広告業界のビジネスを脅かす知っておくべきGDPRの同意ルールとは？

世界のウェブ広告業界はGDPRが2018年5月に施行されて以来ユーザー情報の取得に関して方向転換を迫られています。

「同意のルールと十分条件」を正確に理解した上で、ユーザーからの同意を取得する事が次の世代のウェブ広告に求められる新たな基準へと変化していきます。

十分に同意を取得する事ができなければ、ビジネスモデル自体の変更や多額の罰金などのリスク要因になるので最新情報をアップデートする必要があります。

今回はGDPRにおける同意のルール基準に関していくつかのケースをもとに紹介したいと思います。

GDPRに置ける同意の基準

株式会社野村総合研究所ではEUにおけるGDPRの運用と動向に関する調査を発表しています。

同意の基準に関しては調査結果から特にマーケティングにおけるデータ取得に関して紹介したいと思います。

マーケティングデータとして活用する際は、データを取得する際にプロファイリングと呼ばれるデータ主体（データ提供者）からデータを取得し、特定の個人を評価するという作業を行います。

※プロファイリングとは

「自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼って構成される、あらゆる形式の、個人データの自動的な取扱い」て構成される、あらゆる形式の、個人データの自動的な取扱い」（の、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼って構成される、あらゆる形式の、個人データの自動的な取扱いて構成される、あらゆる形式の、個人データの自動的な取扱い」（GDPR　第 4 条第 4 項）

その際にデータ主体からどこまで同意取得する必要があるのかという議論が起こっており、同意の判断基準に関しては専門家の中でも意見が分かれています。

これは企業がマーケティングデータをデータ主体から取得し活用する際に、非常に大きな判断となるため、各事例や国ごとの判断を元に対応していく必要がある状況です。

国ごとの判断基準と過去にデータ主体からどういった同意内容を元にしてデータを取得していたかによっても大きく変わってきます。

スペインを例に出すと、「正当な利益に基づくマーケティングが認められる場合として、マーケティングを自分の既存の顧客を対象に実施する場合」では既に一定の利用目的に対する同意を取っているため、比較的侵害が小さいと考えられています。

イタリアの例ではGDPR施行以前より慣習としてプロファイリングの同意取得が行われており、GDPR後もマーケティング目的として同意の取得を行う事を継続するとされています。

各国のDPA（データ保護当局）によるこれまでの対応によっては同意の取得による対応に関して、違いが出る可能性があるというのは一つのポイントになりそうです。

※各国のDPAに対して欧州全体ではEDPB（データ保護評議会）が存在します。

（出典：EDPB animation）

同意に即したサービス

データ主体からの同意取得に関してConsent Management Platforms（CMP）と呼ばれるサービスがいくつか提供されています。

（出典：Diving into GDPR: Consent Management）

サービス目的としては、同意に関する手続きを効率化し適切なデータ運用につなげるための手段として開発されています。

データ主体にとってみると、自分のデータがどのように取り扱われるのかが一目でわかるためデータ取り扱いの透明性と説明があった上で同意を行うことができるのがポイントです。

インターネットアーキテクチャ委員会（IAB）の発表しているフレームワークに沿った形で提供されているものが多いですが、必ずしもフレームワークに接続しているというわけではありません。

2019年3月時点のイギリスとアメリカ企業の利用状況が以下のグラフです。

（出典：Consent Management Platforms: The Definitive Guide for 2019）

種類としてはIAB登録サービス、第三者機関が提供するサービス、インハウス型の提供サービスに分かれていて、Axel SpringerやAppNexusなどの企業が提供しています。

その他CMPに関する利用状況に関してはadzerkのサイトで公開されているので参考にしてみて下さい。

これ以外にもCookieと呼ばれる訪問ユーザー情報を一時的に保存する仕組みで活用されるなど様々なものが誕生しています。

（出典：COOKIE CONSENTでGDPR対策）

上の写真は海外のサイトにアクセスした際に見た事がある人も多いかと思います。

同意の線引きと実態

紹介したCMPと呼ばれる同意を取得するサービスは一つのソリューションとして活用が進んでいますが、現在サービス上で行う同意の十分性に関して議論が起こっています。

特にCookieと呼ばれるデータ情報に関しては、「果たしてウェブサイト上のポップアップ表示のみで同意が完結しているのか」という事が大きな焦点になっています。

実態を調査するためにドイツのルール大学ボーフム、アメリカのミシガン大学では共同でCookieにおける同意に関する研究を行いその結果を発表しています。

5000近くのサイトからCookie同意に関するスクリーンショットを収集し、各対応に関しての比較を行なったもので、それ以外にもドイツの大手EC企業を利用する82000人の新規ユーザーの行動追跡も4ヶ月間行なっています。

この調査結果の結論から、ポップアップ上でのデータ主体への同意に関しては、法的に十分ではないという結論を発表しており、より明確な同意手続きが求めれると懸念を示す結果となりました。

具体的には以下の内容が理由としてあげられます。

・同意ポリシー情報が不十分である事

同意ポリシーに関して3分の1のサイトのみ取得データの利用方法に関する詳細を公開しており、第三者及び自社内でのアクセス権に関して公開しているものはわずか21%に止まっています。

・各社のサービスによってバラツキがある事

サービスで実装される同意ボタン表示に関して、インターフェイスによって同意を事前に取得できるかどうかに大きな違いが発生する事がわかっています。

同意ボタンを強調して掲載した場合はモバイルで50.8%、デスクトップで26.9%の同意クリック率に対し、テキストなどで同意を要求した場合はモバイル39.2%、デスクトップ21.1%と開きが出ています。

MITなどが行なった別の調査では同意文章内容に関してのフィードバック研究も実施されています。

この研究結果ではイギリスの1万件のウェブサイトを調査し、同意に関する内容を示した文字数が各ウェブサイト7,985文字と非常にわかりづらい表現になっている事が発表されています。

同意文の理解にかかる時間を分ごとに250文字理解すると仮定して、約31.9分が必要になる計算です。

これ以外にもいくつか同意プロセスに関する調査は行われており、結果として十分にデータ主体が同意できる環境整備が整えられていないという課題が発生しています。

欧州司法裁判所ではCookieに関する法的な同意に関して非常に強い要求を行なっており、ユーザーがポップアップ等をクローズするなどの行動も含めてどのように設計するべきかなども要求しています。

同意に関する今後の課題

CMPと呼ばれるサービスを導入する事でCookieの同意などはある程度解消されるのではないかと考えられていましたが、実態は法で要求されるものには程遠い状況である事がわかってきています。

さらに各サービスによって同意に対する要求がバラバラである事に加えて、国ごとの同意要求に関する密度が異なるため個別最適が求められるようになります。

今後マーケティングデータをデータ主体から取得する際に求められる必要条件としては以下の内容が考えられます。

簡潔な文章でより目立つ同意エクスペリエンス

モバイル、PC含めた同意インターフェイスの最適化

各サイトでの同意内容の標準化

直接ユーザーデータを第三者へと提供する広告企業は規制の要求に適切に答えていく事が必要であり、トレンドを理解しておく必要があると考えられます。

今回はマーケティングデータの同意に関して紹介しましたが、金融や医療など取得データによって同意の定義も異なっていきます。

この辺りはテーマを絞って次回以降取り上げていきたいと思います。

※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。

引き続きCOMEMO記事を読んで頂けると嬉しいです。

↓↓↓

記事の内容やブロックチェーン×データビジネスに関するご質問はこちらまで!!

Facebookにログイン