プライバシー規制が厳しくなることに伴い、エージェンシーは2023年、プライバシー対策を強化する必要がある。
クリーンルーム技術であれ、プライバシーチームの設置であれ、メディアエージェンシーは(米国の)州単位の新しい規制に対応し、消費者保護の取り組みを世界展開する必要に迫られている。消費者プライバシーの規制に関しては、米国は欧州連合(EU)に後れをとっているが、2023年はカリフォルニア州からコネチカット州まで、いくつかの州で独自の法律が施行される予定だ。
米国広告業協会(4A’s)のメディア・テクノロジーおよびデータ担当エグゼクティブバイスプレジデントを務めるアシュウィニ・カランディカー氏は、「プライバシーはとても一般的な言葉だが、あなたのビジネスは何か、あなたは何をしているか、どのように適用したいかによって、さまざまな意味を持つ」と話す。「世界的に見ると、ポリシーの適用は国、大陸、地域、マーケターによって異なる」。
Advertisement
一方、EUの一般データ保護規則(GDPR)はプライバシー侵害の取り締まりを続けている。欧州委員会は近い将来、取り締まりを強化するため、GDPR関連の調査と対応を2カ月ごとに共有することをEU加盟国に義務づける予定だ。たとえば、欧州委員会は1月、アイルランドに働き掛け、メタ(Meta)のデータ処理に関する罰金を3040万ドル(約40億8000万円)から4億2000万ドル(約563億8000万円)超に引き上げている。
プライバシーに関する専門知識の構築
一部のエージェンシーでは、法律やプライバシーに関するサポートが必要になっている。いくつかの大手持株会社では、データチームやプライバシーチームの人材を追加採用し、この分野により多くのリソースを割いているとカランディカー氏は説明する。
「また、これらのテーマについて、外部の専門家が外部の相談役を求めることも多くなっている」と同氏は話す。「持株会社だけでなくあらゆる規模のエージェンシーが、このテーマにリソースを割き始めている。なぜなら今や、あらゆるビジネスを行ううえで重要だからだ」。
IPG傘下のUMワールドワイド(UM Worldwide)で米国担当最高市場責任者を務めるステイシー・スチュワート氏が以前、DIGIDAYに語ったように、消費者はCookieによってオンラインでどのように追跡されているかの理解を深めている。そして、プライバシー法の増加に伴い、UMが2020年に最高プライバシー責任者を採用し、顧客ごとにプライバシーリードを置き始めたのは理にかなっているとスチュワート氏はいう。同氏は、法律が進化するほど、より多くのエージェンシーが法務とより緊密に連携する必要に迫られると考えている。
UMワールドワイドの最高プライバシー責任者であり、コンプライアンスとクライアントサポートを担当しているアリエル・ガルシア氏はビジネスサイドの一員として、自分の役割はプライバシー、メディアエージェンシーという2分野を融合することだと表現する。そして、ますます多くのエージェンシーが、プライバシー担当部門を新設したり、製品チームやアカウントチームにそうした役割を組み込んだりするようになっているという。
「エージェンシーによって趣が異なる」とガルシア氏は話し、「いずれにせよ、規制をよく理解し、その動向を追いながら、アドテクやデータの流れも理解する人材が必要だ(中略)つまり、2つのスキルの融合が必要ということだ」と続けた。
また、UMは最近、クライアントのニーズに注力するため、クライアントごとにプライバシー担当者を置く取り組みも拡大している。ガルシア氏によれば、プライバシーを追跡する中心的なチームを持つだけでなく、クライアントをサポートするため、分野を超えた「基礎的な能力」を構築することが最終目標だという。
消費者ファースト
プライバシー規則は消費者保護を中心に置いている。エージェンシーは規則の急速な変化に適応し、消費者の安全を優先する準備が必要であり、さもなければ、規則に違反し、クライアントの信頼を失う恐れがある。
プライバシーとデータの専門家で、セキュリティ分析企業オペーク・システムズ(Opaque Systems)のパートナーシップ担当バイスプレジデントを務めるマーク・エイルズワース氏は、もはやプライバシー規則を守るだけでは不十分だと考えている。また、企業はデータの取り扱いミスを減らすことに注力し、「規則や法律を守るだけでなく、消費者のプライバシーを守る受託者になる必要がある」と説明する。
コミュニケーションのすべての地点でオプトアウトと消費者の同意を尊重することに加えて、クライアントとプライバシーポリシーのリハーサルを行うことをエイルズワース氏は推奨している。また、エージェンシーによっては、四半期ごとにレビューを行うこと、当事者間で責任の所在を明確にすることも有効だという。「オプトアウトを記録、認識、尊重する責任は自分自身にあると考えるべきだ。必要な変更をパートナーに任せてはいけない」。
また、子どものオンライン保護や個人情報、機密情報のプライバシーに関する規制が米国政府で進行しているため、ガルシア氏は米連邦取引委員会(FTC)の動きを注視していると述べている。「私たちはそれを定期的に見ている」と同氏はDIGIDAYに語る。「米国では、FTCが声高に、積極的に、野心的に、最も有害とされる慣行に照準を合わせている。彼らは不公平で不正な慣行を取り締まる権限を持ち、非常に広い視野で見ている」。
州によって異なる規制
2023年も引き続き、ユタ州からバージニア州まで、米国のいくつかの州がさまざまなデータ保護法を施行することになっている。これらが具現化してくれば、エージェンシーとそのクライアントは地域差を素早く調査し、それが各地域の広告業務に与える影響を理解する必要がある。さらに、既存のGDPRと米カリフォルニア州消費者プライバシー法(CCPA)にも準拠する必要がある。
「私たちはエージェンシーと積極的にやりとりし、州単位でどのように対処するかを議論するだけでなく、(議員との)ミーティングも行っている(中略)政府がどのように拡大しようとしているかを本当の意味で理解するためだ」とカランディカー氏は話す。
つまり、規制の変更を常に把握し、内容を確認するとともに、ポリシーの内部レビューを定期的に行うことが重要だとエイルズワース氏は補足する。「プライバシー規則のビジネス適格基準は州によって大きく異なる。そのため、企業は成長とともに、各州の要件に対応し続けることが重要だ」。
たとえば、メディアエージェンシーのグッド・アップル(Good Apple)は、規制が厳しく、ターゲティングをやめなければならない州の医療・製薬クライアントと仕事をしている。メディア担当バイスプレジデントのヒュン・リー・ミラー氏によれば、米国外では、ターゲティング規制がさらに厳しい場合もあるという。
「プライバシーにとても敏感になる必要がある」と同氏は話す。「(私たちは)そのようなアプローチで、業界で起きていることに適応している(中略)業界は消費者ファースト、プライバシーファーストの時代へと突入している」。
最も新しい概念を取り入れているのはCPRA
カリフォルニア州プライバシー権法(CPRA)とCCPAへの対応を進めているエージェンシーにとっては、ほかの州の規則があまり負担にならないことは朗報だ。ガルシア氏によれば、クライアントの大多数は、米国で最初に制定されたデータ保護法であるCCPAを中心に議論しているという。
「ひとつに対応すれば、ほかの州法にも対応できる」とガルシア氏は話す。「CPRAは微妙な部分があまりにも多く、最も厳しいとは断言できないが、間違いなく、最も新しい概念を取り入れている」。
Antoinette Siu(翻訳:米井香織/ガリレオ、編集:島田涼平)
