毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2024年10月3日
- タイトル:GoogleがIAB Tech Labに提供した3rd Party Cookieに依存しないターゲティング手法”PAIR”
- メインスピーカー:DataSign(データサイン) 代表取締役社長 太田祐一
- MC:ビジネスディベロッパー 宮崎洋史
ポストCookie時代を見据える新たな選択肢
プライバシー保護の観点からサードパーティーCookieに依存しないデジタル広告のあり方が模索されるなか、それに代わる選択肢としてポストCookie技術に関心が集まっています。今回のランチタイムトークでは、グーグルがオープンソース化し、IAB Tech Lab(以下、IABテックラボ)が開発を引き継いだターゲティング手法「PAIR」を話題に取り上げました。
PAIRは、「Publisher Advertiser Identity Reconciliation」の略で、広告を表示するメディアなどパブリッシャー側と、条件を満たす顧客層に広告を配信したいアドバタイザー(広告主)側が、ファーストパーティデータを安全に照合するためのプロトコルです。暗号化技術を活用して消費者のプライバシーを保護しながら、オーディエンスデータの活用を可能にすることを掲げています。
PAIRはもともと、グーグルが提供するオンライン広告プログラム(Google広告)のチームが開発・利用していたものですがオープンソース化し、IABテックラボのRearc Addressability and Privacy Enhancing Technologies (PETs) Working Groupで仕様の開発が進められています。
IABテックラボは、デジタル広告における技術的標準規格の策定や動向調査、自主規制の整備などを担うIAB(Interactive Advertising Bureau)と協業し、標準の開発や実装、コードのメンテナンスなどを引き受ける非営利団体です。
2024年9月26日、PAIR protocol version 1.0が公開され、同年10月25日まで仕様に関するパブリックコメントを受け付けています。
暗号化した状態でオーディエンスデータをマッチング
PAIRにおいて中心的な役割を果たすのがデータクリーンルーム(DCR)です。DCRの主な役割は、暗号化処理、データマッチング、結果の共有という3つです。
パブリッシャーとアドバタイザーは、それぞれ自社が保有するユーザーのメールアドレスや電話番号などのPII(Personally Identifiable Information)を照合し、広告する商品やサービスの購入に興味を持ちそうな顧客層を絞り込みます。ところが、もしPIIが誰でも読める平文ならば、データがデジタル広告のサプライチェーンを転々とするうちに利用目的外で使われるおそれなどがあります。そこでDCRがデータの暗号化や照合のほか、パブリッシャーとアドバタイザーにそれぞれアップロードされたPIIのうちどれくらいの割合でマッチしたのか、といった広告効果に関する情報を分別して返す機能を果たします。
DCRはほかにも、プライバシー保護メカニズムの実装、コンプライアンス確保、オプトアウト管理などの役割を担う、としています。
PAIRの実装においては、DCR単体での運用だけでなく、パブリッシャーとアドバタイザーがそれぞれ運用するDCRを連携する方法、またDCRをTEE(Trusted Execution Environment)と呼ばれるクラウド上の高信頼な実行環境に配置する方法などが挙げられています。
日本における個人情報保護法との兼ね合いは?
この日のランチタイムトークで話題になったのは、PAIRにおいて広告主やメディアがDCRにアップロードした個人のメールアドレスや電話番号などの機微なデータ(PII)が個人情報保護法ではどう位置づけられるのかが話題になりました。
個人情報保護委員会が公開する「個人情報の保護に関する法律についてのガイドライン」に関するQ&A 平成29年2月16 日(令和6年3月1日更新)のQ7-41には「委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか」という問いがあり、それに対して回答は「突合することはできません」となっています。現行法(令和2年改正法)でこれらの取り扱いをする場合には、外部事業者に対する個人データの「第三者提供」か「委託」か、を整理したうえでそれぞれ必要な対応を講じなければなりません。
「PAIRは、(2024年9月19日配信ランチタイムトークで触れた)グーグルのコンフィディンシャルマッチングに類似する仕組みです。その点で、個人データの第三者提供か委託かのどちらに整理したとしても、DCRがトラスト(信頼)できるかどうかがプライバシー保護の実効性を左右します。運営上のガバナンスがどのように担保されるのかは論点の1つでしょう」(データサイン 代表取締役社長 太田祐一)