見出し画像

グーグルが第三者に閲覧データを提供しない本当の理由

栗原宏平(Privacy by Design Lab代表 )

今年の1月からカルフォルニアでもGDPRに続き個人情報に関する厳しい規制がスタートしています。

広告やメディア業界に与えるインパクトは大きく、各社はデータ戦略の変更を迫られています。

グーグルが先日発表した閲覧データの提供制限には背景にインターネット大手の個人情報戦略が隠されています。今回はカリフォルニアで起きている個人情報に関する変化と各社の対応戦略からその理由を紹介していきます。

カリフォルニアで始まった個人情報規制

カリフォルニア州消費者プライバシー法(CCPA)と呼ばれる新たな法律が2020年1月に施行されました。

2018年5月に施行されたGDPR(EU一般データ保護規則)は耳にされたことがある方も多いかと思いますが、それに引き続きカリフォルニア州でも個人情報に関する取り扱いが今後大きく変化していく事になります。

法律に関するGDPRとの違いに関しては年末に整理した記事があるので、こちらをご参照下さい。

この新たな法律はGAFAを始めとしたインターネット関連企業に対して非常に大きなビジネスインパクトがあると考えられており、現在数多くの企業が対応に追われています。

もちろん、GAFA以外の大手企業で個人情報を取り扱う企業(厳密には大手企業以外も含まれる)も対応が必要になるため夫々の企業が施行前から準備を行なっています。

昨年7月にeMarketerが行なった調査によると、法が施行される半年前時点で約8%の企業のみが十分に対応できていると発表している状況です。

画像1

(出典:Very Few US Businesses Are CCPA-Ready

2020年1月までに準備すると発表している企業に限って見ても合計で42%と半数以下の数値に止まっている状況です。

ここから考えられる事は、

法の施行前に十分にできている企業は少数で、判例等を経て徐々に準備期間に入っていく状況

というのが現在のカリフォルニアの個人情報保護法に対する事業者の状況です。

シスコが実施しているGDPRに関する対応の調査と比較すると、施行から8ヶ月後の2019年1月時点で半数弱の59%の企業が対応できていると回答しておりカリフォルニアでも同じ流れで推移していくのではないかと考えられます。

事業者の個人情報の取り扱いポイント

CCPAと呼ばれるカリフォルニアの法律では事業者対応として特に以下の点に注目が集まっています。

オプトアウト含むデータ主体(個人情報提供者)からの要求への対応
"Do Not Sell My Personal Information" と呼ばれる個人情報を第三者へ "Sell" (金銭的な販売以外も含む)提供する事を制限するリンクの設置と見える化

特にメディアや広告系の事業者は個人情報の取り扱いに関して厳重な取り扱いと、情報提供に関する同意を求められる事になるため事前に対応を行う必要性に迫られています。

個人情報の第三者提供に関しては、第三者への提供の事実をどこまで追跡して対応するのかが一つの焦点になっており各社が夫々の答えを模索し戦略的に動き始めている段階です。

各事業者の対応方法

GAFAを始めとしたメディア関連の企業は紹介した以上のポイントに対して現時点でいくつか対応を発表し、夫々の企業が異なる取り組みを行なっています。

"Do Not Sell My Personal Information"リンクの設置に関しては事業者によっていくつかパターンがあり、今回はパターンごとに対応状況を紹介します。

パターン1:リンクをページの最下部に設置

動画配信のHuluウォール・ストリートジャーナルなどは最下部にボタンを設置しています。

画像2

(出典:As CCPA takes effect, some publishers are complying at a minimum

パターン2:ポップアップでトップ画面に表示

Wiredなどを運営するコンデナスト社はポップアップ内でリンクの紹介を行なっています。

画像3

(出典:As CCPA takes effect, some publishers are complying at a minimum

ユーザーの同意を考えた際の体験設計としてポップアップを活用する方法は効果的だと考えられていますが、これだけでは法的に十分とは言える状況ではありません。

パターン3:オプトアウト含めた情報提供

アメリカの放送局CBSでは"Do Not Sell My Personal Information"リンク以外にオプトアウトに関する方法の記載も行なっています。

スクリーンショット 0032-01-19 13.47.32

(出典:Privacy CBSリンクより)

このように"Do Not Sell My Personal Information"リンクで同意を取得するだけでなく、データ主体に対して適切にオプトアウトの方法まで伝える事が事業者に取っては要求される事になります。

法律上では “clear and conspicuous” (明確で注意を引く形での掲載が必要)と明記されており、今後判例などを通じて十分性の認定が行われていくと考えられます。

個人情報を適切に運用する上で "UX(ユーザー体験)はサービスだけでなく、情報取得から第三者提供まで" とより裾やの広い視点で考えていく必要があります。

グーグルが第三者に閲覧データを提供しない理由

GoogleやAmazon、Facebookなどの大手テクノロジー企業はこれまで紹介してきた企業とは別の対応方法を現在進めています。

それは "第三者に情報をSellしない" というスタンスです。これに伴いオプトアウトに関する明記も非常に限定的です。

Googleのクッキーデータを第三者に提供取りやめという発表は一部大きな反響を呼びましたが、今回の件は単にクッキー提供を取りやめたという事実だけでなはなく戦略的に実施している事がポイントです。

第三者提供によって発生する対応コストが増加する事と、訴訟などを考えると非常に合理的な戦略です。

今後クッキーに留まらず戦略に沿って第三者へのデータ提供へ制限をかけていく流れが一部出てくる可能性があります。

個人情報を取得する際に求められる対応の整理(カリフォルニア)

前提として第三者への情報をSellするのか、それとも情報を第三者に提供しないのか(グーグルパターン)という意思決定が必要になります。

画像5

現時点ではこのフローで対応が行われていますが今後判例などのレビューを経て十分性が確認され、追加の対応などの要求が行われると考えられます。

個人情報を取り扱う際のフローは紹介したように徐々に変化してきており、広告、メディアビジネスのみならず引き続き注視が必要なポイントになります。

今回はカリフォルニアのケースに関して紹介しましたが、各国で議論されている個人情報に纏わる法律が施行されるにつれて、法律間での個人情報の解釈などが入ってくるとより複雑になっていくと予測されます。

引き続き情報のアップデートと対応策の議論を進めていく事が必要です。

※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。

引き続きCOMEMO記事を読んで頂けると嬉しいです。

↓↓↓

記事の内容やブロックチェーン×データビジネスに関するご質問はこちらまで!!


ブロックチェーン技術は世界中の人たちが注目している新しいビジネスのタネの一つです!気になったら気軽にメッセージください!