の場合は データプライバシーの現状 と感じた方は、あなただけではありません。米国では、連邦レベルで何かが可決される前に、50の州がそれぞれ独自のデータプライバシー法を制定する方向に向かっているようです。この決定権の欠如は、アドテク業界の適応とイノベーションに影響を与えています。技術系企業の多くは、不確実性が高く、正確なルールやパラメータがないため、明確な道筋が見えず、不満を抱いている。
本記事では、データプライバシーに関する規制が今後どのようになるのか、テクノロジー企業がどのような変化をもたらすのか、そして今後数年間の不確実性の中でコンプライアンスを維持するために広告主ができることは何かについて説明します。
データプライバシー規制の不確実性を生み出しているものは何か?
データ・プライバシーの方向性に不確実性を生み出している主な要因は5つあります。
- 新しいデータプライバシー規制は、米国の州やグローバルな地域にまたがって事業を展開する企業にとって、水を差す 存在となりつつあります。例を挙げよう:TechNetの連邦政策ディレクターであるエビー・ヤズダニは、ナショナル・プレスのプライバシー・フェローたちに、州の規制がもたらすコストについて語った。「もし私たちが州法のパッチワークを許し、州法を完全に先取りすることができなければ、アメリカの経済とテクノロジーのリーダーシップに多大な犠牲を払うことになるでしょう。 研究 には、50の州が独自のプライバシー法を制定した場合、10年間で1兆ドルの経済的コストがかかると書かれています。
- 既存の規制は、さらなる制限を加えるための改正を加えている。カリフォルニア州はすでにCPRAでCCPAを改正し、既存の連邦当局がその範囲を広げています。同様に、訴訟が発生すると、EUにおけるSchrems訴訟のように、規制に新しい定義が追加されます。例を挙げます: HHS(HIPAAを規制している)は次のように規定した。 HIPAAにおける偽名データをPHIとするガイダンス 対象事業者が運営するサイトで収集される場合。
- 世界的に規制を強化する方法についての議論が加わり、訴訟が大混乱を引き起こし始めています。さらに、ある州のプライバシー保護法案にある私的訴権は、集団訴訟の可能性を高めています。例訴訟や罰金は、データ漏えいの反動で起きているだけではありません。2022年9月に アイルランドのデータ保護委員会(DPC)がInstagramに罰金を科す を、GDPRの条項に基づいて子供のプライバシーを侵害しているとして提訴しました。この長期にわたる訴えは、未成年者のデータに関するもので、ユーザーが分析ツールにアクセスするためにプロフィールをビジネスアカウントにアップグレードした際に、より公開されることになりました。Metaは、罰金の計算方法に不服があり、この訴訟と戦っています。
- 米国連邦政府は、その役割を理解するのに苦労している。連邦プライバシー法の試みはあったが、成功していない。そして、既存の連邦機関は、このギャップをカバーしようとして、その権限を拡張している。例連邦政府は、連邦プライバシー法の成立を何度も試みてきた。最も顕著なのは 米国データプライバシー保護法(ADPPA) は、カリフォルニア州プライバシー法(CPA)との抵触が懸念され、成立に至っていません。
- テクノロジーには明確な道筋がない。デジタルデータを収集し、データ周りの製品を作る企業は、プライバシー規制の明確な将来の状態がないため、適切な進むべき道について意見が分かれています。例Google Chromeは、外部からの懸念があっても、Cookieの非推奨化を遅らせ、Sandboxでのトピックアプローチを強化し続けています。
このような不確実性の中で、データ利用は各州の司法長官やEUのプライバシー規制当局の監視下におかれています。データを収集、分析、使用するすべての企業は、訴訟やコンプライアンス違反の料金の対象となる可能性があります。
米国の連邦法が州の規制を駆逐する日が近い?
2023年第1四半期末時点で、データプライバシーに関する法律に署名した州は5つあり、さらに19の州が法案を作成中であることがわかりました。このうち4、5州は2023年に成立し、残りは2024年以降に成立すると予想されています。
連邦レベルでは、新たなデータ・プライバシー規制を設ける試みが何度か行われている。Amy Klobuchar (D-Minn.)上院議員を含む複数の連邦指導者が、連邦データ・プライバシー法を導入したが成功しなかった。スザン・デルベネ上院議員(ワシントン州選出)は、次のように提案しました。 オンラインデータプライバシー法 消費者が自分のデータを管理し、連邦取引委員会がそれを執行する権利を与えるというものです。
最近の試みで最もよく知られているのは、米国データプライバシー保護法(ADPPA)である。ADPPAは、米国が提案した連邦オンライン・プライバシー法案で、法律として制定されれば、組織が消費者データをどのように保管し、使用するかを規制することになります。残念ながら、カリフォルニア州のCCPAの擁護者は、ADPPAがカリフォルニア州民を保護するのに十分な強度を有していないと感じていました。ペロシ下院議長は、カリフォルニア州の擁護派と足並みをそろえました、 ひらめき ADPPAは、「カリフォルニア州民を保護し続けなければならず、州はテクノロジーの急速な変化に対応することを許されなければならない」と述べています。
米国データプライバシー保護法(ADPPA)は超党派の支持を得ており、米国が包括的な消費者データプライバシー法の成立に最も近づいたと言えます。しかし、まだ成立していません。2023年、キャシー・マクモリス・ロジャーズ議員がこの法案を再提案すると見られている。
ADPPAが何らかの形で法制化された場合、CCPAとの違いを理解することが重要である。ADPPAは、CCPAを大きく超えて、情報保護の責任を、情報を生成する個人ではなく、情報を処理する者に負わせるものです。以下はその主な違いです:
- データの許容される使用方法を明示し、制限するものです。
- プライバシーとアルゴリズムへの影響評価が必要です。
- オンラインで市民権保護を拡大し、操作から保護します。
- 個人に対して、より広範な訴えを起こす権利を提供する。
ADPPAは、個人情報の使用における差別に市民権保護を拡大し、すべての企業および非営利団体がアルゴリズムの使用を評価する際にプライバシー・バイ・デザインを取り入れることを義務付ける、初の包括的なプライバシー法であると言えます。
しかし、いつかは通るのでしょうか?
このテーマでは、両極端な意見があり、それが麻痺を引き起こしている。近い将来、より多くの州で規制が施行されるため、連邦政府は各州の経験を参考に、国家レベルでどのように機能するかのひな型を作るようです。つまり、データ・プライバシーのコンプライアンスを明確化し、簡素化するための国家的な規制を目にするのは、数年先のことになるかもしれないのです。
GDPRと相対するePrivacy Regulationとは?
一般データ保護規則(GDPR).は、2018年から施行されている欧州連合のデータプライバシー規制で、世界的に最も厳しい規制であるとの見方が強い。
また、最近EUで「ePrivacy Regulation」が提案されました。この規則では、クッキーに関する同意基準を設けています。また、仮名化または匿名化されたデータの使用など、データが処理される場合の基本的なルールも提示されています。この規制は、携帯電話や固定電話などの従来の電子通信サービス事業者に適用されますが、インターネットのインスタントメッセージやVOIPアプリ(電子メール、アプリなど)、さらにIoTなどの機械対機械通信も対象となる予定です。
GDPRが個人データの処理にのみ適用されるのに対し、ePrivacyは非個人データに関するものであっても電子通信を規制するものです。また、クッキーの場合は、一般的にePrivacyが優先されます。ePrivacy規則は2023年中に発効すると予想されており、24ヶ月の移行期間が設けられる予定です。
と呼ばれる米国とEU政府間の互いの国民に関するデータ収集を規制する協定を2022年末に締結しました。 EU-米国データ・プライバシー・フレームワーク.この協定は、EU政府がEUのデータ主体を管理することなく監視することへの懸念から、欧州連合司法裁判所(CJEU)によって覆された以前の協定(プライバシーシールドとセーフハーバー)に代わるものです。新協定は、米国の情報機関によるデータへのアクセスに制限とセーフガードを課し、国家安全保障目的のデータ収集に関する欧州人の苦情を処理・解決する独立した公平な救済メカニズムを確立するものです。
グローバルデジタルデータを活用し、未来のマーケティングを成功に導く
リアルタイムのインタレストデータを活用し、顧客とのエンゲージメントを深め、プランニング、ターゲティング、計測などの成果を最大化します。
データプライバシーに配慮するためにアドテクノロジーはどう変化しているのか?
グーグル
Googleは、Chromeのサードパーティ製Cookieの非推奨を続けています。現在では 2024年下期まで延期.Googleは、英国CMAとの約束を果たすために、プライバシー・サンドボックスが実行可能であるかのように見せかけようとしているのです。
World Wide Web Consortium(W3C)はこのほど、GoogleのTopics広告プラットフォームが良くないと指摘した。 プライバシーに関わることなので、取り組んでいない。W3Cテクニカルアーキテクチャグループ(TAG) 八方ふさがり は、Topics APIの初期設計レビューから、Googleの提案するTopics APIは、ユーザーを "不要な追跡やプロファイリング "から保護せず、"不適切な監視 "の現状を維持するものであると指摘した。TAGの代表は、Googleが提案したTopics APIは、"望まない追跡やプロファイリング "からユーザーを保護できず、"ウェブ上での不適切な監視 "という現状を維持すると書いています。彼らの代表は、"これ以上進めてほしくない "とコメントしています。
ブラウザエンジン開発者のWebkitとMozillaも、Googleのアプローチに否定的な意見を述べ、プライバシーの不備を警告しています。Mozillaは、Topicsは "プライバシーの有意義な保護を提供するというよりも、広告主にとって情報の有用性を低下させる可能性が高い "とまで言っています。
Googleが実用的な解決策に取り組む間、企業はChromeユーザーのサードパーティCookieを利用することができます。これは一部の企業にとっては良いニュースですが、この遅延は代替ソリューションの開発努力を先延ばしにしており、このデータを扱う広告主にとってデータプライバシーが継続的な懸念事項であることも事実です。
トラストピッド
一方、ヨーロッパの主要なテレコムは、ビッグテックにビジネスを奪われる代わりに、独自の広告プラットフォームを作る許可を得ている。オレンジ、ボーダフォン、テレフォニカ、ドイツテレコムの4社は、共同で広告プラットフォーム「TrustPid」を作る。彼ら独自の「プライバシー第一」の広告プラットフォームの開発は、2年前から進められてきた。これにより、4つの事業者は、アマゾン、アップル、グーグル、メタを含む大手テック企業の対抗馬を開発することになる。これはGDPRと今後予定されているePrivacy Regulationに準拠して開発されているため、将来の広告プラットフォームのプライバシーテンプレートになる可能性が非常に高い。
EUの規制当局は、広告ターゲティングのためにユーザーの端末機器から情報を引き出すには、同意を得るしかないと何年も前から言っているので、米国企業はこれを注視しています。しかし、この規制は、同意を得ることを非常に困難にしている。TrustPidがこれを実現する方法を見つけたのであれば、EUの規制当局が好むようなことをやっているのか、世界中が興味を持つだろう。
ユニバーサルID(UID)
EUのプライバシー規制当局は、あらゆるUIDについて同意を必要とする方向に進むよう技術企業に働きかけています。しかし、彼らはAppleがこれを実施する方法について大きな問題を抱えています。AppleのApp Tracking Transparencyポリシーは、アプリ開発者に対し、開発者がユーザーを「追跡」することについてエンドユーザーの許可を求める追加の(Appleがデザインした)プロンプトを表示するよう強制しています。これにより、Appleのエコシステム全体におけるデータに基づく競争と消費者の選択肢がなくなるという懸念があります。 欧州の複数の当局による調査をきっかけに.
結論は?今のところ、同意を得ることが王道です。しかし、将来の明確な道筋はまだ見えていません。
不確実性の中で広告主が自らを守るために何ができるのか?
最終的には、米国連邦政府が、州法間の混乱を解消する法律を制定するでしょう。そして最終的に、Googleはサードパーティ・クッキーを非推奨にするでしょう。しかし、これらの大きな変化はいずれも数年先のことだと思われます。
一方、広告主は、以下の条件を満たしているデータプロバイダーと取引していることを確認する必要があります。 アクティブデータプライバシー規制.米国の州レベルの規制の主要な側面を理解することは、第三者のデータプロバイダーがプライバシーを遵守していることを確認するのに役立ちます。同意の処理に複数のオプション(オプトアウトとオプトインの両方)があるデータパートナーを探します。また、データ要求やプライバシー訴訟への対応策も用意されているはずです。
プライバシーに準拠した第三者データプロバイダーの重要な側面:
- 個人情報の定義が広くなり、仮名IDも含まれるようになったそうです。規制は、現在、仮名IDを含む個人情報の広範な定義を持っています。注:すべてのアドテク企業はユニークなIDを持っており、これは依然として個人データを処理しているため、適切な処理をしているかどうかを確認すること。
- 明確な オプトアウトと必要に応じてのオプトインを用意している。プライバシーを遵守するプロバイダーは、明確なオプトアウトを提供し、健康、宗教などの機密データについてはオプトインを用意しています。
- データ主体のアクセスリクエストに対応する方法があるそうです。仮名データは、要求があったときに検証するのが難しい。プライバシーを遵守するプロバイダーは、この方法をすでに見つけ出しているはずです。
- 私的権利を扱うための計画を持っている。検事総長は法律を執行するために訴訟を起こす能力を持っています。正式な訴訟が起こされる前に、データプロバイダーが対処し、コンプライアンスを示す計画を持っていることを知ることが重要です。
データパートナーが現在、そして将来にわたってデータプライバシー規制の範囲内で作業していることを確認することは非常に重要です。手遅れになる前に、今すぐ最高レベルの規制を計画するのがよいでしょう。そのための唯一の方法は、単独で行うのではなく、パートナーとの協働です。 プライバシー第一のデータパートナー のようにShareThis.