最近、CMOたちは神経過敏になっている。その一因はデータプライバシー規制当局だ。世界的な景気後退の脅威がマーケターたちの安眠を妨げているのは確かだが、データプライバシー侵害でニューヨーク・タイムズ(The New York Times)の見出しを飾り、名指しで恥をかかされるのはまさに悪夢だ。
しかし、つい最近まで、そのような悪夢が現実になることはなかった。つまるところ、データ関連の失敗で見出しを飾ったのは広告主ではなく、プラットフォームとアドテクベンダーだったからだ。
時間は相変わらず、皆をばかにしている。今回は徐々に、そして突然に。
Advertisement
9月以前は、マーケターにとって、データプライバシー侵害を回避することは、いくつもある優先事項のひとつにすぎなかった。それが今や緊急課題だ。9月だけで、有名な広告主であるジロー(Zillow)、エクスペディア(Expedia)、チューイ(Chewy)、ロウズ(Lowe’s)が、米国におけるプライバシー侵害で訴訟を起こされている。
人々のデータをもてあそぶ広告主が訴えられることなどあるのだろうかという疑念が存在するとしても、今、その疑念は急速に薄れている。顧客のデータを許可なく販売したとして、120万ドル(約1億7800万円)の罰金を支払うことに同意したセフォラ(Sephora)の例がある。
ウォール・ストリート・ジャーナル(The Wall Street Journal)によれば、特にこの罰金によって各社では、データ使用によって同様の状況に陥っていないかどうか、法務担当者がシニアマーケターに問い合わせるきっかけになったようだ。その後、データプライバシーポリシーの更新からデータ倫理フレームワークの刷新まで、さまざまな動きがあったことは驚くに値しない。むしろ機運が高まっているように見える。DIGIDAYが取材した複数の関係者によれば、マーケターはデータプライバシー計画のこうした変更について、コンプライアンスを万全にするためというより、受託者責任の問題と捉えている。マーケターたちは本当に見出しを飾りたくないようだ。
自社テクノロジースタックを見直す各社
同意管理プラットフォーム、ソースポイント(Sourcepoint)の最高執行責任者、ブライアン・ケイン氏は、「この2カ月ほど、米国でデータプライバシー法が改正されるのに先立ち、自社のテクノロジースタックを見直そうとしている企業から多くの引き合いを受けている」と話す。
ソースポイントのような企業は、セフォラが罰金を科されたかどうかにかかわらず、もともと需要が増加していた。データプライバシー規制の差し迫った大きな変更について、極めて重要な解釈と視点を持っているためだ。実際、2023年初には、データプライバシー規制は様変わりする。カリフォルニア州消費者プライバシー法(CCPA)の強化版であるカリフォルニア州プライバシー権法(以下、CPRC)が施行されるタイミングだ。そして、CPRCが施行されれば、法律違反で訴えられた企業に与えられている30日の是正期間も廃止される。是正期間がないということは、カリフォルニア州司法長官事務局は、すぐにも法執行できるということだ。セフォラの罰金は、それが何を意味するかをマーケターに思い知らせた。
データプライバシー技術を専門とするロッカー(LOKKER)のCEO、イアン・コーエン氏は「CEOが規制当局から受けたばかりの電話について電話をかけてくるという現実が、多くのマーケターにとって現実味を帯びてきた」と話す。「データを大量に集められるからといって、そうするべきではないという考え方が、今、多くのマーケターにとって真実のようになっている。多くのマーケターにとって、今は平時ではない」。
公平を期すために言っておくと、マーケターはいつでもプライバシーに真剣に取り組んできた。しかし、振り返ってみれば、それほど真剣ではなかったのかもしれない。この数年間に行われた監査、ポリシー変更、データパートナーシップの量がそれを物語っている。それでも、法律的に可能なだけでなく、倫理的に正しいことを行うためにできる努力はもっとある。規制当局による法執行が、それが消費者の擁護者と位置づけられるようなキャンペーンを伴う場合はなおさらだ。さらにパンチ力がある。
データコントロールを専門とするケッチ(Ketch)のCEO、トム・チャベス氏は、「一部のマーケターは、使用するデータが責任ある方法で収集されたものであり、消費者に対して十分な透明性とコントロールが実現されていることを確認するため、データに目を光らせている」と説明する。「彼らはベンダーとの契約を見直しているが、それ以上に、プライバシーを保護し、個人情報に関する本人の同意が必須になっているシステムやインフラを使おうとしている」。
サードパーティを監査するマーケターたち
広告主にとって、かつては収益性のある資産だったデータが、今やプライバシーに関する債務と化している。この点で、データプライバシーはESG(環境、社会、ガバナンス)のようなものだ。広告主は自社のポリシーだけでなく、ベンダーのポリシーも報告しなければならない。資金や業務に関する意思決定の共通項として、いまだに個人やオーディエンスではなくチャネルやプラットフォームを重視しているマーケターにとっては、決して簡単なことではない。
確かに、個人情報の保護は進んでいるが、多くのマーケターはコンプライアンス違反になる可能性のある慣行を続けている。州や地域によって異なるデータプライバシー法が、自社が所有、運営するデジタルプロパティーのデジタルID収集にどう適用されるのかについて、マーケターたちはほとんど知識もなければ、理解もしていない。デジタルメディア関連のコンサルティングを手掛けるTPAデジタル(TPA Digital)で英国法人の代表を務めるダン・ラーデン氏は、「大手ブランドのウェブサイトでは、たとえば、ユーザーの同意なしにデータ収集が行われているなど、コンプライアンス違反の慣行が多く見られる」と述べている。
しかし、マーケターの監査証跡には続きがある(忘れないでほしい。マーケターの仕事は広告だ)。マーケターが自社サイトに直接組み込むサードパーティサービスもサードパーティを利用しており、企業にとって、これらはフォースパーティ(第4の当事者)となる。フォースパーティもほかのソフトウェアを使用しており、企業にとって、これらはフィフスパーティ(第5の当事者)になる。この連鎖が20層以上に及ぶこともあり、過剰な供給は指数関数的に増えていく。
世界広告主連盟(WFA)のシニアデジタルポリシーマネージャー、ガブリエル・ロビテイル氏は、「マーケターは自社サイトで使われているタグやサードパーティの監査について考えているだけでなく、他社がそのデータをどのように収集、使用しているかを監査し始めている」と話す。「彼らはサードパーティを監査している。しかし、公正な立場で言えば、その動きは遅々としている」。
しかし、この種の監査が勢いを増すことは間違いないだろう。データの出どころを把握することは、はるかに長いプロセスの始まりにすぎない。そのデータを保持するかどうかも同じくらい重要だ。
「同意とコンプライアンスはイコールではない」
プライバシーコンプライアンスプラットフォーム、コンプライアント(Compliant)のCEO、ジェイミー・バーナード氏は、「自社のデータで満たされた湖の水を飲むのであれば、それが安全であることを知りたいのは当然だ。問題は、デジタル広告の場合、そのデータは1000以上の水源から供給され、湖に流れ込むまでに、いくつもの場所を経由していることだ。そのため、データの出どころはすぐわからなくなる」と話す。「同意管理プラットフォームは重要なツールだが、決して特効薬ではない。同意とコンプライアンスはイコールではない」。
明るい兆しはまだあまりない。マーケターは厳しい決断を迫られることになり、それらは多くの場合、パーソナライズド広告の仕組みに関する自身の考えと矛盾するものになるだろう。しかも、経済が低迷するなか、四半期ごとに目標を達成しなければならない。それでも、ベストプラクティスと法的要件の境界線をまたぐデータプライバシー計画のギャップが縮小されるのは歓迎すべきことだ。次に来るのは、オンラインメディアの時代における消費者保護へのより健全な注目であるべきなのだ。
Seb Joseph(翻訳:米井香織/ガリレオ、編集:黒田千聖)
