2021年6月末に3日間にわたり開催し、
ご好評のうちに終了した「DAC Digital Update Week 2021」。
第3回は『プライバシー保護法とクッキーレス時代に備える!マーケターが押さえるべき最新のソリューションとは?』と題したセッションの内容をご紹介。データ活用に関する法的規制、技術的規制を整理した上で、同意取得ツールやデータクリーンルームをはじめとした、マーケターが押さえるべき最新のソリューションについてご紹介します。
登壇:DAC パートナービジネス本部 シニアマネージャー 岩井 崇明
はじめに
1996年に始まり2000年代を通じて技術的発展を遂げた日本のインターネットですが、ターニングポイントは2017年から2018年。ユーザープライバシーを保護するためのさまざまな法的・技術的な規制により、インターネット広告あるいはデジタルマーケティングの世界は、ユーザーデータ活用の拡大から、ユーザーデータの保護を前提とする時代に移り変わっています。
このセッションの狙いは、法律による規制と技術的な規制についての理解を促し、実施中もしくはこれから検討するマーケティングのプロセスにおいて、法的なリスクがないかどうかはもちろん、レピュテーションリスク、つまり消費者のプライバシー保護に鑑みて不適切でないかという観点を皆様に持っていただくこと。また、技術規制の内容とその進行、影響範囲を正しく理解し、代替手段として取り得るべき内容、またそれらのメリットデメリットをしっかり押さえていただくことです。
法的な規制―プライバシー保護法を理解する
現在、世界各地でさまざまなプライバシー関連保護法が改正ないしは施行されており、ヨーロッパにおいては2018年からのGDPR、アメリカにおいては2020年からのカリフォルニア州の消費者保護法CCPAがよく知られているところです。日本には個人情報保護法がありますが、これはパーソナルデータすべての保護、取り決めをしているわけではなく、個人情報に該当しないデータの取り扱いに関しては各業界の自主規制に委ねられています。たとえばインターネット広告においてはJIAA(一般社団法人日本インタラクティブ広告協会)が定めるプライバシーポリシーガイドラインを参考にしながら、プライバシー保護を考える必要があります。個人情報保護法は2020年6月に改正が可決し、2022年4月から施行されることになっています。
そもそも個人情報保護法が取り扱いを定める「個人情報」の定義とは何でしょうか。
「個人情報」とは、個人を識別する情報、つまり〇〇さんであるというところまで遡れる情報を意味します。ということは、特定の〇〇さんというところまで遡ることができない情報は、パーソナルデータではありますが、個人情報には該当しないということになる。ですから今回の改正においても、クッキーに代表されるような匿名の情報、それ単体では特定の個人を識別しない情報に関しては、「個人情報」には該当しません。ただし今回の法改正において、クッキーデータなどについて新たに用語定義がされています。それが「個人関連情報」です。これにより、デジタルマーケティングにどのような影響があるのでしょうか。
改正の内容のうち最も重要なポイントとなる、改正法26条の2第1項の第1号には、「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供において、本人同意が得られていること等の確認を義務付ける」とあります。
つまり個人関連情報であるクッキーを集めている段階においては個人情報ではないが、たとえばクッキーデータを集めている会社がほかの会社にそのデータを第三者提供すると、提供先の会社において個人情報データベースと紐づけられることがあり得る、ということです。この場合に、2022年4月施行の改正法においては、消費者本人の同意を取っているかどうかを確認しなければなりません。そこで問題は、マーケティングのどのようなケースが今回の規制内容に該当するかが非常にわかりにくいということ。あるいは同意を取るにしても、提供元企業なのか提供先企業なのか、誰がどのような手段で明示的な同意を取っていけばいいのかという点です。これらに関しては、個人情報保護委員会が定めるガイドラインなどを参考にしながら、個々のマーケティングプロセスを点検していく必要があります。
たとえば提供元がDMP会社(クッキーに紐づく興味関心データなどの提供)であり提供先が顧客データを持つ事業会社の場合や、あるいは提供元の企業が事業会社(サイト閲覧データなどのクッキーデータの提供)であり提供先が個人情報を持つ媒体・プラットフォームである場合などが考えられますが、それぞれ、個々のケースで点検をしていく必要があることを押さえていただければと思います。
今回の改正法で、どんな観点で確認をしていけばよいのかをチャートにまとめました。
事業会社の皆様がお持ちのデータが、まずは「個人情報」なのかそうではないのかをよく点検してください。いずれにしても第三者提供をするのか、受けるのか、まったく伴わないのかのプロセスの分類もしていただく必要があります。そして第三者提供をする・あるいは受ける場合、そのデータが「個人情報」である場合は消費者本人の同意の取得が前提になります。さらに今回の法改正では、クッキーデータのような「個人関連情報」でも、第三者提供を伴う場合は、その提供プロセスにおいて個人情報と紐づくのか、紐づく場合には消費者本人の同意が必要になるという整理になります。ぜひこちらのチャートを参考に皆様のマーケティングプロセスを点検してはいかがでしょうか。
消費者本人の同意の取得については、先行しているヨーロッパや北米の例が参考になります。
たとえばヨーロッパのGDPRという法律では、クッキーデータやIPアドレスデータ、それ自体もすべて同意を得なければ収集も活用もしてはいけないように定められていますから、ヨーロッパのマーケターたちの間には、同意管理をするツール「CMP(コンセント・マネジメント・プラットフォーム)」の利用が広がっています。これは消費者がウェブサイトやアプリに訪問した時、データの収集やデータの活用あるいは第三者提供について、ダイアログというポップアップを表示し、消費者に同意取得を促すようなツールなのですが、企業にしてみるとさまざまな同意取得が一元的に管理できるし、消費者にしてもさまざまなツールや目的に対して同意の許可や拒否を行えるため、双方にメリットのあるツールです。弊社はこのCMPのリーディングカンパニーであるSourcepoint(ソースポイント)社と提携し、日本市場における消費者同意管理、ツールの導入について推進を図っていますので、興味のある方はぜひお問い合わせください。
関連記事:
同意取得対応がこれ一つで解決!?CMPツールのご紹介!
記事詳細はこちら>>
データ規制の最新動向に基づいたマーケティングの実現を支援|CMP導入コンサルティングサービス
記事詳細はこちら>>
関連ページ
・CMP サービス紹介ページ
・CMP ツールご紹介資料
・データレギュレーションコンサルティングサービス ご紹介資料
技術的な規制―クッキーレス時代を理解する
現在、技術的な規制対象になっている、あるいはなりつつあるのは、主に3rdパーティクッキーおよび広告IDと言われるものです。
3rdパーティクッキーは、消費者がウェブブラウザでインターネットを利用する際、ユーザーを識別するために使われている技術です。広告IDは、最近ではRDID(リセッタブル・デバイスID)とも呼ばれ、スマートフォンのアプリ上でインターネットを利用する際のユーザーを識別するための技術です。GoogleのChromeブラウザにおいて、2022年までに3rdパーティクッキーを廃止すると発表されたのをきっかけに(※:その後、2023年後半までの廃止に延期を発表)、2020年からクッキー規制は大きな話題になっています。またAppleのSafariブラウザでは、2017年から既にITP(インテリジェント・トラッキング・プリベンション)という規格に基づき、年々クッキー規制が強化されており、3rdパーティクッキーはすでに使用できませんし、1stパーティクッキーにおいても条件付きですが規制対象となっています。またこの春、iPhoneの新しいOS(iOS14.5)がリリースされましたが、このバージョンからIDFA(Identifier for Advertisers)についても規制が始まりました。ただこちらは廃止ではなくオプトイン制への移行で、ユーザーが許可をしなければ識別が行われないという状況です。このように3rdパーティクッキーやIDFAという、オープンなユーザー識別IDが規制されることで、どのような影響が考えられるでしょうか。
まず、主にDSP、アドネットワークといったさまざまなサイトに広告を出す際の行動ターゲティングやリターゲティングなど、ユーザーの過去のデータに基づいたターゲティングに影響があるほか、アプリのリエンゲージメント広告―アプリをインストールしているユーザーへのターゲティングにも影響があります。
具体的には、規制対象であるブラウザやでオプトインしていないiPhoneユーザーに関してはデータが使えませんから、従来の方法によるターゲティングが可能なインプレッションが減ることになります。ただ、ソーシャルメディアにおける、「いいね」やアカウントのフォローに基づいたユーザーターゲティングは、クッキーやIDFAの影響は受けません。また会員制メディアなど単一のウェブサイト内におけるターゲティングに関しては、ドメインを横断する必要がないので、1stパーティクッキーで対応が可能であり、影響は軽微だと言えます。
続いて、今度は効果計測、メジャメントの領域で影響の範囲を考えてみます。これまでクッキーやIDFAを使い行われてきたコンバージョンの計測、アプリで言うインストールの計測、またビュースルーサイト訪問、あるいはビュースルーサーチといった、広告を見た後にユーザーが行うアクションの計測に影響があります。
具体的には、ターゲティング同様、従来手法で計測可能な条件が減るので、これまでの計測コンバージョン数よりも少ない件数しか計測できない、といった影響です。また、OSやブラウザ別など条件別での比較についても前提条件が変わるので、困難になります。ただしターゲティング同様、ソーシャルメディア内におけるエンゲージメント計測においては、クッキーもIDFAも関係ありませんし、広告のインプレッション数、クリック数は、特にドメインをまたいで計測しなければならないものではないので、影響は受けません。
ではこれらに対して具体的に今後どのような手段を取り得るのか。こちらのマトリックスをもとにお話します。
横軸はユーザーの識別のレベルで、左側はクッキー、IDFAがなくなっても引き続きユーザーを個別に識別しようとするアプローチ。右側は、統計的な値だけわかれば、たとえばターゲティングや効果測定ができればユーザーの識別は行わなくてもいいというアプローチ。そして縦軸では、上側が確定的なデータを使うアプローチ、下側が推定的なデータで問題解決するアプローチになります。このうち第一象限から第三象限が、現在具体的に取り得る手段となります。
第一象限は、ユーザーの識別をあきらめて、統計値レベルのデータでもって引き続きデータマーケティングを行っていこうとする領域です。端的に言うと規制してきているOSやブラウザが用意している代替手段があるので、それを使っていくことを指します。
たとえばChromeはクッキー規制にあたり、プライバシーサンドボックス/FLoC(フロック)という代替手段を提示しています。ブラウザ自体は引き続きユーザーを識別し、ユーザーの関心があるデータを収集します。しかし広告を買い付けるバイヤー―DSPなり広告会社なり広告主なり―にはユーザーのIDは渡さずに、FLoC IDと言われるコホート、つまり「群」の情報だけを渡します。コホートは同じ興味関心傾向を持ったユーザーの集まりですので、広告バイヤーはこのコホートIDをターゲティングの判断軸に、広告を買うかどうか判断してください、という規格です。Chromeはこれによって現行に近いようなターゲティングは可能としていますが、広告のバイサイド側にユーザーを識別するキー(ユーザーID)がないため、つねにChromeに問い合わせて判断する必要があり、さらにデータを蓄積しての事後の分析等ができなくなる、という点で現行とは大きく異なります。
第二象限は、クッキーやIDFAの代わりとなるIDをつくり、ユーザー識別しよう、かつそれを確定的なデータでやっていこうとする領域です。この方法では、たとえばLiverampという会社や、The Trade Deskという会社のUnified ID2.0、というソリューションで提示されていますが、彼らが着目しているのはメールアドレスです。会員制のウェブサイトやアプリなどのサービスでは、メールアドレスをログインIDに用いる方式が一般化しているので、このログインメールアドレスベースで独立した共通IDを作っていくのが第二象限のソリューションです。確定的なIDという意味で非常に質が良いというメリットがある一方で、ログイン機能のあるサイトやアプリ、かつログインしているユーザーに限定されるため、ターゲティングできるデータ総量が限られる点は課題でしょう。
また、データクリーンルームと呼ばれる、大手プラットフォーマーが用意する分析環境に、ユーザーのメールアドレス等を連携して広告効果を可視化し、分析するというアプローチも、この第二象限に該当します。この計測用データに関しては、消費者の同意を得ることが前提になりますが、ポストクッキーの一つの大きなソリューションになり得ると考えています。また、コンバージョンAPIというFacebook社によるサーバーサイド計測方法や、Googleのタグマネジャー(GTM)におけるサーバーサイド計測など、クッキー規制の影響を受けない、新しい計測手法も注目されています。
関連記事:
・ゼロ知識の人でもわかる!Googleが提唱するCookieレス対策「Privacy Sandbox」とは?
記事詳細はこちら>>
続いて第三象限です。推定的なデータで新しいID、仮想的な推定IDをつくろうというアプローチです。3rdパーティクッキーと違い、1stパーティクッキーはドメインが異なると同じユーザーであっても異なるIDになってしまいますが、ここに、ユーザーのアクセス条件から「クッキーABCとクッキーBCDは同一ユーザーである」という推定的なアプローチを施し、仮想IDを新たに生成するという技術です。こちらは推定データになるというデメリットはありつつも、ユーザーのログイン等を必要としないため、データ総量が期待できるというメリットがあります。ただし、消費者に対し、プロセスの透明性を担保するためにしっかりとした説明と、同意管理の方法の提供が必要だという点は注意すべきです。
なお弊社DACの「AudienceOne®」というDMPサービスでは、ポストクッキーソリューションとして、既にこの第三象限のアプローチを開発済みであり、他の象限の方法論との組み合わせも含めて、引き続きポストクッキー時代においてもデータマーケティングが活用できるようにしていきます。その際、適切な消費者への説明と同意管理の方法の提供は必須だと考えています。
このように技術的な規制に対しては、技術の選択肢と共にどのパートナーと一緒に実装していくのか―ブラウザ・OSなのか、プラットフォーマーなのか、あるいは第三者ベンダーか―さまざまな選択肢の中から、メリットデメリットを踏まえ検討されるとよろしいかと思います。
ここまで、法的な規制と技術的な規制について、まだ流動的な内容も含め現状への理解を深めていただけるようお話しましたが、皆様でできる備えをしていただきたいですし、我々もサポートしていきたいと思っています。いずれにしても、同意取得済みの1stパーティデータ、つまり「自社の顧客データ」の管理や活用が、ますます重要性を増す時代になってきているということは言えるのではないでしょうか。
関連ページ
・DACの「AudienceOne®」、3rdパーティクッキーに依存しない技術を確立
まとめ
今回は、「DAC Digital Update Week 2021」にて配信しましたセッション『プライバシー保護法とクッキーレス時代に備える!マーケターが押さえるべき最新のソリューションとは?』の内容をご紹介いたしました。
本記事をご覧いただき、内容に興味をお持ちいただけました場合は、ぜひ下記よりお問合せください。
また、今後も「DAC Digital Update Week 2021」にて配信しましたセッションについて、順次ご紹介をさせていただきます。
関連ページ
※本記事は博報堂DYグループの「“生活者データ・ドリブン”
https://seikatsusha-ddm.com/
