「ビッグデータ」「アナリティクス」「データサイエンス」「データドリブン」「デジタルトランスフォーメーション(DX)」などなど、2010年代から「データ」にまつわる様々な概念や取り組みが登場し、発展を遂げ、ビジネスに大きな貢献を果たしてきました。
ここで言う「データ」というものは、「Webサイトアクセス履歴」のように定量的なものから、「ユーザーのお問い合わせ内容」といったように定性的なものまで含みますが、特に「Web」に関するデータが、どうやら今までのように取得・活用できなくなるという流れが、世界各地で起こっています。
「Cookie(クッキー)」と呼ばれる、「ユーザーがいつ、どのWebサイトを見たのか」といった閲覧履歴やパスワード・IDなどログインに関するデータを一時的に保管する仕組みがあります。
「プライバシー重視」の機運が高まる中で、この「クッキー」をこれまでのように事業者が使えなくなるという可能性が高まってきています。
Webサイトのアクセス解析をする際には、「Google Analytics」などの計測ツールを使用する場合が多いと思いますが、こうしたツールによるデータ計測にも「クッキー」が使用されています。
また、近年伸び続けている市場である「インターネット広告」の世界においても、「クッキー」がとても重要な役割を果たしています。
今後は、これらを前提としたデータ収集、データ分析、広告配信等は方向転換を余儀なくされる可能性が高いのです。
今回は、この「クッキー」にまつわるデータ規制と、プライバシー保護の時代におけるデータ活用の今後を考えていきたいと思います。
「クッキー」とはそもそも何なのか?
「クッキーがどうなるか?」の前に、そもそもクッキーとは何なのか? ということを少しおさらいしたいと思います。
冒頭でも少し触れましたように、「Cookie(クッキー)」とは、「ユーザーがいつ、どのWebサイトを見たのか」といった「閲覧履歴」や「パスワード・ID」などの「ログイン」に関するデータを一時的に保管する仕組みのことを指します。
クッキーは、ユーザーがアクセスしたサイトから、ユーザーのブラウザに送られ、保存されます。
なぜこの「クッキー」が必要なのか、という理由としては大きく2点あります。
1つは、「ユーザーの利便性向上」です。
たとえば、一度訪れたサイトに毎回ログインIDやパスワードを入力するのは面倒です。
そうした場合に、「クッキー」がIDやパスワードをブラウザに記憶してくれていると、サイトを次に訪問したときにはIDやパスワードを自動で読み込んでくれます。
特に、近年は様々なWebサービスを仕事中のみならずプライベートでも使うことが多くなっていると思いますので、IDやパスワードの入力が省けるのはとても便利です。
もう1つは、「広告配信」です。
クッキーを元にしてユーザーの閲覧傾向や趣味、性格などを推測することによって、ユーザーひとりひとりに最適化された広告を配信することが可能になります。
Googleの売上の大半はこの「広告配信料」であることから、インターネット広告において「クッキー」がいかに重要な役割を果たしているかご理解頂けるかと思います。
「広告配信」の場合は、例えばあるサイトで「不動産(物件)」などを検索すると、別のサイトに移動しても「不動産の広告」が表示されるというように、ユーザーを追いかけるように広告を配信するということができるようになっています。
なぜこうした「追跡」ができるのかというと、「クッキー」には2種類のものがあるからです。
1つは、「ファーストパーティー クッキー」と呼ばれるもので、これは同一のサイト内でしかデータを利用することができないものです。
2つ目は、「サードパーティー クッキー」と呼ばれるもので、ユーザーが訪問したサイトとは別のドメインから発行されるクッキーのことを指します。
つまり、「サードパーティー クッキー」を活用することによって、サイトをまたがってもユーザーのWeb上での行動をデータ収集できるということです。
このように、一見するとメリットばかりが多いように思われる「クッキー」の利用ですが、世界的にはこうした「クッキー」の利用を規制する動きが広まってきています。
それは、クッキーの利用がユーザー個人の特定につながり、プライバシーが侵害される危険をはらんでいるからです。
世界のデータ規制の動向
それでは、世界各地でどのように「クッキー規制」が広まってきているのかを簡単にご紹介したいと思います。
ここでは、「欧州」「アメリカ」「日本」の動向をご紹介していきます。
欧州のデータ規制動向
欧州では、「一般データ保護規則(以下GDPR)」と呼ばれる規制が2016年4月に採択され、2018年5月から施行されています。
欧州は、元々「個人の権利を守る」という意識がとても高い地域でもあります。
事業者は、商品やサービスの開発にあたって、「プライバシー保護」を前提にしなければいけないことが定められています
GDPRでは、「個人情報」として定義されているものが非常に広く、氏名や住所、メールアドレスなどは当然のことながら、「物理的、生理的、遺伝子的、精神的、経済的、文化的、又は社会的なアイデンティティから識別される情報」なども「個人情報」として定義されています。
IPアドレスやクッキーなどは、それ自体では個人の特定が不可能とされていても、ほかの情報と組み合わせることによって個人を識別できる可能性が指摘されていることから、それらも「個人情報」として定義しています。
GDPRによる規制はすでに始まっており、2019年1月には、フランスのデータ保護期間がGoogleに対して5000万ユーロ(約62億円)の制裁金の支払いを命じました。
また、欧州では「GAFA」に代表されるような巨大IT企業が、欧州内でビジネスをして収益を上げているのにも関わらず、たくみに節税対策をして「税逃れ」をしていることに不満を強めています。
そこで、対象企業の拠点が国内にない場合でも課税ができる仕組みとして「デジタル課税」の導入を進めており、今後もデータ規制や特にアメリカ発のデジタル企業との対立は深まっていくものと思われます。
アメリカのデータ規制動向
上記の通り、アメリカは「GAFA」のような巨大IT企業を生み出した国でもあることから、これまではあまり「プライバシー保護」に対する意識は薄く、個人情報保護に関する包括的な規制はありませんでした。
しかし、2018年6月に、カリフォルニア州で「消費者プライバシー法(以下CCPA)」という法律が採択され、2020年1月から施行されました。
この法律が制定された背景は、2018年に起こった「フェイスブック個人情報流出事件」です。
この事件の影響によって、カリフォルニア州では個人情報保護の機運が高まり、司法省がCCPAを策定するに至りました。
CCPAでは、事業者に対して個人情報の種類や利用目的などを知らせることを義務化し、消費者の権利として、個人情報に関する開示請求権や個人情報を売却しないように指示する権利を保障しました。
しかし、欧州のGDPRとの決定的な違いがあります。
それは、「個人情報の収集や利用そのものを原則的に認めている」という点です。
つまり、CCPAでは初期設定として、個人データを「使っていい」という位置付けにし、ユーザーがあとから「個人データを使わないでほしい」と申告すれば、個人データの利用を禁じることができるという考え方です。
CCPAは、個人情報の定義や事業者同士のデータの受け渡しについても厳格な定義がある訳ではなく、割と幅が広いとされているため、アメリカで事業を展開するメルカリなども「動向を注視して対応していく」というコメントを出しています。
グレーゾーンが多いとされるCCPAですが、2020年2月にはセールスフォース社とそのサービスを利用する小売企業が、データ侵害を理由としてカリフォルニア州にて集団訴訟を起こされました。
「プライバシー保護」や「人権」といったことは、インターネットやSNSといったツールを通じて、世界規模であっという間に情報が拡散されることから、アメリカ国内の別の衆でもこうした動きが広まっていくと思われますし、元々「訴訟大国」でもあるアメリカでは、データ分野での訴訟が増え続けていく可能性も考えられます。
日本のデータ規制動向
日本において、個人情報を守るという意味での法律としては「個人情報保護法」があります。
この法律は、2002年に住基ネットの運用が始まったのをきっかけにして制定されたもので、当初はインターネットに関連した個人情報保護の要素は入っていませんでした。
その後、社会の情報化が進むにつれて、個人情報保護の重要性が年々高まり、2017年には「改正個人情報保護法」として、個人情報の定義を拡大しました。
しかし、個人が企業の保有するデータの利用停止や削除などを請求できる権利は、企業が
個人情報を不正に取得した場合や、目的外に個人データを使ったりした場合に限られています。
また、企業が第三者提供の停止の請求に応じる義務も、個人の同意を得ないなど違法に第三者に提供した場合に限定されています。
さらに、「クッキー」や「位置情報」といったものも「個人情報」に含まれていません。
これに追い打ちをかける事件が起こりました。
記憶に新しい方もいらっしゃると思いますが、2019年に起きた、某大手就職サイトの「顧客データ販売事件」です。
データを他社に販売すること自体は違法ではありませんが、問題は「ユーザーの同意を取らずにデータを他社に販売した」という点です。
もちろん、ユーザーはサービスの利用にあたって同意をしたうえで登録をしています。
ですが、データの利用目的などの説明が実質的に不足したまま個人情報を外部に提供してしまったことで、政府機関の「個人情報保護委員会」から「勧告」「指導」を受けることになったのです。
特に大手企業の提供するサービスでは、顧問弁護士や法務部等が入念な打ち合わせをして、サービス規約やプライバシーポリシーといったことを制定している場合が多いかと思いますが、今後はさらに「プライバシー保護」の方針や「データ利活用の目的」などを明確にしていかなければなりません。
これまでのデータの収集あるいは活用については、そこまで深く考えずに「ユーザーから収集しているデータをとりあえず分析したい」といったケースが多く見受けられますが、データを活用したい事業者側、データを分析したり提供されたデータを使ってシステムなどを開発する企業も、現場レベルであってもきちんとこうした動向やリスクを理解しておくことが大切になってきています。
「ユーザーとのつながり」を大切にする企業が勝つ
では、こうしたプライバシー保護やデータ規制が進んでいくと思われる今後の社会において、どのようにデータと向き合い、価値を出していけばよいのでしょうか。
大きく2点あります。
1つめは、「クッキー規制の対象になっていないデータを上手く活用する」ということです。
現時点で規制がかかっているのは、先述の「サードパーティー クッキー」と呼ばれるクッキーです。
つまり「ファースト」と「セカンド」のクッキーについては規制がかかっていないことになります。
これについては、購買履歴やログイン情報といったユーザーの個人データを、事業者自らがどれだけ蓄積していけるか、がカギになります。
2つ目は、クッキーを含めた個人データを「ユーザーから意図的に提供してもらう」環境を作るということです。
「ファースト・セカンド・サード」の「クッキー」データは、Webサイトが直接的に収集しているか間接的に収集しているかの違いがあるだけで、ユーザーにとっては「勝手に取られてしまうデータ」であることに変わりありません。
ではなく、これからのビジネスで大切になるのは、フォームやアンケートなどのかたちで、ユーザーから直接同意を得て収集できるデータをどのように活用するか、です。
こうしたデータがあれば、クッキーに頼ることなく広告配信をすることができますし、ユーザーとの「つながり」もより深く構築していくことが可能になります。
結局は、「顧客との接点・繋がりを大切にし、顧客の声をきちんとビジネスに反映できる企業」が生き残るということです。
特にマーケティングにおけるデータ活用はとても重要です。
ですが、顧客との接点をほとんど持たずに、Webサイトのアクセス解析だけで収益を上げようとするのは、もう終わりにしませんか?
マーケティングにおけるデータ活用の目的は「顧客を理解する」ということを忘れてはいけないと思います。
「顧客のことは顧客に聞く」
この姿勢を持って、ぜひ私たちと一緒にデータ活用をしていきませんか?
今回も最後までお読みいただきありがとうございました。
