マイケル・ハーン氏をうらやんではいけない。先日、IAB(インタラクティブ広告協議会)のエグゼクティブバイスプレジデント兼ゼネラルカウンセル(最高法務責任者)に昇進した同氏(その権限は、IABテックラボ[IAB Tech Lab]とTAG[Trustworthy Accountability Group]にも及ぶ)は、長年に及ぶ反トラスト派の法律家で、規制活動が厳しさを増すなかでプライバシー規則の順守をめざすデジタル広告業界の取り組みにおける中心人物だ。とくにここ1年は、こうした規制に対する動きが強化の一途をたどってきた。
英国の規制当局は2021年夏、GoogleによるサードパーティCookieの代替策プライバシーサンドボックスを監視する役目を担うことになった。秋には、「カリフォルニア州消費者プライバシー法(California Consumer Privacy Act:以下、CCPA)」の執行を司る機関が同州に設置され、そのトップにはターゲティング広告を声高に批判するアシュカン・ソルターニ氏が任命された。
2022年に入ってからは、ベルギーのデータ保護当局が、IABヨーロッパ(IAB Europe)がGDPRに対する企業各社のコンプライアンスを促進するために定めた「透明性と同意に関するフレームワーク(Transparency and Consent Framework:以下、TCF)」は違法であるとの裁定を下した。そしていま、EUでは、とりわけ同意なきターゲティング広告に対する個人情報の使用を制限する「デジタル市場法案(Digital Markets Act)」が可決に近づきつつある。
Advertisement
つまり、ハーン氏の目の前には、課題が山積みになっているのだ。そんな同氏が、時間を割いて米DIGIDAYのインタビューに応じ、パブリッシャーとテクノロジー企業のためのIABの「CCPAコンプライアンスフレームワーク(CCPA Compliance Framework)」の部分的改正などについて語ってくれた。この改正は、CCPAに加えられる修正を反映したものになり、マーケターもその対象となる見込みだ。目の前にある課題の数々に、いったいどのように取り組んでいるのだろうか?
なお以下のインタビューには、読みやすさを考慮して編集を加えている。
◆ ◆ ◆
- −−相変わらず多忙のようだ。デジタル広告業界はサードパーティCookieや、IPアドレスなどの不安定なIDトラッキングに代わる手段の選出にいまだに明け暮れている。さらには、TCFが違法であるとの裁定が下され、カリフォルニア州はプライバシーに関する州法を改正して、その改正法の順守を徹底させるための機関まで設置している。ヨーロッパでは、まもなくデジタル市場法案が可決される見込みだ。こうしたなかで、あなたは自分の仕事にどう優先順位をつけているのか?
- −−TCFの経緯や、TCFは違法であるというベルギー規制当局による裁定。これらに照らして、企業各社はこの法的仕様をきっかけとして「自分たちにはどこまで法的責任があるのか?」「何を変えなければならないのか?」という疑問を口にするようになった。つまり、彼らは「TCFはどこまで信頼できるのか?」という疑問を抱いている。私はこうした観点はこの法的仕様に適用できると考える。この法的仕様が規制当局の基準を満たすことを明確にするために、何を行わなくてはならないのだろうか?
- −−彼らが事実上、問題にしたのは、TCFの配管に適用されるGDPRの解釈だった。
- −−この件に関して私が注目しているのは、カリフォルニア州とIABの「限定サービスプロバイダー契約(Limited Service Providers Agreement」の関係だ。2019年後半、パブリッシャーやアドテク企業との会話のなかで、この件がよく話題にのぼったことを覚えている。「素晴らしい。(限定サービスプロバイダー契約は)我が社のコンプライアンスの維持に役立ってくれるはずだ」と考えている企業もあれば、これが本当に規制当局の基準を満たせるのかと不安視している企業もあった。そしていま、TCFは規制当局から合格点をもらえなかった。Googleは昨年、プライバシーサンドボックスに関して、次のようなニュアンスのコメントを出した。「我々の解釈が規制当局の審査を必ずパスできるとは断言できない。だから、競争・市場庁(CMA)と個人情報保護監督機関(ICO)を迎え入れて、彼らに監視の役割を担ってもらうつもりだ」と。そこで聞きたいのは、あなたがIABで取り組んでいる仕事に関しても、GoogleがICOとCMAを迎え入れたように、規制当局に参加を要請するつもりなのか?
- −−CCPAに関しては、CCPAを改正した「カリフォルニア州プライバシー権法(California Privacy Rights Act:以下、CPRA)」が施行される見込みだが、CPRAに照らして、CCPAコンプライアンスフレームワークにどのような修正が加えられたのか? または加える必要があるのか?
- −−マーケターが参加するようになるまでの道のりをどのように描いているか?
- −−改訂版「限定サービスプロバイダー契約」はすでに公表されているのか?
- −−カリフォルニア州は、アシュカン・ソルターニ氏がトップを務める執行機関を設置した。コンセンサス主導の第2版改訂版「限定サービスプロバイダー契約」の作成には、ソルターニ氏率いる同機関にも協力を呼びかけるのか? それともすでにその方向で動いているのか?
−−相変わらず多忙のようだ。デジタル広告業界はサードパーティCookieや、IPアドレスなどの不安定なIDトラッキングに代わる手段の選出にいまだに明け暮れている。さらには、TCFが違法であるとの裁定が下され、カリフォルニア州はプライバシーに関する州法を改正して、その改正法の順守を徹底させるための機関まで設置している。ヨーロッパでは、まもなくデジタル市場法案が可決される見込みだ。こうしたなかで、あなたは自分の仕事にどう優先順位をつけているのか?
我々が昨年に取り組んだ最大のプロジェクトは、「法域横断プライバシープロジェクト(Cross-Jurisdiction Privacy Project)」だった。世界11の地域から法律家150人を集め、2つの目標の達成をめざした。ひとつは、「これら11の区域におけるプライバシー法が、デジタル広告にどのように適用されるか」に関する概要を作成すること。ふたつ目は、「グローバルプライバシープラットフォーム(Global Privacy Platform)に組み込まれているIABテックラボの技術仕様へのインプットになり得る基本的な法的仕様を作成して、これらの国々すべてをカバーできる横断的なシステムを用意することができないか」ということだ。
そして、それらの先にある第3の段階が「この技術仕様の上位に位置するポリシーはあるのか?」ということだ。IABの「CCPAコンプライアンスフレームワーク」やIABヨーロッパのTCFを思い浮かべてもらいたい。なぜなら、技術仕様が、業界関係者が適用される現地法に準拠したかたちで、プライバシーに関する消費者の設定を基本的にどのように送信するのかを伝えているからだ。これらはいわばパイプのようなものだ。しかし、「何をしなければならないのか?」「シグナルを送る必要があるのは、どのような場合なのか?」「そのシグナルを受け取ったら、何をしなければならないのか?」は明らかにされていない。そうしたことは地域のポリシーになる。
技術仕様はあっても、エンジニアたちは韓国や日本、イスラエル、ナイジェリアにおいて、どのようにエンコードすればプライバシー法に対応できるのかを知らない。そこで、我々はインハウスの法律顧問として、世界各国の地域の法律顧問と協力して基本的に「法的仕様」を整備した。
−−TCFの経緯や、TCFは違法であるというベルギー規制当局による裁定。これらに照らして、企業各社はこの法的仕様をきっかけとして「自分たちにはどこまで法的責任があるのか?」「何を変えなければならないのか?」という疑問を口にするようになった。つまり、彼らは「TCFはどこまで信頼できるのか?」という疑問を抱いている。私はこうした観点はこの法的仕様に適用できると考える。この法的仕様が規制当局の基準を満たすことを明確にするために、何を行わなくてはならないのだろうか?
ヨーロッパで起きている問題は、その仕様自体に問題があるTCFの使用だけだ。いまだにこれが市場裁判所への不服の申し立てを招くことがある。この点を踏まえれば、(ベルギー規制当局による)この裁定は、ある意味において、韓国やナイジェリアなどの国々の法的・技術的仕様を示唆しているのかという疑問が浮かび上がってくる。その答えはノーだ。これらの国々には独自の法体系がある。我々がいま協議しているのは、ある特定の方針の下にある「配管」だ。たしかに配管は複雑なものだが、ヨーロッパの規制当局がそれを問題にすることはなかった。彼らが疑問を持ったのは、その上にあるTCFの配管がどのように使われているのかということだった。
−−彼らが事実上、問題にしたのは、TCFの配管に適用されるGDPRの解釈だった。
彼らの議論の中心にあったのは、OpenRTBや、プログラマティック広告の利用だった。しかし結局のところ、彼らが口にしたのは、IABテックラボのOpenRTB仕様だった。これに関しては、彼らは共同管理者ではないという。この点については、彼らは明確だった。しかし、もしIABヨーロッパが実際に共同管理者だったら、新しい情報を仕様を通じて伝える必要はあるのだろうか? もちろんある。仕様があるなら、きっと対応できると私は思う。しかし、いかなる方法であれ、それが韓国で行われることに影響を及ぼすとは思えない。我々がいま取り組んでいるのは、管轄区域におけるコンプライアンスの機会の提供だ。我々の言い分は、「誰もがこの技術仕様どおりにシステムを構築すれば、消費者のプライバシー設定に関する情報を実際に伝えることができる」だ。
−−この件に関して私が注目しているのは、カリフォルニア州とIABの「限定サービスプロバイダー契約(Limited Service Providers Agreement」の関係だ。2019年後半、パブリッシャーやアドテク企業との会話のなかで、この件がよく話題にのぼったことを覚えている。「素晴らしい。(限定サービスプロバイダー契約は)我が社のコンプライアンスの維持に役立ってくれるはずだ」と考えている企業もあれば、これが本当に規制当局の基準を満たせるのかと不安視している企業もあった。そしていま、TCFは規制当局から合格点をもらえなかった。Googleは昨年、プライバシーサンドボックスに関して、次のようなニュアンスのコメントを出した。「我々の解釈が規制当局の審査を必ずパスできるとは断言できない。だから、競争・市場庁(CMA)と個人情報保護監督機関(ICO)を迎え入れて、彼らに監視の役割を担ってもらうつもりだ」と。そこで聞きたいのは、あなたがIABで取り組んでいる仕事に関しても、GoogleがICOとCMAを迎え入れたように、規制当局に参加を要請するつもりなのか?
いずれどこかの時点でそうなると、我々は思っている。どんなことにも絶対の保証などはないが、ただひとつ確かなのは、もし何もしなかったら、我々はコンプライアンスの問題を抱え込むことになるということだ。だからこそ、解決策を見つけることに全力を傾けなければならない。今年の年末では遅すぎるので、いますぐにもフレームワークを考え出さなければならない。
我々はまだ規則を定めていない。いまできるものを作り上げ、それが規則とどう組み合わさるのかを確かめ、実際に規則が導入されたときに、どこを変えなければならないのか、どこを調整しなければならないのかを見極めなければならなくなるだろう。それが今後の課題だ。こうした話し合いを持つ前に、きっちりと辻褄を合わせなければならないことがたくさんある。もちろんこれは、パブリッシャーやアドテク、エージェンシー、ブランドなど、エコシステムのさまざまな領域にプラスになるように、コンセンサス主導で行う必要がある。
−−CCPAに関しては、CCPAを改正した「カリフォルニア州プライバシー権法(California Privacy Rights Act:以下、CPRA)」が施行される見込みだが、CPRAに照らして、CCPAコンプライアンスフレームワークにどのような修正が加えられたのか? または加える必要があるのか?
既存のフレームワークは、主にパブリッシャーやアドテク企業が署名することを目的としている。CPRAで加えられた変更により、今後はマーケターにもはじめて加わってもらうことになるだろう。ここが今後の重要な変更点だ。もし我々が測定やフリークエンシーキャップなどを実施できるようにしたければ、マーケターとパブリッシャーには彼らの代理を務めてくれるサービスプロバイダーを共同で指定できるようにしてもらう必要が出てくるだろう。デジタル広告における機能的側面の基礎を押さえるためにも、この点は非常に重要だ。
−−マーケターが参加するようになるまでの道のりをどのように描いているか?
これはコンセンサス主導のプロセスだ。個人的にはこれを、議会の立法プロセスの、より生産的なバージョンととらえたいと思っている。我々は目下、IABが主催する「プライバシー州法サミット(State Privacy Law Summit)」シリーズを通して、ブランドを教育し、コンセンサスの促進を試みている。ちょうどいまはデータフローについての討論を行っている。
データフローといってもさまざまあり、そのプロセスをひとつずつ検討し、これらデータフローの各ステップにCPRAがどう適用されるのかについて話し合っている。これは(情報の)販売になるのか? CCPA下では共有になるのか? こうした学びの機会は、このプロセスの一環として提供されなければならない。今後は、IABの改訂版「限定サービスプロバイダー契約」についても取り上げるつもりだ。我々はこのプロセスにすでに取りかかっている。むしろここに注力しているといってもいいだろう。
−−改訂版「限定サービスプロバイダー契約」はすでに公表されているのか?
最初の改訂版「限定サービスプロバイダー契約」はすでにある。これの第2版がCPRAに対応することになるはずだ。
現在、施行日を1月1日に定める方向で調整している。問題は、どうすればコンセンサス主導でそこに到達できるかだ。計画は大きく進展している。すでに測定企業も集めた。ブランドおよびエージェンシーとの約1カ月におよぶ3部構成のプライバシー州法サミットも現在行っている。データフローについて討論し、改訂版「限定サービスプロバイダー契約」がどのようなものになるのかを解説し、そこからさまざまなヒントを得ている。
第2版の改訂版「限定サービスプロバイダー契約」の公表を第4四半期まで延ばしたくはない。年内のできるだけ早い時期に公表したい。それが5月になるのか、8月になるのかは断言できないが。私の目標は、言うまでもなく遅らせるのではなく、なるべく早く公表するということだ。そうすることで、関係者の理解も深まるし、期待も高まる。社外の法律顧問に相談して、対策を検討することもできる。
−−カリフォルニア州は、アシュカン・ソルターニ氏がトップを務める執行機関を設置した。コンセンサス主導の第2版改訂版「限定サービスプロバイダー契約」の作成には、ソルターニ氏率いる同機関にも協力を呼びかけるのか? それともすでにその方向で動いているのか?
私が「コンセンサス主導」という言葉を使ったのは、ブランドやエージェンシー、アドテク企業、パブリッシャーのコンセンサスを得なければならないという意味でだ。規制当局に参加してもらうには、計画をしっかりと整えることが必要だ。その規則がどのようなものなのかを知る必要もある。現時点ではまだ、そのための準備は整っていない。いずれ当局にも参加してもらうつもりだが、さまざまなことがまだ固まっていない現時点では、参加を呼びかけるのは難しいだろう。
[原文:Q&A with IAB evp and general counsel Michael Hahn on the lively privacy regulation landscape]
Tim Peterson(翻訳:ガリレオ、編集:分島翔平)