アドテク

データブローカーの窮地個人情報売買に衆目の非難が注がれている

欧州一般データ保護規則（GDPR）以降の世界では、規制当局がデータブローカーのデータ収集にメスを入れました。これまで成長を続けていたプライバシーの暗躍者は窮地に立たされています。

吉田拓史

2020年1月14日 — 6 min read

欧州一般データ保護規則（GDPR）以降の世界では、規制当局がデータブローカーのデータ収集にメスを入れました。プライバシーの暗躍者は窮地に立たされています。

Oracle Data Cloud（ODC）は、数十億ドルに及ぶ買収から組み立てられたものの、ケンブリッジ・アナリティカ事件以降の潮流のなかで、危機に直面しています。ODCは2014年以降、合計30億ドルに及ぶ6件の買収により、アドテクノロジーの領域に橋頭堡を築きました。ODCの商品は個人データをすくい取り、それを大手広告主に販売し、顧客の閲覧を追跡し、購買データをソーシャルメディアが保持するプロファイルとリンクさせます。

ODCは2019年9月に一定数のスタッフを削減したとAdExchangerは伝えました。報道によると、ODCはビジネスの焦点をこれまでのサードパーティ販売からコンテクスチュアルターゲティング、ブランド保護、効果測定に変更する考えです。これらの領域はサードパーティ販売よりも成長しているからです。

サードパーティデータ販売事業は収益貢献の大部分を占めていますが、その成長は鈍化しており、ODCの新規事業カテゴリへの投資の資金源となっています。サードパーティデータ販売のチームは、社内で進められたレイオフの主たる対象になったとAdExchangerは伝えました。

投資銀行のStifel Nicolaus＆Co.は、Oracle Data Cloudが昨年のOracleの400億ドルの売り上げのうち、約5億ドルしかもたらさなかったと推定しています。オラクルが抱えているリスクは、数年前にいくぶん無視できましたが、GDPRの発効やサードパーティデータ取引への厳しい目線が向けられるにつれ、大きなリスクへと変貌を遂げました。

ODCを使用すると、広告主は店舗で購入した商品に基づいてユーザーをターゲティングできます。彼らが訪れるウェブサイト、ソーシャルメディアでの彼らの同類（Lookalike）へのオーディエンス拡張、興味、関心の精度の高い推測を許容します。また、広告主がFacebookおよびTwitterキャンペーンを管理するのにも役立ちます。顧客が望めば、OracleはSUVの画像を見ている人を見つけ、その情報を消費者プロファイルに追加し、データをFacebookの広告プラットフォームとマッチングさせます。自動車メーカーは同じSUVの広告で、その画像を見ている消費者をターゲティングできます。

ODCは過去4年間で4倍以上に成長しましたが、成長の鈍化していたと言われています。ケンブリッジ・アナリティカ事件が世間を騒がす前、OCDのビジネスの40％をFacebook関連が占めていました。

Facebookは2018年春、広告システムを通じたデータブローカーが提供するサードパーティデータへのアクセスを削除しました。Facebookには、Acxiom、Oracle Data Cloud（Datalogix）、Epsilon、Experianなどのベンダーからのいわゆる「プライベートオーディエンス」機能があり、広告主はFacebookを通じてその機能の利用を求めることができます。広告買い付けインターフェース上では、彼らが加工したオーディエンスは「Partner Categories By Request」に分類されていました。

ODCにはTwitter、Pinterestなどの他の経路も存在しましたが、両者の広告取引の規模は、Facebookのそれには遠く及びません。加えて、ODCにプロファイルデータを提供している企業数は、2018年5月のGDPR施行期限前に欧州の新しい一般データ保護規則に準拠できず、半減しました。GDPRの発効後、ODCは欧州でのAddThis事業を閉鎖しました。

ODCがFacebookとのビジネスを継続するリスクは急激に高まりました。彼らはライバルと同様に、Facebookの広告プラットフォームに引き続きアクセスできますが、GDPRまたはその他のプライバシールールに違反した場合、その責任をすべて受け入れる必要が生じました。

市民団体プライバシーインターナショナルは2018年11月、Oracle等の7社のデータブローカーは英国市民の教育と家族のステータスの詳細を、名前と住所と組み合わせ、同意なしに収集した、と追及しました。市民団体は、データブローカーがオンラインデーティングから政治的信念まで、そのデータを追跡し、市民がそのデータを修正または削除することを困難にしていると指摘しました。

この時期にもOracleは2018年冬に100人以上を解雇しました。そこにはODCのスタッフの約5％が含まれていたと報じられています。

データブローカー業界に冬が訪れた

データブローカーは、個人的情報とトランザクションデータをマイニングします。本や音楽の趣味、趣味、デートの好み、政治的または宗教的傾向、性格特性はすべて、データブローカーによってパッケージ化され、さまざまな業界、主に銀行や保険会社、小売業者、通信、メディア企業、さらには政府に販売されています。欧州委員会は2017年に、欧州における「データ市場」は2020年までに1068億ユーロ相当の価値がある可能性を予測しています。

過去5年間で、データブローカー業界は、規制の不在を突いて積極的に拡大しました。インターネットに接続されたデバイスの台頭により、デジタル広告業界では、スマートフォン、タブレット、コネクテッドテレビ、その他の接続されたデバイスの利用者を識別する「クロスデバイストラッキング」が強化されてきました。インターネット空間における追跡に飽き足らない広告主は、オフラインでの行動データとリンクすることで、より高いターゲティング制度を求めるようになりました。

ODCの各商品は、店舗での消費者の買い物行動、金融取引、ソーシャルメディア行動、人口統計情報など、独自のソースからのデータの海に集まる80人以上のデータブローカーを所有、あるいはデータブローカーと協力しています。同社は、個人ごとに30,000のデータ属性を持ち、「米国のインターネット人口全体の80％以上」をカバーする、世界で3億人以上に関するデータを販売している、というセールストークを繰り広げてきました。

信用格付け機関のExperianやAcxiomなど、その他のデータブローカーは、人口統計、社会学、ライフスタイル、文化、住宅ローン、資産データを使用して個人を分類しています。Experianのビジネスモデルは10年以上前に新規株式公開されたとき、消費者のクレジットスコアを作っていることが衆目の目にさらされました。同社のデータ事業は収益の55％を占め、残りは詐欺の特定や顧客の信用判断の支援などの他のサービスからのものです。

データブローカーの夢は、オンラインとオフラインの世界を結び付けて、顧客を全方位から見渡せるようにすることでした。ブローカーは消費者の目にはとまりませんが、データ市場の中心でした。Facebook、Google、Twitter、Snapchatなどの消費者データ担当者は、ODC、Experianなどのブローカーの顧客に登録されています。オフラインおよびクロスデバイスのデータの豊富さと粒度のためです。たとえば、あなたがスーパーマーケットに行っておむつを購入した場合、その情報は「最近子供が生まれた両親」にターゲット広告を表示するためのリストに加わることがあります。

IDCによると、広義のデータベンダーの売上は、2017年の31億ドルに対し、2022年までに3倍以上の101億ドルに達するはずです。本稿で触れているデータブローカーはその一角に過ぎません。

米国のデータブローカーは、20年以上にわたり議会によって精査されてきましたが、連邦政府による監視の対象となったことはありません。業界が最後に綿密な調査に直面したのは、2014年の終わりです。米国連邦取引委員会（FTC）が、Oracleが買収したAcxiomやDatalogixを含む9つのデータブローカーの活動をまとめた110ページのレポートを作成したときでした。委員会は、議会がブローカーの範囲を制限する法律を導入することを強く推奨しましたが、この法案の草案は今日でも連邦議会で退けられたままです。

欧州では、規制当局の圧力が高まっています。ケンブリッジアナリティカスキャンダルの余波で、英国情報委員会のオフィスは、Acxiom、Data Locator Group、GB Group、Experian、Equifax、Callcreditに強制監査を実施できるよう体制を整えました。フランスのデータ保護機関であるCNILは、パリに拠点を置くCriteoを含め、過去2年間にデータブローカーとアドテク企業の50以上の検査を実施しました。データブローカーは、消費者のIDを匿名に保つことにより、現地の法律を順守すると主張します。代わりに、仮の識別子または集約された情報を使用して、人々の場所、買い物習慣、閲覧行動に関する情報を収集することで、プライバシーへの深刻な影響は避けられると説明しているのです。