2018年5月に施行されたEU一般データ保護規則(General Data Protection Regulation、以下「GDPR」)をきっかけに、個人をめぐるデータの扱い方に対して、より厳しい規制が課されようとしています。こうした動きによって、WebのCookie(クッキー)を使って個人をターゲティングし、ビジネスに結びつけている広告事業者やメディア運営者が、大きな影響を受けると見られています。同時に、米アップルのWebブラウザ「Safari」を中心に、個人をターゲティングする技術について、中でもCookieを排除するテクノロジー規約であるITP(Intelligent Tracking Prevention)が広がりを見せるなど、インターネットを取り巻くテクノロジーは大きく変わろうとしています。
法的にも技術的にもこれまでのWebの仕組みが抜本的に変わるなか、広告事業者やメディア運営者が厳しい選択を迫られることは避けられません。こうした動きに広告事業者、メディア運営者はどう対応すれば良いのでしょうか。ICT分野でコンサルティング事業を営み、政府委員なども務める、株式会社企(くわだて) 代表取締役 クロサカタツヤ氏に聞きました。(編集部・藤村)
——インターネット登場から現在まで、個人情報の取扱い方についてどのような議論がされてきたのか?
クロサカタツヤ氏
個人データの取扱いに関する問題が顕在化してきたのは、デジタル化=インターネット化が進んだ約20年前にまで遡ることができます。というのは、デジタルとアナログの最大の違いは、「これまで可視化できなかった個人のビヘイビア(行動)を数値で表現できるようになった」ことにあるからです。Webを閲覧した履歴や、ちょっとした買い物など、自分でも忘れてしまう小さな行動が、ログとして残るのがデジタルの世界です。
これまでアナログの世界に住んでいた人間は、自分でも意識していなかった行動がデータ化されていくことに慣れてはいません。なので、インターネット黎明期から個人データの問題はあったのです。
近年、そうした問題が社会で大きく取り上げられるようになった背景には、スマートフォンの世界的な普及があります。PCでWebを使っていた時代と異なり、スマートフォンは24時間常に人に寄り添い、空間を超えて個人のデジタル行動をガラス張りにしていきます。それが世界規模で普及していったため、「自分自身でも預かり知らない自分のデータが、事業者によって取得され、流通している」ということが前提となり、新たな社会制度やビジネス構造が求められるようになってきました。そこで、「この問題をいったん整理しましょう」ということが世界的なトレンドになったのです。その発端となったのがGDPRと考えられます。
——GDPRは具体的にどのような性格を持つ法律なのか? また、eプライバシー規則案(ePrivacy Regulation、以下「ePR」)や日本の個人情報保護法とどのように関連するのか?
GDPRは、欧州市民の基本的権利を守ることを法益として作られた法律です。先述したように「急激なデジタル化によって、望んでもいないのに個人に関する情報がガラス張りになっている」という社会構造に対して、その状態を前提とした社会制度を作るために、規制が必要になったからです。
日本の個人情報保護法が全面施行されたのは2005年ですが、これはGDPRとはまったく異なる性格を持っています。ひとことでいうと、これは事業者による個人情報の取扱いや、取得した情報の管理について定めた法律です。もっと踏み込んでいえば、個人のプライバシーを守ることを一義とした法律にはなっていません。
これに対しGDPRは、そもそも人間が持つ基本的権利から出発しており、「ヨーロッパに住んでいる欧州市民については、この権利が守られるべきである」という点でプライバシーに関わる情報の取扱いに規制を設けているわけです。
たとえば個人情報保護法では、2019年5月に施行された「改正個人情報保護法」において、「要配慮個人情報」という項目が新たに追加されました。プライバシーを尊重する意味では一歩前進ともいえますが、ただし要配慮個人情報として定義されているものは、非常に限定的ですし、やはり情報の取扱いの枠組みの中で対象を定義している、という構造は変わりません。これに対しGDPRでは、「そもそも個人データ自体が個人の権利の観点で慎重に取扱われるべき」というスタンスです。
ところで、欧州市民のための法律であるGDPRが、日本でもなぜ問題になるかといえば、要はこれに準拠していなければ、日欧間でビジネスが成り立たないからです。実際、航空会社や旅行会社、または自動車や家電メーカーなどは、欧州でもビジネスを展開しているので、このGDPRに準拠しない限り、日欧間でのデータ連携ができません。そこで産業界からの要請を受け、日本が個人情報保護法制を欧州政府から審査を受けることになりました。その結果、欧州は日本について、「まあまあ要件を満たしているかな」という意味で「十分性認定」を出したのですが、実はかなり下駄を履かせてもらった評価とも聞きます。そのため通常なら4年に1回の審査のはずが、個人情報保護法の改正に合わせて2年後にもう一度審査することになっています。
こうしたGDPR対応の動きは世界的なもので、米国でさえGDPRを突っぱねることはできず、米国のパブリッシャーは次々にGDPR準拠を表明しました。日本企業に、「そもそも欧州とビジネスができなくなったら困る」という根本的なニーズがあるなか、GDPRを無視することは事実上不可能と考えるべきでしょう。
では、赤点スレスレの十分性認定を70点、80点に引き上げるにはどうしたらいいのか。ここでCookieが出て来ます。
実はCookieの取扱いについて、日本ではどこがどのように所管しているのか、一般にはほとんど知られていません。「個人情報保護委員会じゃないの?」と考える方もいると思いますが、「総務省消費者行政第二課」である可能性もあります。というのは、Cookieはデジタルデータなので、「電気通信事業法の枠内で対応しよう」とも考えられるからです。このように、実態はなかなか不明確かつ不安定で、具体的に誰が対処するのか、どう対処するのか、といったことは未だ検討中という状態が続いています。
一方欧州では、GDPRとともに、ePRでもCookieについて議論しています。ePRはGDPRの特別法という位置付けで、現時点ではまだ法案段階ですが、早ければ2020年に制定される見込みです。ePRは個人情報を問わずCookieを対象にする法律ですが、「プライバシーに関わらないCookieであれば、それは関係ない」と整理しているところに、注意が必要です。
日本では、Cookieといえば個人を識別する識別子と理解されがちです。しかしCookieはもともとセッション管理で使うものであり、単にログインIDとパスワードを保持したり、買い物カートの内容を覚えていたりするだけでは、「個人を識別する手段とはいえない」とePRでは整理しています。こういう使い方のCookieなら、ePRの例外として同意取得等の義務が不要となるのです。
図:ePRで規制されるか、例外処理されるかのフロー
問題は、グレーゾーンにある使い方です。たとえばアドテクでは、オーディエンスデータの「セグメント化」にCookieを使いますが、これは「特定の個人を識別する」と言えるのか。特定の個人には至っていないから「識別していない」とも言えますし、精度を上げるためにかなり絞り込みができるようなら、それは「識別している」ともいえます。このグレーなところでビジネスをしていたのがアドテク事業者です。そういう点で、「これはGDPR違反の疑いが濃い」ということが、英国のICO(個人情報保護監督機関:The Information Commissioner's Office)から指摘されました。
こうしたなか、ePRがどういう形で着地するのか、いま日本は規制当局も業界も、固唾を呑んで見守っている状況です。いずれにせよ、この流れを変えたり、逃れたりすることはほぼ不可能なので、いずれ日本の広告事業者やメディア運営者に大きな影響が出てくると考えられます。
——Cookieは、ブラウザの入力を不要にするなどユーザーの利便性を上げる技術ともいえる。規制が進むと、逆に利便性を下げることにならないか?
実はその懸念はすでに現実化しています。そして、ブラウザを設計・開発できる事業者、またブラウザとOSの間で密接に連携できる事業者、といった人たちの発言力が増していくだけともいえます。すでにそうした懸念は水面下で指摘されており、少しずつ問題意識が広がっているところです。
さらにいえば、GDPRを強化すればするほど、対応できるのは体力のあるプラットフォーマーだけ、すなわちGAFAだけになるという懸念も指摘されています。ユーザーからすると、「どうせ個人情報を抜かれるのなら、厳しい規制に対応できるGAFAの方が安心だし、それでシングルサインオンできれば便利」ということになります。ドイツのメディアコングロマリットであるベルテルスマンのCEOも昨年のインタビューで「このままGDPRが進めば産業競争が成り立たず、メディア産業が死んでしまう」といっています。
本来なら、こうした点をもっと突き詰めて議論しないといけないのですが、GDPRやePRは前述の通り欧州市民の基本的権利に根ざした法制度ですから、データ・プライバシーの保護がどうしても先行します。個々の産業に対していびつな状況が発生しかねないという影響について、ようやく最近になって、競争政策やプラットフォーム規制の実効性という観点からの指摘が出始めたところです。
そもそも、プラットフォーム規制は非常に難しいんです。消費者と事業者の間に立ち取引を効率化する両面市場という構造を持っているため、どちらの側面で規制しても消費者は不利益を被るし、かといって特定の企業に対する規制はWTO違反になります。結果、「寡占状態であり、優越的地位を濫(らん)用する事業者を規制する」というやり方しかできないわけです。
ただ、寡占や濫用の定義についてあいまいな部分が多いので、いくらプラットフォーム規制をしても、実効性に疑問があります。そして最大の問題は、寡占状態であるGAFAを念頭に置いたプラットフォーム規制でも、結局GAFAの方があらゆる面で先行していて優秀なので、現状の動きに対応できていないプラットフォーム事業者の問題だけが浮き彫りになることが多いんですね。日本だと、リクナビの「内定辞退率予測データ」事件がこのケースに相当しますが、リクナビだけでなく、黄色信号が灯っているインターネットサービスはほかにもあります。
そこで、先ほどから話していたプライバシー規制の動きはどうか。まだプライバシーとプラットフォーム規制の密結合はなされていません。これまでの話で何となくわかると思いますが、実はこの2つは論理的に衝突しかねないからです。データ・プライバシーに関する厳しい規制に対応できる体力があるのは、GAFAのような巨大なグローバルプラットフォームしかない。一方でGAFAの影響力を弱めようとプラットフォーム規制を試みると、今度はGAFAほどの水準にない、いわば二番手集団のようなプラットフォーム候補が、脱落していく。結果として、GAFAが生き延びて、より寡占化が進む可能性はきわめて高いといえるでしょう。
——Cookie規制後の広告・メディアビジネスの将来について、何が起こると考えられる?
ひとつはGoogleが行っているプライバシーサンドボックスの動きですね(参照:「グーグル、広告とプライバシーの両立を目指す『Privacy Sandbox』を提案」)。あれは乱暴にいうと、きわめて精度の高いセグメンテーションであり、「特定の個人を識別していない」という逃げができる技術です。Googleほど巨大なら、それで十分食べていけるでしょうし、その下にいるパブリッシャーもとりあえず食うには困らない程度のビジネスは成り立つでしょう。実際、ここ数年のGoogleを見ていると、個人をターゲティングすることへのビジネス面での関心は下がっているのかな、と感じさせることがあります。
もうひとつは、アップルが中心となって進めている、Cookieを使ったトラッキングを無効化するITP(Intelligent Tracking Prevention)です。これも、広告以外のビジネスモデルを確保できるアップルならではの戦略と言えるでしょう。いずれにせよ、独自にマッチング精度向上に努めてきた独立系アドテク企業にはつらいところです。
ただ、これから5Gが登場するにつれ、第3の道が拓ける可能性があります。実際ゲームではその方向に行き、動画も続く見込みですが、リッチなコンテンツに対し、ユーザーがキャリア経由で利用料を払い、そこからレベニューシェアしていく流れですね。ゲーム、動画ときて、今後情報メディア全般にこの考え方が浸透していく可能性があります。従来の広告モデルと、こうした課金モデルが混ざり合った、新しいビジネスモデルが台頭していく蓋然性が高いと考えています。
これから同時多発的に、こうした大きな変化が起こってくるでしょう。ただし、こうした大きな変化に対し、受け皿となる一元的な政府機関は、現時点では不在です。縦割り行政が完全には回避できない中、データ・プライバシー規制やプラットフォーム規制も進むわけで、これからどうやって業界のコンセンサスを取り、対応していくか、非常に大きなテーマだと思います。業界団体だけでなく、ユーザー自身を巻き込みながら、どのようにソフトランディングしていくか一緒に考えていくことが、もしかすると有効なのかもしれません。
(まとめ:岩崎史絵)
本記事は筆者と編集部の独自の取材に基づく内容です。スマートニュースの公式見解ではありません。