Cookie規制で企業のデータ保持はどう変わる? GDPR・CCPAの動向もおさらい
インターネット広告は、Webブラウザの閲覧履歴などを保存する「Cookie」の技術を活用したものが多い。しかし近年、そのCookieの利用を規制する動きが本格化しつつある。これは日本も例外ではない。
「デジタルマーケターズサミット 2020 Winter」の特別講演に、株式会社ビーアイシーピー・データの渡邉氏が登壇。欧米で先行する「GDPR」「CCPA」についての動向、そして日本企業への影響などを解説。企業の担当者として、どうデータを取り扱えばよいかに関しても言及した。
罰金制裁事例もすでに発生、欧州での施行から間もなく2年の「GDPR」
渡邉氏は2004年、Web媒体の広告営業担当としてキャリアをスタート。SiteCatalyst(現Adobe Analytics)を用いたデータドリブン型広告、第三者配信、Cookieの代替としてのIDの台頭など、そのときどきのデジタル広告最新動向に触れ続け、2018年12月に現職となった。
ビーアイシーピー・データは「デジタル時代のデータ・ストラテジスト集団」を標榜。データ活用、マーケティング活用が近年ますます連関性を深めている点に着目し、活動を行っているという。
そのデータ活用分野における一大トピックが「GDPR」「CCPA」である。どちらも知名度は高まりつつあるが、おさらいの意味をこめてこの2つの基本を渡邉氏が解説した。
まずGDPRとは「General Data Protection Regulation」の略で、日本では「EU一般データ保護規則」などと訳される。2018年5月に欧州で施行された法律だ。おもに、生活者の個人データを自分自身でコントロールできるようにするための法律である。
マーケターが特に注目すべき部分は、Cookieなどで“仮名化”された情報、たとえばメールアドレスやSNSへの書き込み、IPアドレスなどそれらすべてが“個人情報”だと明確に宣言されている点である。
そしてデータの利活用にあたってはユーザーから「暗黙的ではない同意」を得ることが求められている。
たとえば、『このままサイトを見続けていると、Cookieポリシーに同意したことになる』というのは暗黙的な同意で、GDPRの考え方からすると騙していることにあたります(渡邉氏)
違反者に対しては罰金制裁が加えられる。英国航空大手のBritish Airwaysはサイバー攻撃によって約50万人の個人情報を流出させてしまい、257億円の罰金となった。またクレジットカード番号を暗号化していなかったため、さらに個人補償約875億円の支払いも命じられた。
カルフォルニア州の法律ながら日本にも影響大?! 「CCPA」
もう1つの「CCPA」(California Consumer Privacy Act)は米国カルフォルニア州で2020年1月に施行されたばかり。生活者の知る権利に比重が置かれた法律となっており、生活者から預かった情報を適切に管理・運用していくことが求められる。
具体的には、生活者から「私の情報がどう使われているか教えてほしい」と求められたとき、広告ターゲティングの根拠などになっている情報を企業は開示しなければならない。そして、生活者がそうした情報の利用を希望しない場合、企業は情報を速やかに削除する必要がある。つまり、情報をCookieなどで集める仕組みを作るだけでなく、管理・運用してく体制が欠かせない。
CCPAはいまのところカルフォルニア州にのみ適用される法律だが、同様の趣旨の法律はその他の州でも検討されている。また、同法で規制対象となる企業にとっても、州ごとに微妙に異なる法律対応を行うのはさらに煩雑なため、米国全体で適用される連邦法としての成立を求める声がある。
また、日本の個人情報保護法もGDPRやCCPAにどう寄せていくのかが関係者の関心事項であった。
実際、このイベントの約3週間後である2020年3月10日に個人情報保護法の改正案が発表され、CCPAに寄せたと思われる項目も盛り込まれている。すなわち、生活者は自らのデータの利用方法について開示請求権や、削除要求権を持つことになる点がそれだ。企業の視点から見ると、これは、生活者より預かった情報を適切に管理・運用していく仕組みへの投資が必要であることを意味する。
プラットフォーマー自身もCookieを制限する方向へ
法制化とは別のレイヤーながら、プラットフォーマー自体もまたプライバシー強化の動きを見せている。たとえば、アップルの「ITP」(Intelligent Tracking Prevention)ではCookie利用に従来と比べて大幅な制限が課されている。
Googleも、ChromeブラウザにおけるサードパーティCookieの利用をおよそ2年後に停止すると発表した。またTwitterは、位置情報やキーワードに基づいたターゲティングの廃止を広告主向けにやはり発表している。
日本においても2019年以降、インターネット利用時のプライバシーに関する規制の動きが、公正取引委員会や政府の個人情報保護委員会を中心に見られると渡邉氏は指摘。Cookieの話題を大手新聞が取り上げるようになって、結果「Cookieってなんだ?」「生活者にどう影響するんだ?」というような声が増えている。
こうした規制は、企業にとっては重石になりかねない……というのが従来からの論調である。しかし、そうした視点・意識を180度変えるべき時代ではないかと渡邉氏は訴える。
プライバシー侵害? もはや人権侵害となる事例も
規制にむけた流れの端緒と考えられるのが、英ケンブリッジ・アナリティカ社の問題だ。同社は、Facebook上のクイズアプリの仕組みを巧みに利用し、最大で8700万人もの利用者データを取得したとされ、米国大統領選挙(2016年)、英国のEU離脱をめぐる国民投票の結果に影響を与えた疑惑を持たれている。Facebookのマーク・ザッカーバーグCEOは、ユーザーデータ流出に関して大筋で認め、謝罪し、EU議会でも釈明することとなった。
日本においても、リクルートキャリアが新卒学生採用にあたって、対象学生のサイト閲覧情報などから“内定辞退率”を算出し、企業へと販売していた。リクルートキャリアは一部の学生らから同意を得ておらず、社長が謝罪。該当サービスは結局廃止された。
ケンブリッジ・アナリティカ、リクルートキャリアの問題はともにプラバシー侵害の範疇を超え、「人権侵害」にあたる悪質な行為であり、その影響は大きい。
その上で、渡邉氏はこうも懸念を示す。
日本だとよく企業の方から『GDPRやCCPAって、日本にどれくらい影響する? ガラパゴスっていうくらいだから日本は大丈夫でしょ?』とか、『いつまで(影響を受けずに)大丈夫なの?』、『対応策はないの?』といった質問が出る。ただ、それらはもう付け焼き刃に過ぎない(渡邉氏)
法律対応はどうしても場当たり的なものになりがちだ。ただ、ここで渡邉氏が例示したのは、スターバックス コーヒーによるプラスチック製ストローを巡る動きだ。同社では海洋投棄問題などが叫ばれるプラスチック製ストローを段階的に廃止し、紙製ストローへの全面的な切り替えを表明している。
プラスチック製ストローの廃止がルール(法律)になる前から、何倍もコストのかかる紙ストローに切り替えた。ルールの先をいって、世の中の在り方をどう変えていきたいのか、企業自ら体現しているのがこの取り組みです(渡邉氏)
ストロー問題に代表される環境意識の高まりは、国連が2015年に採択したSDGs(Sustainable Development Goals、持続可能な開発目標)の考えにも紐付く。SDGsは国際企業を巻き込んだ一大ムーブメントとなっており、SDGsにいち早く貢献することは、企業のブランド価値を高める効果があるとされる。
渡邉氏はこの考えがまさにデータの世界でも適用されるのではないか、と指摘する。生活者が率先して選んでくれる企業・製品・ブランドとなるために、GDPRやCCPAを重しと考えるのではなく、成長のための一要素として捉えようという発想である。
Cookie規制を顧客と繋がるきっかけに
渡邉氏は自身の説は「理想論である」としつつも、急がず、中長期的な観点で達成を目指すべきだと語る。とはいえ、企業で実際に対応を行う担当者は今どうするべきなのだろうか?
まず意識すべきは「データ収集における同意/利用目的の明確化」である。「データは同意をもって預かるもの、勝手に収集したサードパーティデータはむしろ負債になる可能性がある」という発想へ180度転換すべきという。
今、適法な手段であっても数年後に、CCPAと同様の法律が日本で施行されたら、遡ってペナルティが適用される可能性もある。脅すつもりはないが、『オンライン上のデータも同意を得て、預かるものである』という認識に変更し、そのための体制作りを今から考えておくべきです(渡邉氏)
同意を得ての情報取得手段としては、CookieとID(サイトログイン)があるが、それ以上に重要なのは「何に同意をするのか」である。利用目的を明らかにし、どのデータが欲しいのかをハッキリさせる。
そして得られたデータによってどんな利益がユーザーに還元されるのかまでをデザインし、実際の製品に落とし込む。ここまで実現できれば、ユーザーは企業との間にむしろ“繋がり”を感じてくれるだろうと渡邉氏は説明する。
また、GDPR・CCPAに対応するために、どんなツールやテクノロジーを導入すべきか先んじて検討するのも得策ではない。以下の図のように、持続可能性にどう貢献するのか、どんなブランドを目指すのかといった、企業の“理念”をまず出発点とする。
その上でどんな価値を提供できるかを考え、必要となる施策を導き出すほうが先なのである。プライバシーポリシーもまた、企業都合で成文化するものではなく、あくまで顧客目線で作られるべきだという。
データ取得は正々堂々と
一般に普及しているマーケティングツールを、どのようにGDPRおよびCCPAへ対応させていくかについては、以下の図がわかりやすい。基本的には現在使っているツールを活かす一方、同意を得るための画面遷移をわかりやすくし、オプトアウトするための機能対応が必要である。
新しく加えるべきは「データガバナンス」の概念だ。CCPAで特に顕著だが、今後は「個人情報を削除して」という顧客からの依頼に応えなければならないため、それに耐えうるだけの体制が必要となる。ユーザーに不快感・違和感をそもそも与えないような施策もまた、求められるという。
講演のまとめとして、渡邉氏は「プライバシー規制は不可逆。日本だけ大丈夫とは考えない方がいい」と述べる。これまで個人情報の範疇には含まれなかったIDFAなどの広告識別子は、GDPRでは保護対象であるが、広告会社の担当者レベルでは理解が進んでいないケースも散見されるため、あくまで広告主たるマーケターも国内外の現状把握に努めるべきとした。
そして重要なのは「データ取得は正々堂々と」やること。GDPR・CCPAはデータ取得そのものを禁止してはおらず、適正な扱いを求めている。
ツールでカンタンにとれるからといっても、サイト閲覧などの情報は企業のものではなく、あくまで生活者自身のもの。顧客自身の利益のために、顧客のデータを預かっているという観点を忘れないでほしい(渡邉氏)
ソーシャルもやってます!