広告事業者と個人情報の取り扱い

WRITER: kimura_shuhei
このエントリーをはてなブックマークに追加

はじめに

AI事業本部 Dynalystの事業責任者の木村です。

今回のブログでは昨今話題に挙がることが増えた、個人情報の取り扱いに関して、広告事業者の立場から紹介させていただきます。

※ 私は法律の専門家ではありませんので、法の解釈等に関しては詳しく述べません。

さて、具体的にキーワードを挙げていくと、

  • iOS/Android Limit Ad Tracking
  • Apple ITP (Intelligent Tracking Prevention)
  • Google Chrome 3rdParty Cookieの猶予付き廃止(予定)
  • ePrivacy Directive => ePrivacy Regulation
  • GDPR (EU)
  • CCPA (US/CA)

などなど、色々な状況の変化と対峙する機会が増えました。要するに、「ユーザーの情報は適切に扱いましょう」という世の中の流れがあるわけです。

GDPRはEU圏だから関係ないとか、IDFAは個人情報ではないとかそういった法の解釈の話というより、そもそもどう扱うことが適切なのか?という基本的な意識が大事になります。

直接的なユーザーインターフェースを持たない広告事業者

広告事業者は広告を配信するシステムをサービスとして提供しています。広告表示はユーザーが何かのアプリを利用しているときや、Webサイトを閲覧している時など、基本的には、間接的に利用していると捉えることができます。(ユーザーは広告そのものをみることはありますが、広告配信サービスを提供している会社やプロダクトのことは普通はあまり気にしません。)

一方で、EU圏で施行されている、GDPR, ePrivacy Regulationでは、オプトイン型と呼ばれている、事前の同意確認の仕組みが義務付けられています。これは、広告事業者からみると、直接的にインターフェースを持たないため、実際の対応作業としては、お客様(広告主様)サービスの対応事項のように思われます。

ところが、GDPRでは責任の所在に関してかなり詳しく規定されており、そのなかに共同管理者という概念があります。Webサイトの管理者に加えて、データを連携する先の事業者も責任を負うケースの想定が重要です。

※ Fashion ID Judgementという事例が非常に有名です。参考: https://japan.cnet.com/article/35140586/

広告事業者のやるべきこととしては、当たり前の話ですが、まずは、どういう目的でどういったデータを収集しますという内容の明文化と開示(プライバシーポリシー)が大事になります。

GDPRの適用配下においては、ユーザーが直接利用するサービス側の同意取得の機能にその内容をわかりやすい形で提供し、OK/NGと選択できるようにしてもらう必要があります。

難しいのが、ユーザーにとってのインターフェースが用意できても、想像以上にたくさんの事業者が関わっていることです。おそらくですが、全ての選択肢に対してOK/NGを選択してもらうのは現実的ではないと考えられます。

対応が進んでいるEU圏のサイトなどを見ると、

  • Strictly Necessary Cookies
  • Performance Cookies
  • Targeting Cookies
  • Social Media Cookies

などの大分類を設けて、それぞれで一括でOK/NGをコントロールできるようにしていたりします。名前の通りですが、それぞれ、サービス提供上必須なもの(Cartの機能や、言語設定保存etc)、アクセス解析用途のもの、ターゲティング広告用途のもの、SNS系のPluginを利用する際のもの、といった意味になります。

対応の仕方は様々で、悪い例として挙げられてしまうサイトもあります。詳しくはここでは紹介しませんが、

Cookieウォール」と呼ばれている同意しないとそもそもサービスを利用できない事例や、サービスを利用し続ける = 暗黙の同意 とみなす事例、OKのボタンだけがありNGにできない事例などがあります。

CookieWallの例
CookieWallの例

国 x プラットフォーマー企業

日本でどうなっていくかは現在進行形で見直しが進んでいるところですが、世界でどうなっているかを理解することは流れを把握する上で重要なことです。話題に挙がることが多いのはGDPRやCCPAですが、中国、ブラジル、インドなどでも類似したものがあります。

中国ではCS法のなかのガイドラインで「オプトアウト型」でユーザーに明示するように義務付けられています。ブラジル(LGPD)、インド(PDPB)では、主に年少者に対する保護について厳しく取り締まるようです。

他方、プラットフォーマー企業はテクノロジーで課題を解決する動きを進めています。ITPでは[Intelligent]とあるように、ある程度のルールはありつつも、MachineLearningを活用して、クロスサイトトラッキングなどを目的としていそうなトラッカーを推論/判定します。

Private Sandboxという枠組みでは、エッジとなる端末、ブラウザ内でデータを保護し、プライバシーに準拠した各種API(仕様策定中)を利用させる形に変えることで、インターネットのエコシステムを守りながら健全化しようとしています。

※ Private Sandoxに関してはいまも活発に議論が行われており、情報のキャッチアップは必須事項だと考えています。

おわりに

各国の法整備や、プラットフォーマーの動きが活発な状況ですが、現状の対応にもまだ抜け漏れがある可能性もあります。

当然、同意取得だけやればいい訳ではなく、協力会社や、専門部署の設置など、周辺で整えなければいけないことはたくさんあります。今回はエンジニアリングの観点から紹介させていただきましたが、個人情報の扱いについての入り口として参考にしていただけると幸いです。

kimura_shuhei
2011年新卒入社。AI事業本部 Dynalystの事業責任者です。普段はPdM的な役割をしていますが、たまにMLOps領域のエンジニアリングの仕事したりしています。
Redshiftで長時間実行中のクエリを検知してSlackに通知する
次の記事
Write better tests with ScalaTest
前の記事