ほとんど取り締まられない GDPR 。目的はプライバシー保護の「意識向上」だったのか

DIGIDAY

5月25日をもって、EU一般データ保護規則(以下、GDPR)がEUで施行されてからちょうど5年になった。規制当局の取り締まりはそれほど厳しいものではなく、何が許されて何が許されないのか広告会社の幹部たちは混乱しプラットフォームは暗い影を投げかける

取り締まりの少なさはどうにも説明できない。実際、アイルランド自由人権協会(ICCL)が欧州データ保護会議(EDPB)の最終決定の記録を調査したところによると、2022年後半までに実施された159件の取り締まり処分の多く(64%)は、単なる戒告にすぎない。もしかしたら、官僚というものは頑張ってもこれが精いっぱいなのかもしれない。

GDPRの取り組みに肩透かしを食らう

2018年に登場した当初、GDPRは一種のプライバシー保護のヒーロー的存在として歓迎された。それは、企業が許可なく勝手にデータを奪い取っていくことがないように、個人データの取り扱いを定めた規則だった。

ところが、それらの規則は解釈の余地を大いに残すようなかたちで、こう書かれていた。「規制当局が市場の啓蒙に取り組み、甚大な被害を引き起こしていると見なされる場合にのみ処分が行われる」。

実際にそうなったが、それは広告市場をよくする方向に向かわせるとは限らないやり方で行われた。啓蒙は「ガイダンスノート」という、一部の広告会社幹部たちにとっては解読不可能に思える指針で終わることが多く(「GDPRコンサルタント」という名の小規模事業が繁盛しているのがその証拠だ)、その一方で行われた取り締まりは、ひいき目に見ても統一感に欠けていた。

ICCLのシニアフェローであるジョニー・ライアン氏は、「GDPRで意味のある取り締まりはとくに行われていない」と単刀直入に評する。同氏の主張の要点はエコノミスト(The Economist)への寄稿記事に見ることができる。

業界から聞こえてくるほかの声も、同様にGDPRの影響(がないこと)に肩透かしを食らっているようだ。匿名を条件に話してもらったある広告会社幹部は、「プラットフォーム各社はやり方をあまり何も変えていない」という。つまり、この5年間は好機の逸失、最低限の改革、プライバシー保護コンサルタント大量発生の時代であったといえる。

1歩進むたびに3歩下がる状況

この見方は単純すぎるかもしれないが、少なくとも方向性としては間違っていないだろう。先日、Facebookの親会社であるメタ(Meta)に12億ユーロ(約1800億円)という過去最高額の罰金が課せられたことが、この主張を裏付ける。

罰金は、Facebookが十分な不正利用対策を講じずにヨーロッパのユーザーの個人データを大量に米国に転送したとして、5月26日にアイルランドのデータ保護委員会が命じたもの。この事案は、罰金そのものがあまり重要ではない(メタの2022年の純利益は230億ドル[約3兆円]を超える)。重要なのは、メタがヨーロッパのユーザーの個人データを米国で保管することをやめなければならないという点である。

違法なデータ移動を行ったとされるメタは、これはデータが危機にさらされているという問題ではなく、これはEUと米国の法律の違いの問題だと主張する。基本的にはそのとおりだ。いうまでもなく、この罰金の決定にどのような意味があるかが完全に見えてくるまでには、しばらくかかるだろう。

メタはおそらく上訴する。また、ヨーロッパと米国の議員たちが「データプライバシーフレームワーク」という枠組みに合意し、メタをはじめとする企業が合法的にEUのユーザーデータを米国に転送できるようになる可能性もある。だが、そうこうしているあいだにも個人データを米国に転送する必要のある企業は、完全にどうしてよいかわからないままだ。

つまりGDPRとは、1歩進むたびに3歩下がっていくように感じる「繊細なダンス」だ。そう考えると、広告に関して期待されていた結果から大きく外れている現状も、なんとなくわかってくるような気がする。

Facebookもメディアエージェンシー各社も、プログラマティック広告も、すべて巻き添えを食らって大きな負け組となるはずだったのが、比較的無傷なまま今日に至っている。GDPR施行前に規制当局の悩みの種であった怪しげなCookieの使用承諾でさえ健在だ。広告主はいまだにCookie――プログラマティック広告に使用するデータを格納する仕組み――がどのように取得されているのかを知らない。ときには、かなりコソコソと行われている場合もある。

業界の基盤は崩れてしまう可能性

ただし、だからといって広告業界にとってGDPRがまったく大したものではなかったということではない。傷跡は誰の目にも明らかだ。

ドローブリッジ(Drawbridge)というクロスデバイスベンダーを覚えているだろうか。同社は完全にGDPRが原因でヨーロッパ撤退を余儀なくされた。バーブ(Verve)をはじめとする、GDPRに対応するための経営資源も知識もない無数の小規模アドテクベンダーも同じで、さらに大手も苦戦している。クリテオ(Criteo)の株価は規制施行までの数カ月間、絶えず流動的な状態だった。もちろん、GoogleのダブルクリックIDも忘れてはならない。クロスデバイスのアトリビューションでエージェンシーが頼りにしていたが、幅広くデータを保護するGDPRの出現で制約されることになった。

それでも、こうしたいざこざが生じることはまれで、その影響も限定的だった。同じことを「透明性と同意のフレームワーク」(TCF)についていうことはできない(オンライン記事を読むときにポップアップ表示されて視界を遮る、Cookieに関する通知を読んでみよう)。

これは、企業(主にはパブリッシャーやアドテクベンダーだが、広告エージェンシーも含まれる)がGDPRに準拠したかたちで引き続きオープンエクスチェンジにおけるプログラマティック広告の取引ができるようにするため、業界で進められた標準化の試みだ。驚くべきことに(あまり驚くべきことでもないかもしれないが)、それは成功しなかった。

欧州IABは、自身が主導したTCFを市場のほかの関係者とともに是正しようとしている。だが、この取り組みは十分ではないかもしれない。判断するのは欧州司法裁判所だ。判断が下されるまで、TCF(そして広い意味ではオークションによって価格がリアルタイムに決められる、オープンエクスチェンジでの広告の買い付け)がこの先どうなるかは予断を許さない。そこに懸念を抱えた広告会社幹部が大勢いるとなれば、業界の大部分の基盤は崩れてしまう可能性がある。

欧州IABのCEOであるタウンゼンド・フィーハン氏は、「GDPRが具体化する『情報と選択』のパラダイムは、オンラインのどのコンテンツやサービスに対しては対価を支払い、どれについては広告との兼ね合いでアクセスできるようにするかをユーザーが決める、最もよい方法であることは間違いない」と話す。「だが、データ保護規制に関する統一的な『黄金律』を策定しても、ユーザーとヨーロッパのデジタル経済にとって可能な限りの利益を実現できる知識やそのほかのリソースが、ヨーロッパの各監督当局にあることも必要だ」。

効果は「人々の意識の向上」

多くの意味で、TCFを巡る騒動は広告業界、とくにバイサイドがいかにGDPRに対応できていないかを示すものだ。可能なところでは個人データの調達、処理、保管に関する基礎的な項目の置き換えや、さらには書き換えも試みられてはいるが、完全な変更の取り組みはまれだ。公平を期すためにいうと、その状況は現在変わりつつあるが、GDPRに直接起因する動きというよりは、二次的な影響によるものである。

「その大部分は、データプライバシー規制がかなり包括的になり始めていて、その結果として顧客重視の側面を強めていることが原因だ」とデータ管理企業のケッチ(Ketch)の最高商務責任者を務めるジョン・スアレスデイビス氏は話す。GDPR施行時にはケロッグ(Kellogg)のデジタル戦略を担当していた。「GDPR以前は、ほんの一握りの人たちが企業の何十億ドル(何千億円)にも上るメディアとデータの投資を管理していた。今はそこへの入り口が開かれ、話し合いに法律顧問やデータサイエンティストをはじめとするほかのスペシャリストが迎え入れられるようになっている」。

GDPRがこの5年でどのようなものになったかを知るには、足し算というよりは引き算をしなくてはならない。何を達成できていないかを示すことによって、何が達成できたかが浮き彫りになるのだ。達成できたことは、人々の意識の向上だ。オンラインでのプライバシーに関する最近の意識は、2018年に比べて高まっている。たしかに、ドイツやイタリア、スペインでは以前から意識は高かったが、英国などではそれほどでもなかった。

アドテク企業のナノインタラクティブ(Nano Interactive)が2000人を対象に行った調査によると、英国の6人に1人はインターネットの閲覧履歴とCookieのキャッシュを毎日削除し、18%がWebサイトのCookieのトラッキング許可を日々オプトアウトしている。決して圧倒的に高いとはいえない数字ではあるが、データプライバシーの問題に対する関心はうかがえる。

「取り締まりのレベルについても、(遵守が)あまりに複雑だという事実にも文句はいえるが、GDPRがなかったら個人は現在よりはるかに悪い状況に置かれていただろう」とプライバシー・コンプライアンス・ハブ(Privacy Compliance Hub)の共同創業者であるナイジェル・ジョーンズ氏は話す。「将来に向けて十分に体制が整っているのは、GDPRがあるおかげだ」。

影響力は甚大

ジョーンズ氏がいわんとしているのは、GDPRが取り締まりという面で欠けている分、影響という面で埋め合わせができているということだ。

過去5年のあいだ、米国のカリフォルニア州消費者プライバシーからブラジルの一般データ保護法まで、GDPRはEUを超えて数多くのプライバシー規制の基盤となってきた。米国で連邦レベルでのプライバシー保護法を求める最近の動きも、GDPRにさかのぼることができる。そのうえ、メタの罰金に見られるように国境を越えたデータの流れに対しても、より広く影響を与えていく可能性がある。

もしかしたら、GDPRの長期的な効果はここにあるのかもしれない。それは、データプライバシーを巡る、さまざまなニュアンスを考慮した集中的な議論の始まりだったのだ。少なくとも、こうした議論によって、広告会社の幹部たちは自社で使用するデータの来歴や、承諾イコール法令遵守と考えてよいのかを、もう少し考えざるを得なくなるはずだ。

また、よくても倫理に反し、最悪の場合は違法である広告業界の側面に直面せざるを得なくなるだろう。たしかに、よい方向へと向かう改革につながったとはかぎらず、マーケターが現状維持に甘んじている面もある。だが、マーケターも、それ以外の誰もがこれらの問題を知らないということはできなくなった。

「それはいいことだ」と、メディアオーシャン(Mediaocean)の最高執行責任者であるベン・カーツマン氏はいう。「広告業界が個人データをどのように共有するかについて選択肢を提供し、提供されたデータがどう扱われるのかを明確にすることは非常に重要なことだ。この5年間でGDPRが成し遂げたことがあるとすれば、プライバシーの重要性とそれを守る必要性に関する意識を高めたことだ」。

[原文:Five years in, the GDPR has had a double-edged impact on the ad market

Seb Joseph(翻訳:SI Japan、編集:島田涼平)

Source