知らぬ間に奪われるデータ…パブリッシャーが知るべきデータ管理の現在と未来。【Publisher Salon_Vol.2】

写真拡大 (全12枚)

読者のコンテンツ消費環境が大きくかわりゆくデジタル大変革期に、パブリッシャ―は何を考え、何をすべきなのか?このテーマについて議論し、情報交換をする場として、「Publisher Salon」がメディア関係者のなかで定期開催されている。

>>第1回の様子はこちら。

第2回となる今回は、『株式会社DataSign』代表取締役の太田祐一氏をお迎えし、「データは誰のものなのか?知らずに奪われるデータを守れ!」をテーマに対談。

テクノロジーの変化とともに、取得できるデータそのものの幅やクオリティが向上し、データを使って出来ることも増えた一方で、データの在り方が複雑かつ煩雑化したことで、データがどう使われ、どこに出る可能性があるのか、ということをメディアの担当者が把握せずにいると、意図せず重要なデータが“奪われる”という事態が生じ得る。ウイルスへの感染や不正広告の掲載などの問題も、メディアにとって他人事ではないだろう。そんな状況下パブリッシャーにとっても、データの在り方を十分に把握し、起こり得るリスクに備えることが喫緊の課題となっているのではないだろうか。

パブリッシャーがいま向き合うべき、そして知っておくべき事象とその解決の一手について、詳細は以下、会話形式でお届けする。

(C)FUTURUS

登壇者紹介

太田 祐一 氏(DataSign株式会社 代表取締役)

日本初のDMPの開発に携わり、企業がパーソナルデータを活用するためのプロダクトを複数開発。プライバシーに配慮したパーソナルデータ活用を推進し、経済産業省の公表するベストプラクティスとして掲載される。データ活用の透明性確保と、個人起点での公正なデータ流通を実現するため、株式会社DataSignを設立。

モデレーター:原 直志 (Data Tailor株式会社 取締役)

立命館大学法学部卒業後、USEN・インタワークスを経て、2010年にターゲッティング株式会社(現:INCLUSIVE)に入社。
現在は、データを起点として、様々な角度からコンテキストを紡ぎ出し、価値あるコンテンツを最適な方法で、生活者/読者に届け、価値ある情報を世の中に広めるということをミッションとし、コンテンツ・データを強みとしたマーケティング支援を実施。

“次世代の石油”ともいえるデータは、どう奪われるのか。

原:データって、次世代の石油とも言われていますよね。パブリッシャーや代理店、もちろん広告主サイドも、みなさん、(データの)重要性には気がつかれているかと思います。ただ、そのデータがどうやって集められていて、どのように活用すればいいのか、きちんと理解できているのは、ごく一部の方々に限られてしまうのではないでしょうか。

太田:残念ながらそうだと思います。

原:今回はそのデータの取り扱い方について、ぜひ教えていただければと思います。よろしくお願いします。

(C)FUTURUS

安易にタグを設置してしまうのはリスク

原:メディアを運営していると、広告代理店から、デジタルマーケティングツールを設定するために、『Google Tag Manager(Google社が提供する、様々なタグを一元管理出来るツール。以下、GTM)』のJavaScriptタグ(以下、JSタグ)の設置をお願いされることがあります。このJSタグを言われるがまま、サイトに設置してしまってよいのでしょうか?

太田:何もチェックしないまま、GTMをサイトに設置するのはかなりリスクが高いです。みなさんデータ活用のために、いろいろなツールを導入されますよね。このとき、そもそもJavaScriptで何ができるのかを知っていて、そしてサイトに設置するJSタグが、どのような挙動をして、どういった事業者と通信を行うのかを理解していることが必要です。

原:メディア運営者の方でも、JSタグで何ができるのかきちんと理解できておらず、どのような危険があるのか正確に把握できていないことも多いと思います。またタグの実装などについては、開発環境の管理体制も問題になってくるのではないでしょうか。

太田:メディアでもECサイトなどでもそうですが、自社のサーバで会員IDなどの個人情報を格納されていますよね。こういった情報はアクセス権限を厳しく設定して管理されていると思います。ただ、こういった個人情報を管理している部署と、マーケティングの担当者はほとんどの場合、違っています。そのため、マーケティングの担当者が、サイトにマーケティングツールのJSタグを設置すると、管理権限を設定しているサーバとは異なる場所で、JavaScriptが通信を行うことになります。

(C)FUTURUS

DMPなどのツールを外部委託先として利用し、その運営事業者と通信を行うことは全く問題ありません。ただ、ツールの導入にともなって、それ以外の第三者との通信が発生する場合があります。よくメディア運営者の方が悩まされている、ウイルスへの感染や不正広告の掲載などもこの第三者との通信が原因で起こります。

原:不正広告の掲載などは目視で確認できるので、意図しない通信が行われていることが分かるのですが、目に見えない範囲でも、意図しないデータの通信が行われている可能性があるのでしょうか。

太田:おっしゃる通りです。たとえば、自社のサイトにGTMのタグを設置して、GTMから、広告配信事業者のタグを読み込むようにしたとします。広告配信事業者が、外部のデータマーケティング会社のデータを使って広告の配信を行っている場合、そのデータマーケティング会社とも、通信を行うことになります。このようなケースで、第三者と行う通信について、自社のサーバ側で感知し、状況を把握することは難しいです。

原:メディアサイドとしては、あくまでもGTMに広告配信事業者のタグを入れた認識しかないわけですよね。

太田:そうですね。このケースのようによく知られた事業者間で行われるぶんには問題がないのですが、実際には、全く知らない海外事業者と通信が発生している場合も多いのが現状ですね。

“想定外”な挙動をするタグを見分けるのは困難…「気付かぬうちに」の危うさ

原:これって、メディアの担当者からすれば、“広告配信のためのタグを設置しただけ”という認識だと思うのですが、タグを設定するタイミングで認知することはできるのでしょうか。

太田:エンジニアがタグの中身を確認すると、設置したJSタグからどのような事業者と通信を行っているのかを把握することは可能です。ただ、マーケティングの担当者がタグを設置するタイミングではわからないですね。

原:メディア担当者の方とお話していると、ウイルスに感染してしまったり、不正広告が表示されてしまったりということがよくあるのですが、広告配信事業者との通信以外のところが発生の原因となる場合もあるのでしょうか。

太田:そうですね。不正広告の表示のように、見えている範囲だとまだよくて、悪意をもった事業者のなかには、何も表示されないけれどデータだけ取り出してマネタイズをしている、というケースもあり、そうした場合には不正事業者の介入に気づくことすら困難になってしまいます。こうした、メディア側が感知しないところで、データを取得されているケースがとても多いのではないかと思っています。データの通信に関わるすべてのプレーヤーが悪意をもっているわけではありません。ただ実際にデータの収集をメインに行う、“データアグリゲーター”と呼ばれる事業者も存在しているように、データの扱い方はより専門的かつ複雑多様化しているのです。

原:ということは、不正広告の表示など、メディアの担当者の目に留まるのは、“氷山の一角でしかない”ということなのですね。

(C)FUTURUS

身近なツールでもデータは収集されている

太田:たとえば、FacebookのいいねボタンやTwitterのツイートボタンを、まとめて表示させるツールを無料で提供している事業者が存在するのですが、その事業者の利用規約を見てみると、「このツールを使用することで、そのメディアのすべてのデータがツールの運営元となる企業のものになる」ということが記載されているんですよね。ちなみに、日本ではおよそ2,000社がそのツールを利用しています。

原:それって英語でしか書かれてないんですよね。

太田:そうなんです。Facebookのいいねボタンを設置しようとすると、制作会社に発注しないといけないですよね。それをツール導入のたびに依頼しないといけないのは面倒ですから、このようなツールを導入することになるわけですね。そうすると、そのツールを経由して、メディアのもつデータが、担当者の感知しないところで取得され、利用されているという状態になってしまいます。

原:これはその事業者が悪意をもっているとかどうかではなくて、メディアの担当者が利用規約をきちんと精査していないがために、予期しないところでデータの通信が行われているということですよね。ちなみにこのようなケースだと、規約上にデータを収集して、そのデータを使用することが明示されているので、ツールの運営会社が、そのデータを利用者の競合企業に販売していたとしても違法ではないのでしょうか?

太田:違法ではないです。

原:なるほど……何も危機感を持たないまま、コストカットのためにツールを利用すると、競合会社に自社のデータが流出してしまうこともあり得るのですね。

メディア担当者が今知るべき、これからのデータ管理のあり方とは?

原:では、そういった第三者との通信については、どのように管理していけばよいのでしょうか。

太田:DataSignでは、ウェブサイトをスキャンして、どういった事業者と通信が発生しているのかを一覧化できるサービスを展開しています。企業のホームページやメディアのプライバシーポリシーページの管理をするためのサービスになりますね。

(C)FUTURUS

これまで、担当者の預かり知らないところで、自社のデータが使用されているという現状についてお話してきました。これ以外に、プライバシーポリシーについて何も無関心であることは、コンプライアンス的にも非常に問題があります。某大企業の例では、自社のプライバシーポリシーで公表している内容で、4事業者のオプトアウトページへの遷移を作っていました。ただスキャンをしてみると、実際には19の事業者とデータの通信していることが分かりました。なかには、海外のよく知らないデータ会社も含まれています。

このように、ユーザに対しデータのやりとりがあることを公表している事業者数と、実際に通信を行っている事業者数に乖離が生じてしまっています。つまり、本来設置すべきオプトアウトへの遷移を設置できていない状況になってしまっていて、プライバシーポリシーの点から非常に由々しき事態です。

原:利用しているツールの事業者については対応が出来ていたとしても、その裏側で第三者と通信が行われている場合には、把握が出来ない故に生じる問題ですよね。

太田:今までは、「仕方ないよね」で済まされてしまっていたのですが、近年徐々に風向きが変わってきていると感じています。実際総務省の方からも、このプライバシーポリシーの件で問い合わせも受けています。

原:では、これから特に問題化されていくということですね。ちなみにこの変化については、EU圏でのGDPRの流れが、日本にも到来しているということなんでしょうか?

太田:そうですね。GDPRは、cookieのIDなどもパーソナルデータとして取り扱われ、規制の対象となる厳しい制度です。日本は、ヨーロッパとパーソナルデータを含む通信を行う場合、簡単な手続きのみで制度をクリアできる十分性認定を受けているため、ヨーロッパほど厳しくは取り締りはされていません。ただ、ヨーロッパ側から、日本の個人情報の範囲が狭いことはこれまで何度も指摘をされていて、今後ヨーロッパ側の基準に合わせていく必要性が出てくるのではないかと思っています。

原:これまで、日本ではまだGDPRはどこか対岸の火事といいますか、そこまできちんと対策しないといけない問題と認識されていなかったように思うのですが、これからデータを使ってビジネスを運営していくにあたって、ヨーロッパと同程度と行かないまでも、このプライバシーポリシーについて今まで以上に厳しく見られていく世の中になっていくんでしょうか。

(C)FUTURUS

タグ一つでパスワードが外部から閲覧可能になった例も

原:少し話を戻して、ウェブサイトに何かしらのツールを導入するためのJSタグを設置した場合、そこからどういった通信がされていて、どのフェーズで悪意をもった事業者が介入するのか、もう少し詳しく教えていただきたいです。

太田:少し技術的な話にはなってしまうのですが、担当者自身はJSタグを1行追加しただけであったとしても、このJSタグが他のJSタグを呼びだすことができるんですね。こうしてJSタグの呼びだしの連携が重なっていくうちに、悪意のある事業者がまぎれこんでしまって、データが取られてしまっているという可能性があります。

原:サイトの運営者がJSタグを設置した後からでも、裏側で他のJSタグを呼びだし、データを取得するように設定を変更することはできるのでしょうか。

太田:可能です。具体的な例でいうと、フォームの入力情報や位置情報を取得することが多いです。他にも1st Party Cookieをそのまま取り出しているケースもありますね。

原:1st Party Cookieを取りだすというのはどういうことでしょうか。

太田:もともとCookieとは、サイトへログインした場合に、ログインしたユーザが本当にその人であるかどうかを確認するための機能です。1st Party Cookieを取得すると、ユーザー単位で割り当てられているCookie IDを閲覧することができます。これが悪用されると、なりすましログインなどが発生します。

(C)FUTURUS

原:メディア運営者としては、自社のデータ流出を防ぐ以外に、ユーザへの被害を防止するという目的でも放置できない問題ですよね。この対応がきちんとできていないとどうなるのでしょうか。

太田:某金融機関例だと、ログインIDやパスワードを入力するページに、マーケティングなどで使用するJSタグが設置されていたために、ログインするためのIDとパスワードが閲覧できる状態になってしまっていたことがあります。(現在は解消されてますが……)

原:これは一個人としてもかなり怖い状況ですね……。

太田:しかも、これは広告が表示されるわけでもありませんから、データを取得されていても分からないんです。

原:こういった事態を防ぐためにも、自分たちで制御したり、データのやり取りを認知できる事業者のJSタグしかサイトに設置しない、といった対策が必要なのですね。

太田:おっしゃる通りです。メディアの担当者が、データの収集や活用方法についてきちんと理解をしていないまま第三者のツールを入れると、予期しないところでデータが持っていかれたりしてしまうんでうよね。よくクレジットカード番号が流出してしまって、知らないうちにカード決済されていたなんてことがありますが、これもJSタグ経由で情報を収集されることで起こってしまう事象のひとつですね。

あるECサイトでは、クレジットカードの入力フォームの内容が第三者に流出してしまっている状態になっており、事態の発覚に1年以上もかかってしまったというケースも実際にありました。

原:これはもう、一担当者がどうこうという問題ではなくて、会社として、どういった管理体制を築いていくのかを見直していかないといけないですね。

太田:そうですね。ほかにも、設置したJSタグが目的のデータ通信しか行わないように設定することも可能です。このあたりはエンジニアと相談しながら、対策を練る必要があります。

昔はCookieも個人情報ではなかったのですが、Cookieと会員データとを紐づけて企業がマーケティングを行うようになると、やはりCookieも個人情報として扱わないといけないですし、そもそも自分たちのデータを必要以上に他の事業者に渡さないようにすることは重要ですよね。

メディアのマネタイズのために、ユーザーの利益のために、正しくデータが利活用される世の中になってほしいと願っています!

原:そうですね! メディア運営者としても、データがどういう流れをたどっているのかをきちんと把握して、ユーザから安心してデータを預けてもらえるメディアをつくっていかないといけないなと改めて感じました!

(C)FUTURUS

今回登壇した太田氏が代表取締役を務める株式会社DataSignは、今あるデータの不均衡に変革を起こし、生活者も企業も公正に安心してパーソナルデータを活用できる世界を実現するために立ち上がった。スタートから2年で画期的な2つのサービス『DataSign FE』『paspit』の提供を開始するなど、パブリッシャー向けにも様々なサービス・価値を提供している。

(C)FUTURUS

前回に引き続き、盛況のうちに終えた「Publisher Salon Vol.2」。今後も「Publisher Salon」の動向を探りつつ、様々な切り口から「メディアの未来」について追っていきたい。