2018年、 GDPR について学んだ 5つのこと

2018年12月28日 12時0分

好き嫌いはさておき、「一般データ保護規則」(General Data Protection Regulation：以下、GDPR）の施行は、欧州全体の広告に関わる企業にとって2018年最大の話題であり、悩みのタネにもなった。

パブリッシャー、エージェンシー、広告主、アドテクベンダーが直面している最大の課題のひとつは法解釈の幅の広さで、これは結果的に、無秩序で混乱したオンライン体験を欧州のユーザーにもたらすことになった。

今回は、GDPRについて2018年に我々が学んだことを5つ紹介しよう。

1. Googleのパワーが浮き彫りに

GDPRが、FacebookとGoogleの力をそごうとする欧州連合（EU）の試みの一部だとしたら、それは完全な失敗だったと言っていいだろう。Googleと主要パブリッシャーとの関係は、GDPR施行後の数週間で非常に緊迫したものになった。テクノロジー界の巨人は、GDPR施行の9時間前まで自社の厳格な法解釈についてパブリッシャー（やメディアバイヤー）に通知しなかったので、デジタル広告のエコシステム全体に響く大きな問題を引き起こした。当然ながら、GDPRが発効した5月25日から数日間、アドエクスチェンジ（AdX）の需要量が跳ね上がったのに対し、ほかのアドテクベンダーは自社の需要量が激減するのを目の当たりにしたと、アドテクとエージェンシーの幹部たちはいう。

Googleは何年ものあいだ、ブリュッセルで独占禁止法に関する裁判を闘っており、GDPRへのコンプライアンス戦略を自社のビジネスが優位に進むように利用しているかどうかで、当局から無用な注目を集めたくはないだろう。だが、すでにログインしている大きなユーザーベースは、ほかのパブリッシャー（そして多くのGDPR関係国）にはない優位性をGoogleに与えている。GDPRに関してはこれまで独自路線を貫いてきたGoogleだが、ここへ来て業界への協力姿勢を示しはじめてもいる。にも関わらず、今後GoogleがGDPR戦略に何か変更を加えると、全員が予期せぬ影響を受けることになるだろう。

2. パートナー間の信頼回復には時間がかかる

GDPR施行への備えについて、メディア業界で唯一共通していた行動パターンは先延ばしだった。準備段階もいよいよ最後の駆け込み時が近づいてくると、企業の多くは、サプライチェーンのなかでアップデートされた契約書に喜んでサインをする――圧力に屈してサインを了承した――パートナーに法的義務の負担を負わせようとした。

クライアントは、エージェンシーがリスクを負ってくれることを望んだが、エージェンシーはパブリッシャーがそれを負うべきだと主張した。そしてパブリッシャーは、厄介な問題で大手企業を相手にしているアドテクベンダーに同じことを期待した。一方パブリッシャーは、グループ・エム（Group M）やピュブリシス（Publicis）、Googleからの圧力を感じていた。彼らは規模を利用して、自社の課題をパブリッシャーに押しつけていた。Googleが自社のプランについて事前警告することに関してパブリッシャーやほかのベンダーへの配慮を欠いたことで、その動機について深い疑念を生むことになった。

欧州インタラクティブ広告協会（IAB Europe）が、完璧からはほど遠いにせよ、独自の業界標準を策定・採用しようとしていることをめぐる議論は、パブリッシャーとアドテクベンダーが互いの信頼を学び直すための練習問題になっている。

3. 当局の取り締まりは始まったばかり

GDPR発効してからの6カ月間、規制当局はとても静かにしていた。が、その後、罰金や警告が嵐のように襲ってきた。英国の規制当局である情報コミッショナー局（Information Commissioner’s Office、以下ICO）はFacebookなどの企業に重いペナルティーを科した。Facebookは、ケンブリッジ・アナリティカ（Cambridge Analytica）によるデータ不正流用スキャンダルにまつわる件で、50万ポンド（約7200万円）の罰金を科すという警告を受けた。ウーバー（Uber）もまた、サイバー攻撃の最中に顧客データを保護する対策をしなかったとして38万5000ポンド（約5300万円)の罰金を科せられている。ただし、どちらもGDPR発効以前の罰金であり、データ保護法（Data Protection Act）のより寛大な条件の下で科されたものだった。2019年はこんな程度ではすまないだろう。

フランスのデータ保護機関である情報処理及び自由に関する国家委員会（Commission nationalede l'informatique et des libertés：CNIL）は、位置情報を利用するアドテクベンダー厳しく非難し、フィズアップ（Fidzup）やティーモ（Teemo）、さらに11月にはベクチュアリー（Vectaury）といったアドテクベンダーに対して公開警告書を出して、大きな注目を集めた。罰金は科されていないが、ベクチュアリーのような企業にコンプライアンスに従うよう命令が出たことで、現行のアドテクのビジネスモデルのなかには終わりを迎えるものが出てくるかもしれない。

4．「同意したと想定する」戦略は一般的だが危険を伴う

アドテク業界にいる人のなかには、GDPRへの同意を得ることは「ぐらついた幌馬車」だというものがいるが、それには理由がある。パーソナライズされた広告の表示にユーザーが同意したという情報を集め保存する同意管理システムの基準の欠如は、欧州の人々のオンライン体験を散々なものにしてしまった。「同意管理プロバイダー（Consent Management Provider：CMP）」の欠陥のせいで正しいオプトイン率を見ているかどうかわからない、と思っているパブリッシャーもいる。アドテク情報筋によると、80％以上の非常に高いオプトイン率を自慢しているものたちは、コンプライアンスのために対して何もしていない可能性がある。一般的なアプローチは同意を得たと想定することで、通知を受けた後もユーザーが記事をクリックし続けるなら、それは同意が与えられた印と受け取ると解釈することを意味する。だがこれは、規制当局が思いやりのある目を向けてくれないルートだ。

「GDPR施行以来、コンプライアンスに沿う取り組みができていないパブリッシャーが大多数なので、GDPRがパブリッシャーの収益化にどれだけ大きく影響しているかをいうことは難しい」と、あるアドテク幹部は話す（この人物は、たくさんのパブリッシャーをクライアントに抱えていることを理由に、匿名を希望した）。そうは言っても、当局が手の内を見せるまで、パブリッシャーの多くは、抵抗がもっとも少ない道を選ぶだろう。

5. 欧州にいる米国のパブリッシャーにとってよい知らせ

ICOは11月、有料のプレミアムサブスクリプションと引き替えに広告を表示せず追跡も行わないというワシントン・ポストの同意獲得アプローチを激しく批判した。唯一の無料オプションは、読者がトラッキングに同意することを義務づける代わりにセレクトされた記事へのアクセスを認めている。ICO はこのアプローチはGDPRに違反すると判断した。しかし、注目すべきはICOの気の抜けた警告の仕方と、その後のフォロー体制の欠如だ。ICOはワシントン・ポストに書簡を送り、同社の現行のアプローチは法令を遵守していないという指摘をしながら、単に、この警告が念頭に置かれることを「期待する」とだけ書いた。

これは、ロサンゼルス・タイムス（Los Angeles Times）やシカゴ・トリビューン（Chicago Tribune）のような米国のパブリッシャーにとっては吉兆となり得る。どちらのパブリッシャーも、GDPR施行後に欧州サイトを閉鎖している。

Jessica Davies（原文 / 訳：ガリレオ）

　