大転換期のウェブメディア　③法規制

強制力のある規制

そもそも今回の3rd Party Cookie(3PC)規制、つまりGoogle Chromeにおける３PC利用の規制は、ヨーロッパにおけるGDPR（General Data Protection Regulation：一般データ保護規則）による、法的規制が主たるきっかけだ。

EU（外国制度） ｜個人情報保護委員会

詳細は上記の個人情報保護委員会のウェブサイトを参照して欲しいが、大まかに言うと、ユーザーの承認なしにCookieなどの個人情報を使うのはまかりならんというものである。その流れの中で３PC規制に踏み切らざるを得なかったと言える。

Appleは前回までに書いたとおり、すでに３PCを無効化している。これはウェブサイトでも明示しているので、リンクを貼っておく。

プライバシー - 機能

もともと、Appleも広告事業の展開を狙っている時期があったが、現在はそれをすっかり諦めて、広告に関するデータ利用について厳しく規制する方向に舵を切った。それが上記のプライバシーに関するポリシーである。AppleはGoogleと違い、収益の柱がiPnone、iPad、Macであり、広告事業をすっぱり辞めても痛手は少ない。先般、自動運転のクルマへの投資をカットして撤退するというニュースが流れたが、この辺はハッキリしているのはアメリカ企業ならではだ。

Googleはデータセンター事業が好調ではあるが、広告事業での収益が圧倒的である。これがここまで３PC規制を延長してきた最大の理由であると言っていいだろう。

グーグル親会社Alphabetが業績発表、過去最高の売上と利益を記録

なお、GDPRはヨーロッパにおける法律であるが、日本のウェブサイトにヨーロッパの法適用範囲からアクセスがあった場合には規制の対象になる。実際に日本のウェブサイトの大半ではヨーロッパからのアクセスはないと想定されるが、たとえ数は少なくとも違反は違反であり、無視はできない。見た感じでは、GDPRに対応すべく、各種アラートを表示しているケースもそれなりの割合で見られ、対応がされていないというわけはなさそうである。

アメリカでも一歩前進

アメリカでも同様の規制は存在する。現在では州ごとの規制であるが、カリフォルニア州の「カリフォルニア州消費者プライバシー法」（California Consumer Privacy Act：CCPA）が主に語られることが多いと認識している。

外国制度(アメリカ合衆国） ｜個人情報保護委員会

しかしここに来て、州ごとの規制を束ねる国レベルでの法整備が進んでいる。それが米国版GFPRと言われる「米国プライバシー権法（APRA）」である。以下、有料会員限定記事であるが、リンクを貼っておく。

個人の損害賠償の恐れも　「米国版GDPR法案」7つの論点 - 日経デジタルガバナンス

上記の記事で日本企業が注意しておくべきことが紹介されているが、おおまかには次のようになる。

• いくつかの州法がすでに存在するが、それらよりも上位に置かれる

• 中小企業は規制対象外

• 日本に本社がある企業も対象になり得る

• 適用対象企業はプライバシー・データセキュリティ担当者の設置が必要

これはまだ法案提出前の段階ではあるが、日経新聞によると、民主党、共和党、そして上下両院の有力議員が超党派で法案提出に合意しているとのことなので、提出から成立までの一連の流れがかなりのスピードで完了することも十分に考えられる。記事中では180日というキーワードも見られるが、半年後に施行されるとすると相当なスピード感だ。

日本の状況

いつものことながら、日本ではこういう動きが遅いのだが、今回は個人情報保護法がすでに成立しており、流れには乗っている形となる。

「個人情報保護法」をわかりやすく解説　個人情報の取扱いルールとは？ | 政府広報オンライン

その対象もかなり細かく規定されており、詳細は上記のリンクで確認できる。違反した場合には情報の消去や開示請求などができるとされている。ただ、GDPRがCookie情報の利用についてかなりの制限をしている一方で、日米ではそこまでの規制がないのが現状だ。米国では今後の法案成立で大きく変わることが想定されるものの、日本では施行済みの法律で制限が緩いことから大きく状況が変わることはなさそうであるが、ここには注意が必要である。上述のとおり、GDPRは域外も対象となるが、注意すべきは法の適用範囲ではなく、対応する企業の行動として日本単独の対応をするとは考えにくいからだ。

仮に日本のウェブ市場が世界的に大きなシェアを持つのであれば、個別対応をしてくることは有りうる話だが、現実的にはそうではない。特にグローバルに事業を展開している企業においては、なおさら個別の対応をする理由がない。なぜなら、そこに手間ひまをかけるメリットがないからだ。そうなると、国内市場においてもGDPR、APRA並みの規制に対応したスペックでの事業展開が為されるであろう。よって、法規制という文脈で語る場合には日本の国内法規の遵守は当然のことであるとして、海外の基準も視野に入れておかなければならないのだ。

仮にGoogleがGDPR、APRAに準拠した事業展開を行った場合、日本国内ではそれらの法の適用はないかもしれないが（APRAは適用の可能性を含む）、事業展開として準拠せざるを得なくなる。となると、海外の厳しい規制が日本国内でも効力を発することになる。よって、単純に自分の属する国の立場を考えるだけではなく、海外の法規制を自らの国のものとして考えるという思考方式も求められてくる。そこまで視野に入れての事業展開を考えなくてはならないのだ。

公正取引委員会動く

本稿執筆中の2024年4月16日、日本経済新聞に次のニュースが掲載された。

Google広告を行政処分へ　公正取引委員会､LINEヤフーの配信制限疑い - 日本経済新聞

これまで具体的な動きを見せなかった日本の行政であるが、Googleに対し手確約手続きを実施した。確約手続き自体は公正取引委員会と対象の事業者が合意すれば、それ以上の罰則はないようであるが、具体的な動きとしては昨年のヤフーに対するものに次ぐものだろうと認識している（細かいものは多くあるのかもしれないが）。

ニュース対価の算定根拠開示を　公正取引委員会がヤフーやLINEに - 日本経済新聞

現時点では、欧米では巨大IT企業が何かとやり玉に挙げられているが、この流れは日本でも同様の規制が頻繁に動き始める兆候かもしれない。個人情報保護法や独占禁止法などに基づく摘発が起きれば、その対象企業が展開する事業に依拠する企業も少なからず影響を受けることになる。特に個人情報に関するものは3PC規制と密接に関連するものとなるはずなので、事業領域のみならず、もう一段上から俯瞰する姿勢もサバイバルのウェブメディア関係者には求められているのである。

当然、経営者レベルになれば法規制や行政による条例などについて敏感であることは想定されるが、現場レベルの担当者でもこの視点を持っておかないと後々大きな代償を支払わされることにもなりかねないので、十分な意識を持っておく必要がある。