2020年08月03日

「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制

立教大学ビジネススクール 大学院ビジネスデザイン研究科 教授   田中 道昭

デジタルトランスフォーメーション(DX) 規制・制度改革 などの記事に関心のあるあなたへ

btn-mag-b.png
基礎研 Report Head Lineではそんなあなたにおすすめのメルマガ配信中!
各種レポート配信をメールでお知らせするので読み逃しを防ぎます!

ご登録はこちら

twitter Facebook このエントリーをはてなブックマークに追加 Pocketで後で読む

文字サイズ

6|結局、クッキーはどうなるのか?
結局クッキーはどうなるのかについて、次の5つのポイントとして整理する。
 
第一に、クッキーは、欧州GDPRやCCPAにおいては法令上の個人情報として取り扱われる。もし企業がその第三者提供や利用・取扱いの際に法令違反すれば、厳しい罰則が科される可能性がある。グーグルがターゲット広告目的のデータ収集が不適切であったとして5000万ユーロ(62億円)の制裁金を科されたのは顕著な例である。よって第二に、法令上、サードパーティクッキーの利活用が制限される。現在デジタル広告のエコシステムほぼ全体がターゲティング広告でサードパーティクッキーに依存していると言っても過言ではなく、そのターゲティングの精度が低下すると考えられる。第三に、技術上、ユーザーのブラウザレベルでトラッキング認定されるクッキーを無効化するトラッキング防止が浸透することから、デジタル広告のエコシステムからサードパーティクッキーが締め出される。アップル「サファリ」や「ファイヤーフォックス」には既にトラッキング防止機能が備えられている。グーグル「クローム」も2年以内のクッキー規制を表明している。事業者が、法令上だけでなく、技術的かつ自主的にもクッキーを使用しない動きにあるわけである。
 
以上のことから第四に、ファーストパーティクッキーや0パーティデータが重視される。企業には、これらを管理するコンセントマネジメントのもと、ユーザーとの「継続的で良好な関係性」が求められ、またそれによってメディアと広告の関係にも変化が生じる。そして第五に、サードパーティクッキーを使用したトラッキングとは異なる手法がデジタル広告に使用されるようになる。例えば、IAB傘下の非営利団体「デジトラスト」加盟のアドテック・ベンダーなどが共通のユーザーIDを使用してユーザーを識別するソリューション、入札の仕組みに頼らないプライベートマーケットプレイスでの広告取引などである。さらには、新しい価値観で支持をのばすブラウザ「ブレイブ」、グーグルが2019年8月に構想を打ち出したプライバシーを強化するオープンなエコシステム「プライバシーサンドボックス」にも注目する必要がある。
 

3――CES2020であらわになった根強い批判

3――CES2020であらわになった根強い批判

1|チーフプライバシーオフィサー(CPO)・ラウンドテーブル
2020年1月、米国ラスベガスで開催された世界最大級の家電・技術見本市「CES2020」において、「チーフプライバシーオフィサー(CPO)」によるパネルディスカッションが開かれた。CES2020において多くのセッションがある中でも、このパネルディスカッションは最も注目を集めたセッションの1つであった。
 
注目を集めた背景には、「データの利活用」とともに「プライバシーの保護」が求められてきた社会情勢のなかでCPOという新しい役職への関心が高まっていたこと、1992年以来28年ぶりにCESへ参加したアップルのCPOが登壇したこと、個人データ流出などでプライバシー問題の中心にあったフェイスブックのCPOも登壇したことなど、複数の理由があった。合わせて、日本の公正取引委員会にあたる連邦取引委員会(FTC)のコミッショナーが登壇したことも話題になった。
 
筆者自身、GAFAをはじめとするメガテック企業の「ビッグデータ×AI」の利活用と、そこにおける個人データの取扱いやプライバシー対応に関心を持ち、セッションに参加した。そこで、筆者は、プライバシー重視で高い評価を受けるアップルでさえも、FTCからはプライバシー重視への取り組みがまだ十分ではないと見なされている、その事実に驚いた。
 
パネルディスカッションに参加したのは、アップルとフェイスブックのCPO、FTCのコミッショナー、そして世界最大の消費財メーカーP&GのCPOとモデレーターを含めた5名であった。テーマは「チーフプライバシーオフィサー・ラウンドテーブル:消費者は何を求めているのか?(What Do Consumers Want?)」。成長するデータ・エコノミーや進化するテクノロジーという状況で、企業は消費者の個人データやプライバシーとどのように対峙し、それらをどのように保護する仕組みを構築していくのかについて、意見が交わされた。
 
そこで中心となったスピーカーは、アップルとフェイスブックであった。アップルは「プライバシーは、基本的人権です」(アップルコーポレートサイト)として、ティム・クックCEOの方針のもと厳格なプライバシー基準を設け、メガテック企業のなかでは特別強く、ユーザー保護をうたってきた。パネルディスカッションにおいて、アップルのジェーン・ホバースCPOは、アップルのプライバシー保護の方針を「消費者を運転席に置くこと(to put the consumers in the driver's seat)」と表現した。これは、ユーザーが個人データを自ら管理し、さらには個人データをどのように扱わせるかについて自ら選択するということを意味する。また「プライバシー・バイ・デザイン」というプライバシー方針にのっとり、ホバースCPOの部門にはプライバシー・エンジニアとプライバシー・ロイヤーが所属、チームとしてアップルのすべての製品・サービスの開発段階からかかわっていることが説明された。
 
さらに、ホバースCPOは「データ・ミニマイゼーション」にも言及。これは、「ユーザーから収集する個人データを最小限に抑える、活用する個人データを最小限に抑える」という概念であり、アップルのプライバシー方針のなかで極めて重要な位置を占めるものである。ホバースCPOは、アップルの音声認識AIアシスタント「Siri」を例に、データ・ミニマイゼーションの考え方を示した。例えば、ユーザーが「Siri」に天気予報をたずねる場合、アップルはユーザーがいる場所を広域レベルで把握するだけで、より細かい位置情報は収集しない。一方で、ユーザーが近くのレストランを「Siri」にたずねる場合、アップルは最適なレコメンデーションをするために、ユーザーが位置する緯度・経度といったピンポイントのレベルまで探索する。つまりアップルは、用途に応じて、必要最小限の個人データしか収集しない、と主張しているのである。
 
一方、2018年4月の個人データ流出事件を受けて「未来はプライベートです。(the future is private.)」(2019年「F8」でのマーク・ザッカーバーグCEOの基調演説)としてプライバシーやセキュリティをさらに強化・重視する姿勢を示してきているフェイスブックからは、エリン・イーガンCPOが登壇した。フェイスブックは、その最大8700万人にものぼる個人データ流出事件によって、2018年7月英国規制当局から50万ポンドの制裁金が科された。また、2019年7月には、米国でも、FTCから同事件の制裁金として50万ドルが科されている。フェイスブックがプライバシー問題の中心に置かれていたことは明白で、パネルディスカッションにおいてイーガンCPOがどのような発言をするのか、注目を集めていた。イーガンCPOは、新しい「プライバシー診断ツール」を紹介し、自分たちはプライバシー方針を遵守していると主張。その一方で、カリフォルニア州CCPAの遵守方針に関しては、「フェイスブックはサービスプロバイダーとして広告を売っているのであって個人データを売っているわけではない」、したがって同法は適用されないと発言するなど、会場から批判的に捉えられる場面も何度か見受けられた。
 
正直なところ、筆者には、フェイスブックはプライバシー問題の所在や同社が社会から求められていることを本当に理解しているのか疑わざるを得ないような発言が目立ったようにも感じられた。フェイスブックに向けられた批判は、プライバシー保護の意識がそれだけ浸透していることを表している。
 
「アメリカ企業は消費者のプライバシーを守っていると思いますか」とモデレーターが質問したところ、アップルとフェイスブックはいずれも「自社については守っていると思います」と回答。それに対してFTCのレベッカ・スローター・コミッショナーは、「企業によるプライバシー遵守への取り組みは不十分である」と発言した。スローター氏は、個別の企業や製品・サービスを想定しての発言ではないとしているが、実際には、アップルとフェイスブックの説明をふまえての発言であるように思われた。
 
スローター氏は、プライバシー分野の専門家である自分からしても、企業のプライバシー規約やユーザーによるプライバシー・レベルの設定手順は複雑でわかりにくい、と主張。「今日、消費者がプライバシーチェックを通過できたとしても、データで何が起こっているのかを把握するために処理しなければならない情報量は、ほとんどの人にとって受け入れがたいものです」とスローター氏は言った。そのような中で、「プライバシーは消費者の選択である、個人データがどのように扱われるかを決めるのは消費者自身である」といった企業側の方針はいくぶん乱暴なものではないかという考え方も示した。企業側が個人データを保護するための負担を消費者側に負わせていることについて懸念を表明したわけである。その上で同氏は、「収集、保持、共有されるデータの量を最小限に抑えるべきだ」と述べた。
 
質疑応答では「この広告は事実に反しているのではないか?」、また「掲示された時点からの改善状況はどのようなものか?」といった質問がメディアから投げかけられた。
 
「この広告」とは、昨年のCES2019開催中ラスベガスの街の中心に掲げられた「iPhoneの中で起こることは、iPhoneの中に残ります。(What happens on your iPhone, stays on your iPhone.)」という、プライバシー重視の姿勢をアピールするアップルの広告である。
 
例えば、iPhoneの地図アプリを使った場合に生成される個人データがアップルIDに紐付けられることなく、また利用履歴がアップルのクラウド上に保存されることなく、あくまでiPhoneというデバイスの中に残るということである。
 
しかし「この広告は事実に反しているのではないか?」という質問に対し、ホバースCPOから完全な回答はなかったように見受けられた。確かに、アップルは、マップやAIアシスタント「Siri」など個人の特定につながる情報はデバイス上で保存される。つまり、それらデータがアップルのサーバやクラウドに保存されることはない、またサーバに保存されているアップルIDに紐付く氏名や住所などの個人情報と紐付いていないため個人が特定されることもない、ということである。しかし、事実として、アップルIDに紐付いた氏名や電話番号などはサーバに保存され、個人の設定として写真やヘルスケア情報をアップルIDと紐付けてクラウドにバックアップすることも可能である。その点が、「この広告は事実に反しているのではないか?」という指摘につながるのである。
 
プライバシー保護へ積極的に取り組んできたアップルでさえもこのような厳しい目を向けられる、これほどにプライバシー重視を求める世論の声が高まっているのは、なぜか。言うまでもなく、クッキー規制の影響である。米国においては、CCPAのような法規制はカリフォルニア州に限定されている。しかしパネルディスカッションで、FTCのスローター氏は、個人的な見解としながらも「連邦レベルでも同様の法律が制定されるべきであり、それは2021年までに法制化される可能性が高い」という見通しを示している。こうしたプライバシー規制強化の流れは、アメリカにおいてはもはや不可逆となってきており、アップル、グーグルらGAFAは今後さらなる厳しい目にさらされることになるであろう。
2|周回遅れにある日本に求められるもの
日本では、プライバシーについての米国の現状の詳細を知るビジネスパーソンは依然少なく、そもそも「チーフプライバシーオフィサー」という役職名を聞いたことがある人自体少ないのではないかと思われる。日本は、データの利活用に関して、米国メガテック企業に比べて著しく遅れをとっていることがかねてから指摘されている。また、プライバシー重視の姿勢や法規制についても、さらに周回遅れの状況である。
 
CES2020での重要なテーマとして「データの利活用」と「プライバシーの保護」の両立が挙げられた。「データの時代」となっていることが明白である一方、同時に「プライバシーの時代」でもある。つまり、「データの利活用」と「プライバシーの保護」を両立させなければならない時代が到来しているということである。
 
このような中で、日本にはどのような対応が求められているのであろうか。それは、「データの利活用」でも「プライバシーの保護」でも周回遅れであるからこそ、両者の状況を冷静に分析し、より的確な答えを見出だしていくことである。そして、むしろ後発者利益を企図して享受するような、さらにはその両立において世界をリードするような戦略的な動きをとっていくべきではないかと考える。
 
米国では、ここ数年、プライバシーを保護するためのテクノロジーである「プライバシー・テック」の製品・サービスが支持されている。プライバシー重視で高い評価を受けるアップルでさえも、FTCからはプライバシー重視への取り組みが十分ではないと示唆された点は驚くべきことである。日本においても、今後、こうした「プライバシー・テック」やプライバシー重視の流れが押し寄せてくると考えられる。その意味で、日本企業には今後ますます、「データの利活用」と「プライバシーの保護」の両立に関して、本質的かつ具体的な対応が求められてくるであろう。
 
 

(お願い)本誌記載のデータは各種の情報源から入手・加工したものであり、その正確性と安全性を保証するものではありません。また、本誌は情報提供が目的であり、記載の意見や予測は、いかなる契約の締結や解約を勧誘するものではありません。
twitter Facebook このエントリーをはてなブックマークに追加 Pocketで後で読む

立教大学ビジネススクール 大学院ビジネスデザイン研究科 教授

田中 道昭

研究・専門分野

(2020年08月03日「基礎研レポート」)

アクセスランキング

レポート紹介

【「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。

「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制のレポート Topへ