告を販売しているサイトを訪れた人々に対してやっていることを、これからも堂々とできるようになる。「米国でいま起こっているのと、まさに同じようなことだ」と、キベル氏は語った。

IABヨーロッパでも同様の動き



GDPRへの準拠に対するGoogleのアプローチは、パブリッシャーのサイトでターゲット広告を販売したいと考えているほかの企業にとって、お手本となる可能性がある。だが、手本になりそうなアプローチはこれだけではない。

デジタル広告事業者団体のIABヨーロッパ(IAB Europe)も、アドテク企業がパブリッシャー経由で、データ収集に関する同意を得る方法を提案している(Googleは、「パブリッシャーにとって最適な同意獲得方法」をIABヨーロッパとともに検討していると述べている)。

キベル氏によれば、IABヨーロッパとGoogleのアプローチには重要な違いがある。それは、IABヨーロッパが複数のアドテク企業の参加を認めようとしているのに対し、Googleは自分たちのみが対象であることだ。IABヨーロッパの提案では、参加するアドテクベンダーがGDPRに準拠しているかどうかが厳密にチェックされないため、パブリッシャーはリスクを負う可能性がある。しかし、Googleとは直接取引することになるため、こうした懸念に対処できるかもしれないのだ。

ただし、アドテク企業がユーザーの同意を得るために同じようなアプローチを実施したからといって、パブリッシャーに採用してもらえるとは限らない。だが、Googleは強大な力を持っているため、パブリッシャーに対してGoogleのネットワークにとどまるよう命じることができると、キベル氏は話す。FacebookやAmazonといったほかのアドテク大手も、Googleの例に倣うかもしれない。

Googleとパブリッシャーの関係



パブリッシャーとともに管理者の役割を引き受けることで、Googleはデータの利用方法を自由に決められる権利を確保できる。とはいえ、パブリッシャー経由でデータを取得する場合には、そのデータが不適切な方法で収集されていないかを確認する法的義務が生じる。Googleは独自の同意獲得アプローチによって、GDPRに準拠し、パブリッシャーが適切な同意なくデータを収集するリスクを減らすという目的を、より確実に達成できるようになるかもしれない。

共同管理者としての関係を築く場合、その当事者は互いに負うべき義務の範囲を細かく取り決める必要がある。また、一方の当事者が双方を代表して同意を得る場合には、その同意が義務に則った形で得られていることを、もう一方の当事者が確信できる必要があると、法律事務所ケリードライ&ウォーレン(Kelley Drye & Warren)のパートナー、アリーサ・ハトニック氏は説明する。

「GDPRに関する懸念は、データサプライチェーンにいる全員に法的責任が生じる可能性があることだ。パブリッシャーが、(自社の)サイトで(Googleの)タグやピクセルを配置することについて適切な同意を得られなかった場合、そのパブリッシャーは法的責任を問われる可能性がある。そして、もちろんGoogleも、GDPRに準拠した適切なプロセスを経ずにデータを収集したとして、間違いなく法的責任を問われるだろう」と、キベル氏は述べている。

「Googleの問題解決方法は、『パブリッシャーのみなさん、負担をおかけしますが、同意を獲得してきてください。でも、当社も共同管理者として責任を負っているので、当社がその同意を検証できるようにする必要があります』というものだ」と、リヨン氏は語った。

Googleの取り組みの現実



Googleがどれほど完全にGDPRに準拠できるかはまだわからない。Googleは自社のネットワークに膨大な数のパブリッシャーを抱えており、パブリッシャーを手作業でチェックすることは不可能だろうと、キベル氏は指摘する。

GoogleがパブリッシャーにGDPRを遵守させる方法のひとつは、パブリッシャーが、同意を得られなかったユーザーにもターゲット広告以外の広告を表示して、利益を得られるよう支援することだ。

「このような工夫が、実際に行われるようになるだろう」と、リヨン氏は語った。

Tim Peterson(原文 / 訳:ガリレオ)