記事のポイント
デジタル・オムニバスはGDPRやAI法などを一括改正し、個人データ定義の狭化やAI学習の正当な利益化など、欧州プライバシー体制を再構築しようとしている。
ビッグテックや中小企業、アドテク仲介業者にとっては負担軽減とデータ活用拡大の好機となる一方、センシティブデータ保護の後退やAI利用拡大を懸念する市民団体も多い。
パブリッシャーは同意摩擦の緩和という恩恵を受けつつも、ブラウザやOSのプライバシーデフォルト強化により、プラットフォーム依存とオープンWebの弱体化が進むリスクと向き合うことになる。
欧州委員会(European Commission)は11月19日、「デジタル・オムニバス・パッケージ(Digital Omnibus package)」を発表し、ヨーロッパのデジタル規制の景観を整理するための大規模な改革パッケージとして打ち出された。
しかし、発表前に流出した草案やコンサルテーションを見るかぎり、このパッケージは単なるお片付けにとどまらない可能性が高い。オムニバスは、EU一般データ保護規則(General Data Protection Regulation、GDPR)の中核部分を改正し、AI学習に関する制限を緩和し、ここほぼ10年にわたってヨーロッパのプライバシーアプローチを特徴づけてきた同意中心の仕組みを軟化させる構えを見せている。
Advertisement
マーケター、アドテク仲介業者、そしてパブリッシャーにとって、これは2018年にGDPRが施行されて以来もっとも大きな欧州プライバシー・ガバナンスの転換点となる可能性がある。
デジタル・オムニバスに盛り込まれると見られる内容
流出した文書や直近のコンサルテーションに基づくと、欧州委員会は複数の枠組みを一括で改正するパッケージを準備していると見られている。対象には、GDPR、AI法(AI Act)、イープライバシー(ePrivacy)、デジタルサービス法(Digital Services Act)、NIS2(ネットワーク・情報システム指令)、デジタル運用レジリエンス法(Digital Operational Resilience Act、DORA)などが含まれる。なかでも注目される変更点は以下のとおりだ。
「個人データ」の定義を狭める。仮名化された識別子は、個人を直接特定しないかぎり、GDPRの外側に置かれる可能性がある。
データ主体の権利を制限する。アクセスや削除の要求は、「データ保護を目的としている」場合を除き、拒否され得る。
センシティブデータの保護を縮小する。強い保護が適用されるのは、データが特性を明示的に示す場合のみであり、特性が推論されるに過ぎない場合には適用されない。
AI学習に関する「正当な利益」根拠を新設する。企業は、仮名化されたデータを含む個人データを、オプトインの同意なしにモデル学習に利用できるようになる。
イープライバシーの要素をGDPRに統合する。セキュリティチェックやオーディエンス測定のための特定のデバイスアクセスは、同意なしで実行可能になる。
「システミックリスク」を持つAIモデルの閾値を引き上げ、大規模な汎用システムのコンプライアンス負担を軽減する。
NIS2、サイバーレジリエンス法(Cyber Resilience Act)、DORAにまたがって重複しているインシデント報告を一本化し、企業が同じインシデントのログを何度も提出せずに済むようにする。
こうした点から、多くのプライバシー法務担当者は、オムニバスを単なる微調整ではなく、ヨーロッパのプライバシー枠組みを広範に再オープンする試みだと見なしている。
GDPRとの違い――「骨抜き」になるのか
多くのアドボカシー団体や監視団体にとって、もっとも論争のある転換は哲学的な点だ。GDPRは、その保護をきわめて広く適用してきた。理論上でも、複雑な再識別を通じて個人に結びつきうるデータであれば、それは「個人データ」として扱われた。
デジタル・オムニバスは、これとは逆方向に進もうとしているように見える。定義が狭くなれば、より多くのデータがGDPRの完全な適用範囲外に置かれる。正当な利益に基づく処理が広がれば、明示的な同意なしに行える処理が増える。
市民的自由を守る団体は、これを後退だと主張する。国際プライバシー専門家協会(International Association of Privacy Professionals、IAPP)は初期分析のなかで、この草案がセンシティブデータの保護を大幅に弱め、AIモデルが個人情報を利用できる余地を前例のないほど拡大する恐れがあると警告した。
一方で、ビジネス寄りのプライバシー専門家は、デジタル・オムニバスを待望の一手とみなしている。長年アドテク業界で活動し、最近は複数の多国籍企業のプライバシーリーダーを支援してきたマイク・ブルックス氏は、オペレーション側のプライバシーチームがデジタル・オムニバスを「何年にもわたり積み重なってきた重複・矛盾するルールに対する、初めての本格的な『航空管制』の試み」として受け止めているとDigidayに語った。
コンプライアンスサービス企業コンプライアント(Compliant)のCEO、ジェイミー・バーナード氏は、GDPRについて、多くの人々が「規制サイドのチェックボックスとしては機能するが、人々の日常的なプライバシーに意味のある影響を与えているとは言い難いレベルのレッドテープ(お役所仕事)を導入した」と感じていると説明した。
しかし、業界の多くが認識しているように、どんな緩和にもリスクが伴い、抜け穴を悪用しようとする不誠実なプレイヤーが必ず現れる。人種、宗教、性的指向などの「センシティブデータ」の扱いがAI学習の文脈でどう変わるかは、多くのプライバシー専門家が懸念するポイントだ。ブルックス氏は、この話題が「プライバシー専門家同士のあらゆる会話で火花を散らしている」と述べ、多くがこれをデジタル・オムニバス草案のなかでもっとも政治的に爆発力のある部分と見ていると語った。
誰が得をして、誰が損をするのか?
ビッグテック
ブルックス氏の見立てでは、デジタル・オムニバスは巨大な米国プラットフォームとAIデベロッパーにとって「疑いようなくポジティブ」なものだ。データ利用ルールの緩和は、企業が保有するデータ量に比例してスケールする。バーナード氏も「持っているデータが多ければ多いほど、規制がソフトになることで得るものは大きくなる」と同意する。
中小企業(SME)
これまでGDPR違反を恐れ続けてきたヨーロッパの中小企業にとっても、意味のある負担軽減が見込まれる。データ保護影響評価(DPIA)の数は減り、バナーはシンプルになり、仮名化の解釈もより現実的なものになる可能性がある。EUでの事業展開そのものを避ける決断をしていた企業の一部は、その判断を見直すかもしれない。
アドテク仲介業者
ブルックス氏によれば、デジタル・オムニバスは需要サイド・プラットフォーム(DSP)やサプライサイド・プラットフォーム(SSP)といった仲介業者にとって、「競争条件のリセット」となりうる。2018年当時「過剰コンプライアンス」に走ったり、ヨーロッパ市場から撤退したりしたプレイヤーは、「あらゆる前提を再評価すべきだ」と同氏は言う。仮名化に関するルールが緩和されれば、変化への対応が速い企業ほど、慎重なライバルより素早くスケールできる可能性がある。
パブリッシャー
クッキー、ターゲティング、同意バナーの議論に入る前に、パブリッシャーはもっと深い構造的リスクに直面している。それは、ブラウザやOSレベルのプライバシーデフォルトに、自らの自律性を奪われかねないという懸念だ。
プログラマティックとデータフローはどう変わるのか
デジタル・オムニバスに詳しい業界関係者は、定義の狭まり、同意プロセスの合理化、正当な利益の拡大が組み合わさることで、以下のような影響が出ると見ている。
アドレス可能なインベントリの増加
サイト横断・アプリ横断での測定の円滑化
GDPR以降制限されてきたオーディエンスモデリング手法の復活
一部の仲介業者を苦しめてきたオペレーション上の摩擦の軽減
AI駆動の最適化とターゲティングの加速
要するに、デジタル・オムニバスは、デジタル広告のデータフローにおいて「同意」を第一のゲートウェイとするヨーロッパのあり方を変え、2018年以前の流動性を、より構造化された法的枠組みのもとである程度取り戻す可能性がある。
デジタル・オムニバスがパブリッシャーにもたらすもの
パブリッシャーにとって、デジタル・オムニバスは逆説的な存在だ。何年にもわたる摩擦と同意バナー疲れからの解放を約束する一方で、少数の支配的プラットフォームへの依存をさらに深めるリスクもはらんでいる。
表向きには、デジタル・オムニバスは歓迎すべきものに見える。2018年以降ヨーロッパのパブリッシャーが苦しんできた厳格な同意要件を緩和し、クッキーウォールによる離脱率を下げ、「プライバシー・バイ・デザイン」な広告モデルを広げる余地を生み出しうるからだ。しかし問題は、その裏でデジタル・オムニバスが、すべてのパブリッシャー、広告主、仲介業者が遵守しなければならないブラウザやOSレベルのユニバーサルなプライバシー設定も構想している点にある。これにより、少数の巨大プラットフォームにゲートキーパーとしての権限が集中し、Appleの「アプリ追跡透明性(App Tracking Transparency、ATT)」を想起させる、あるいはそれを上回る構造が生まれる恐れがある。
ベルギーのメディアグループ、DPGメディア(DPG Media)のプライバシーディレクター、バート・フェルスヘルデ氏は、「これはオープンWebにとって、(Appleの)ATTよりもさらに厳しい状況になりうる。ATTではまだファーストパーティのターゲティングが可能だが、ここではそれすら難しくなりかねない」と述べる。同氏はこの提案が「不気味なほど既視感を覚える」とも語り、Googleのプライバシーサンドボックス(Privacy Sandbox)をめぐる長年の議論を想起させると指摘する。ブラウザにコントロールを集中させることは、テクニカルレイヤーを事実上のオープンWebの規制当局に変えてしまうリスクがあるからだ。
それでも、パブリッシャーにとって意味のあるプラス面はある。とくに、同意取得の摩擦が壊滅的な影響を与えてきた市場ではなおさらだ。フェルスヘルデ氏によれば、「我々は、クッキーウォールによって訪問者の15〜35%を失うのは避けられない現実だと受け入れるしかなかった」という。
多くの欧州パブリッシャーにとって、GDPRコンプライアンスは綱渡りのような状態になっている。GDPR、イープライバシー、AI法、政治広告規則(Political Advertising Regulation)、そして今後導入される「デジタル・フェアネス」ルールなどが互いに重なり合い、ときに矛盾さえしているからだ。デンマークのタブロイド紙エクストラ・ブラデット(Ekstra Bladet)の広告販売・テクノロジー部門ディレクター、トーマス・ルー・リュツェン氏は「さまざまなルールが蜘蛛の巣のように縦横に交差している。掃除が必要だ」と語る。同氏によれば、新しいSSPをオンボーディングするだけで、コンプライアンス負担のせいで半年かかることもあるという。
パブリッシャーがとくに歓迎している変更のひとつが、一部のトラッキング関連行為について正当な利益を法的根拠として拡張する案だ。フェルスヘルデ氏は、DPGメディア傘下のテック系サイト「トゥイーカーズ(Tweakers)」の事例を挙げる。同サイトはクッキーフリーのコンテクスチュアル広告プロダクトを構築したものの、広告主が測定できず、購買ワークフローにも統合できなかったため、需要を獲得できなかった。「これは完全に、あらゆるトラッキングに対する同意要件があまりに厳しかったことに起因している」と同氏は言う。「今回のGDPR草案が、正当な利益といった他の法的根拠への扉を開こうとしているのは、パブリッシャーに歓迎されるだろう」。
それでもパブリッシャーは慎重な姿勢を崩していない。ブラウザレベルのプライバシー設定が義務化され、そのデフォルトを支配的プラットフォームが握ることになれば、デジタル・オムニバスは最終的に、パブリッシャーが長年距離を置こうとしてきたゲートキーパーの力をそぐどころか、むしろ強化してしまう可能性がある。
「クッキーの死」を加速させるのか?
直接的な答えはノーだ。ブルックス氏の見方では、オムニバスは「クッキーを殺すのではなく、根本的な問題にいっそう光を当てる」ものだという。クッキーの廃止を主導しているのは、ブリュッセルではなくブラウザの判断だからだ。しかしデジタル・オムニバスは、同意なしでも実行可能なトラッキングの形態を拡大することで、仮名化された識別子や確率的シグナルの存在感を高める可能性がある。
クッキー自体はここで死ぬわけではない。だが、その中心的な役割はさらに薄まるかもしれない。
オープンWeb推進団体「ムーブメント・フォー・アン・オープンWeb(Movement for an Open Web)」の共同創設者であるティム・コーウェン氏は、現行ルールの適用をより一貫した形で統合することが必要だと考えている。同氏は、「現状では、企業にとって何が正しく、何が正しくないのかがまったく明確ではない。その結果、一部の企業は『コンプライアンスするにはあまりに裕福で、気にするにはあまりに大きすぎる』存在となり、違反リスクが高まっている」と述べる。
さらに同氏は、「ルールが明確になれば、企業にとっては法令遵守が容易になり、同時に、より効果的な取締りも可能になるだろう」と付け加えた。
マーケターにとっての実務的インパクト
執行は、GDPRのような2年の猶予期間よりも速いペースで立ち上がる可能性が高い。
DPIAは減り、バナーはシンプルになり、データフローはより現実的に運用しやすくなる公算が大きい。
正当な利益に基づく処理が拡大することで、AIベースの最適化は容易になるだろう。
仮名化の正しい理解と運用は、マーケティングオペレーションにおける中核的な能力となっていく。
[原文:Ad Tech Briefing: Digital Omnibus is about to land — here’s what it means for GDPR, and the future of ad targeting]
Ronan Shields and Jessica Davies(翻訳・編集:的野裕子)