ターゲティング広告をめぐる攻防

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2020年11月5日 
• タイトル： ターゲティング広告をめぐる攻防
• 発表者：株式会社データサイン 代表取締役社長 太田祐一

プライバシー保護当局 vs アドテクギルド

ターゲティング広告をめぐる3者（プライバシー保護当局、ウォールドガーデン、アドテクギルド）のせめぎ合いが続いています。昨今の状況をデータサインの代表取締役社長 太田祐一が解説しました。

「プライバシー保護当局とは、欧州GDPR（一般データ保護規則）や、自国で定めたプライバシー保護制度を侵害しないようにデジタル広告市場を監督する組織や関係団体で、主にベルギーのDPA、フランスのCNIL（注１）、EDPB（欧州データ保護会議、注２）、またアイルランド当局と関係の深いICCLなどが含まれます」（太田）

一方、ウォールドガーデン（Walled Gardens）とは、いわばGoogleやFacebookのこと。自社サイトが発行するIDを付与した多数の利用会員を擁し、会員データをもとに自社メディアで広告ビジネスを展開するプラットフォーム事業者を意味します。自社の事業基盤のなかでも十分に広告事業が成り立つほど巨大で寡占的な市場が「壁に囲まれた庭」ということです。

3番目のアドテクギルドとは、ウォールドガーデンのような会員組織基盤やSNSメディアを持たないものの、様々なWebサイトのデータを収集しながらターゲティング広告などを打ち出す広告テクノロジー事業者を表す造語です。ギルドとは商工業者の組合団体。theTradeDeskなどのDSP、LiveRampのようなDMP/CDP（Customer Data Platform）、またこうした企業が参加して立ち上げるPRAM（後述）や米国IAB、日本では日本インタラクティブ広告協会（JIAA/IABジャパン）などの自主規制団体が該当します。なお、アドネットワークに参加するGoogleなども、ある意味でアドテクギルドの一面を有します。

さて、プライバシー保護当局 vs アドテクギルドの例として太田は、2020年10月16日にtechcrunch.comに取り上げられた、ベルギーDPAが、IAB Europeが策定したTCF2.0という広告トラッキング同意フレームワーク（個人データの利用に関する同意状態を共有する仕様）がGDPRに適合しないと判断した、という記事を紹介しました。

「この記事について、IAB Europeが『我々が利用者から同意に関するデータを取得し、それをアドテク事業者に使わせている』という主旨の表現は誤りだと、記事を掲載したメディアを批判しています。IAB Europeの批判には一理ありますが、アドテクギルドがよりどころとするTCF2.0がGDPRに適合している、という点については私個人も懐疑的です（注３）」（太田）

プライバシー保護当局 vs ウォールドガーデン

2020年7月、EUの最高裁である司法裁判所が、プライバシーシールドの無効性を示しました。プライバシーシールドは、EEA（欧州経済地域）とUS（米国）の間で個人データを商用目的で移転することを認めたフレームワークです。EU域外にデータを移転することを例外的に認めるGDPRのセーフハーバー（Safe Harbor）に変わるルールとして策定されました。このため、欧米間のデータ移転については、欧州委員会が定めるSCC（Standard Contractual Clauses、標準契約条項）などが用いられます。

ところが、2020年8月19日のtechcrunch.comの記事によると、欧州のプライバシーキャンペーングループであるnoybが、GoogleアナリティクスやFacebook Connectなど、SCCを法的根拠にEEAから米国にデータを送信するツールを利用する　101のWebサイトの運営者を対象に、EUの司法裁判所に訴えを起こしたとあります。

「これに対して、ウォールドガーデン側は『法制度が変わってまだ間がなく、SCCに関する両国の法的解釈も定まっていない。もう少し時間をいただきたい』という姿勢です。データ転送については欧米間での法制度の違いもあり、決着はついていません」（太田）

アドテクギルド vs ウォールドガーデン

2020年8月に「The Partnership for Responsible Addressable Media」（PRAM）というアドテクギルドが参加する組織が設立されました。

「こちらの組織はGoogleが提唱するプライバシーサンドボックス（注４）に一定の距離を置くアドテクギルドの団結と捉えることができます」（太田）

プライバシーサンドボックスは、サードパーティCookieの利用を代替するものとしてW3Cで標準化が進められますが、利用者に関するデータをブラウザ側、たとえばGoogleのChrome側に保持して、アドテクギルドがアクセスするサーバー側には保存できない仕様です。

「そのため、ウォールドガーデン側が有利で不公平な仕様だ、という認識があるようです。そこでPRAMが掲げているのは、メールアドレスベースのIDです」（太田） 

メールアドレスベースのIDは、メールアドレスをハッシュ化する（ハッシュ関数を用いて暗号化した識別子に置き換える）もので、この取り組みはUnified ID 2.0と呼ばれます。

もともとPRAMに参画するIAB Tech LabはDigiTrust ID、theTradeDeskはUnified ID Solution、LiveRampはアドバタイジング ID コンソーシアムという、ブラウザを一意に特定できるターゲティング広告の仕組みをそれぞれ提唱していました。ただ、いずれもサードパーティCookieを利用するものであり、プライバシー保護規制のもとで利用できなくなる見通しです。

「そこでTCF2.0で同意状態の共有を行う仕組みにしようとしたところ、前述のようにプライバシー保護当局からGDPRへの抵触を指摘されます。その代替案としてPRAMが統一的に打ち出すのが、メールアドレスベースのIDと見られます」（太田）

PRAMが提唱するメールアドレスID 以外にも、ハッシュ化したメールアドレスとフィンガープリントを組み合わせるIDなど、アドテクギルドにおいてはターゲティング広告を行うためのIDの模索が続いています。果たして、新たなIDは規制当局や市民の理解を得られるでしょうか。

「広告そのものに非があるわけなく、プライバシーを守ったうえで情報を活用し、利用者1人ひとりに適した広告が届けばそれが最もよいはずです。その意味で、ターゲティング広告をめぐるプライバシー保護当局、ウォールドガーデン、アドテクギルドの3者の動きには今後もぜひ注目していただきたいと思います」（太田）

関連記事

• 注１ CNILが採択したトレーサーに関する改訂ガイドラインを読む
• 注２ ソーシャルメディアにおけるターゲティングのガイドライン（前編）
• 注３ RTB（Real-Time Bidding）の仕組み
• 注４ プライバシーサンドボックス