GDPR施行から5年、米広告業界を取り巻くプライバシー規制の現状は

EU一般データ保護規則（General Data Protection Regulation：以下、GDPR）の施行5年目を迎える数日前の2023年5月22日、Facebookを運営するメタ（Meta）が、欧州でまた新たなプライバシー侵害で罰金を科された。

こうした業界における著名企業が、EUのユーザーデータを米国に転送する際に取り扱いを誤ったとして、（今回はアイルランドのデータ保護当局から）12億ユーロ（約1793億円）の罰金を科されたことは、すべてのアドテク事業者がこのような法律の順守を最優先しなければならないという事実を明確に示している。

こうしたことを背景に、米国の規制当局は国内の議員に働きかけ（明白な影響力は言うにおよばず）、複数の州にまたがる個人情報保護法の制定をめざしている。この法は、現在施行されている無数の州法よりも優先される可能性がある。

目的は連邦全体に適用される法的強制力

そうした法律が正式に草案化されるのはまだ先の話だが（最も進展している取り組みは、米国データプライバシー保護法[ADPPA]）、業界の主要プレーヤーは米国の連邦議会に向かう道を切り開こうとしている。

この取り組みの主な目的は、パッチワーク的な個々の州法を順守する必要をなくすため、EUの状況と同様に、連邦全体に適用される法的強制力のある単一のプライバシー要件を作ることにある。

米国全体を網羅する連邦のプライバシー法がないため、カリフォルニア州、コロラド州、コネチカット州、ユタ州、バージニア州などでは、急速に進展するデジタル時代のプライバシーを適切に保護するためにより強固な法律を求める大衆の声に、議員たちが応えようとしている。

コンプライアンス実現を急ぐIAB

一方、IAB（インタラクティブ広告協議会）とその姉妹組織であるIABテックラボ（IAB Tech Lab）の幹部は、さまざまなイニシアチブを通じて、早期のコンプライアンス実現とロビー活動の先頭に立とうとしている。

このような努力は、IABの「グローバルプライバシープラットフォーム（Global Privacy Platform）や、欧州の透明性と同意のフレームワーク（Transparency & Consent Framework）の後継とされるマルチ・ステイト・プライバシー・アグリーメント（Multi-State Privacy Agreement）、アカウンタビリティ・タスクフォースなどのイニシアチブを通じて行われている。

IABの別の情報筋は、議会では連邦プライバシー法制定に対する超党派の支持があり、関連する法案が米下院でまとめられていると報告している。このような法律が成立する現実的な時期は、2024年の選挙後だと予測する人もいる。

IABテックラボのCEOであるアンソニー・カツール氏は米DIGIDAYの取材に対し、「同団体の取り組みの一端について語り、教育目的でこのような法案の主要な支持者（同氏が会った個々の政治家の名前は伏せた）に会うなどしている」と述べた。

「グローバルなメディア企業であれば、クロスコンプライアンスという悪夢に直面することになる。インターネット時代には、本質的に多くの企業がグローバルに活動している（中略）技術、法律、消費者体験の観点からすると、これは悪夢だ」と同氏は言う。

バランスを取りながら進める

カツール氏によると、ワシントンD.C.の政策立案者との会話の多くは、SMB（中小企業）層の経済振興を支持する業界とともに、消費者のプライバシーとデータセキュリティのバランスを取りながら、デジタル広告経済の妨げにならないようにすることが中心になっているという。

関係する政治家との対話の内容について質問されたカツール氏は、「州の権利と（連邦法の）専占の問題は、激しく議論される問題だ」と付け加える。「連邦法がCCPA（カリフォルニア州消費者プライバシー法）より優位に立つことになり、カリフォルニア州はそのことをあまり喜ばないだろう」。

アルファベット（Alphabet）、Amazon、メタといった業界の巨大企業のロビー活動力は、一般および業界関係者のあいだで広く認知されており、嫌われているわけでもない。そして、これがパブリッシャーの幹部、とくにアドテクを規定のガイドラインの範囲内で機能させるという本質的で細かい作業を任されている広告運用の関係者を活気づけ、重要な政治家と会えることを期待して、連邦議会で積極的に動き回る原動力になっているのは間違いないだろう。

メディアオーナー専門のコンサルタントであるロブ・ビーラー氏は、業界の実情を議員たちに教えるためにパブリッシャーの代表団を引き連れて議会を訪れる計画をDIGIDAYに説明してくれた。これには、とくに大手テック企業のような特質を持たない業界が、主要な意思決定者に取り入ることを期待する声もある。

同氏は次のように語る。「我々は、連邦レベルのプライバシー法を持つことの価値と州ごとの法の価値について、彼らと議論したい。我々にはGDPRでの経験があるため、カリフォルニア、マサチューセッツ、コロラドの各州のレベル（の議員）に対してその話をするつもりだ」。

GoogleとAppleの問題

この分野の連邦法がないなか、一部のベンダーは業界関係者がサプライチェーンのプライバシーコンプライアンスをより適切に確立できるよう支援しようとしており、ピクサレート（Pixalate）は、マーケティング担当者やパブリッシャーが、パートナーが米国内の要件を満たしているかどうかを把握できるようなサービスを準備していると見られている。

同社CEOのジャラル・ナシール氏は、「AppleとGoogleがそれぞれのアプリストアで規定されたプライバシー要件を実施できずにいることが、これらの問題の一部をさらに深刻化させている」と主張する。

また、「アドテク業界は米国各州のプライバシー法が施行された場合に、差し迫った混乱に対処する能力がない」と同氏は述べ、「GoogleとAppleは、自社のアプリストアのポリシーを実施できず、広告詐欺や違法な商業監視が横行するモバイルアプリ広告のエコシステムを生み出し、アドテク企業と消費者の双方を干上がらせているのだ」と警告している。

［原文：As GDPR turns 5 years old, the U.S. ad industry seeks to peddle influence］

Ronan Shields（翻訳：藤原聡美／ガリレオ、編集：島田涼平）