DMPは「個人情報保護」の壁を超えるか

2012年は、DSP/RTB/SSP一色に染まったアドテク業界だった。
それは横山氏の洞察が見事だったことに尽きると思われる。

• 2012年広告業界予測（業界人間ベム）

ただ昨今、少し過熱気味ではないかと思うこともある。

色んな代理店、ツールベンダーを始めとするアドテク事業者から、湯水のようにそうしたツールが提供されている（中にはOEM提供もあるだろうけど）。市場にそうしたツールが氾濫し、供給過多に陥っている気もする。それは恐らく供給者側が一番感じていることではないか。

「うちもディスプレイ広告やらなきゃ！」と焦る広告主がこの先、どれくらい増えるか解らないのだが、このまま供給過多の状態が続くのだろうか。


もう1つ、気になることがある。

2012年のad:techに参加させて頂き、会社の提供するそうしたサービスを見させて頂いたが、私はあまり違いが解らなかった。
"「枠」から「人」へ"という大義名分は理解できたのだが、では具体的に何が違うのか。

例えば、DoubleClick Ad Exchangeに接続（Real-Time Bidding）するには、プロトコルが完全に仕様として決まっており、差別化のしようがない。
少なくとも根本的な部分では差別化の図り様がない。


Googleが公開しているRTB接続仕様に関するドキュメント
https://developers.google.com/ad-exchange/rtb/?hl=ja


「広告の配信量が違う」と言う人もいるが、配信量が違うと広告主にとって何が嬉しいのかまでは書かれていない。
「CPAの最適化を計る」と言う人もいるが、ディスプレイ広告の配信数／クリック数だけで最適化することを「部分最適」と言わずして何と言うのかと感じてしまう。

一度、各社のツール比較表を作って欲しいとお願いしたことがあるが、それでも違いが解らなかった。

同じ林檎が10個、20個並んでいるように消費者には見えて、生産者が「これは○○の名水を使っている」「これは実が大きくなったらビニールで被せている」と必死にアピールしている―それが2012年のDSP/RTB/SSPを取り巻く現状ではなかったかと中にいて感じている。






そんな中、2013年になってから、「最適な広告を"人"に提供するにはデータ（＝DMP）が必要だ」という声が日に日に大きくなってきた、と私は感じている。

• 日本版、広告テクノロジー業界マップ2013(ディスプレイ広告)＆2013年業界予測：DAC徳久氏インタビュー（exchangewire）
• 2013年広告業界予測　　　～７つの出来事を予測する～（業界人間ベム）

ある意味で、当たり前の話でもある。

例えば、DSP/RTBを「リタゲでしょ？」という反応しか示さない人がまだ多くいると思うが、そうしたリタゲもDMPが取り扱うデータの1つだ。

要は、広告枠に訪れた訪問者（＝ブラウザ）に対して、そのブラウザに付与されたCookieを取得し、自身のDMPを参照して、このブラウザの過去の訪問履歴から提供すべき広告をシステムが判断し
て、広告を表示する―本当にベストな情報であれば、それは訪問者にとってもはや広告なのか情報なのか見極めがつかないだろう。


かつて、ドラッカーはマネジメントのなかで「何らかの販売は必要である。しかし、マーケティングの理想は販売を不要にすることである。マーケティングが目指すものは、顧客を理解し、顧客に製品とサービスを合わせ、自ら売れるようにすることである」といった。

理想でしか無いと言われるのは百も承知だが、DSP/RTBをベースにした枠から人への移行は、ドラッカーの言うようなマーケティングの目標が実現される可能性が大いに高まったとも言えるのではないか。


さて、このDMPは差別化のポイントになるのではないか―と私は睨んでいる。

2年ほど前、ADP（オーディエンスデータプラットフォーム）という掛け声が少しだけ掛かって直ぐに聞こえなくなった気がするが、それはこの2年の間にシステムが進化して、扱えるデータ量が飛躍的に伸びたからだろう。今度の掛け声は本物の気がする…たぶん。

どれだけシステムが堅牢で、配信量も豊富にあり、CPAを導入開始時の半分に下げようとするロジックがあっても、クリックされなければ意味がない。

DMPが抱えるデータ規模が豊富で、かつバラエティに富んでいるほど、広告枠に訪れた訪問者（＝ブラウザ）の姿が浮かび上がり、その人に合った広告が表示されるという理屈は一応、理に適ってはいる。


しかし、アドテク事業者から、DSP/RTB/SSP各種ツールを提供していた頃のような勢いが、このDMPでは見られない。今年の4月になって立て続けにプレスリリースが続いているようだが、それは内々にあったのをオープンにしたに過ぎないのではないか。

私の気のせいかもしれないが、その原因の１つに―いや主原因に、個人情報保護問題とひろみちゅ先生問題あるのではないか。

いきなり、twitter上で「さようなら。○○なんか倒産すればいいよ。」と言われているのを恐れているのではないか。


はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ
http://matome.naver.jp/odai/2133131006928771201


前もって私の立場を表明しておくが、アドテク業界に身を置いているが、本件はひろみちゅ先生擁護の立場を取る。
あの「はてな事件」を、アドテク業界では「頼まれてもいないのに勝手にやっている」「産業を潰す気か」と憤っている人が多いと聞くが、明らかに道から外れた行為をしておいて、関係者以外は口を出すなというのは「外道」だと思っている。


しかし、このDMPとは話が別である。
「はてな問題」はデータの取得方法が問題だったのであり、DMPはダメだという話では無い。

そこで、どのような対応を取れば、個人情報保護に繋がるかを以下に纏める。





まず、法律はしっかり読んでおくこと。


個人情報の保護に関する法律（平成十五年五月三十日法律第五十七号）
http://law.e-gov.go.jp/htmldata/H15/H15HO057.html


上記を踏まえて、私の意見を書き連ねる。

最初に、個人情報とは何か？という話である。
これはひろみちゅ先生が以下で説明をされており、非常に解り易いので、これを読んで欲しい。

• 何が個人情報なのか履き違えている日本（高木浩光＠自宅の日記）

個人情報保護法に定義される個人情報とは、「特定の個人を識別できる情報」であり、「生存する個人に関する情報」をさすと私は捉えている。

要は、生きている個人を識別できる情報は全て個人情報なのである。

例えば、「山田太郎」という情報だけは、個人情報に該当しない。特定の個人を識別できる情報では無いからだ。
しかし「山田太郎」という情報と、「××年度○○中学校卒業」という情報が、同じID等で紐付けることができるならば、「山田太郎」という情報は個人情報に繋がる。

重要なことは、個人情報保護法第2条にあるように、特定の個人を識別できるかという点、そして単体ではできなくても他の情報と容易に照合すれば識別できるかという点である。


そうなると、アドテク業界は考え直さなければならない点が出てくる。（いや、アプリなどを開発しているゲーム業界など、「名簿屋」との接触が薄かった業界全てが該当するか？）

DMPにデータを貯め込む際に、事業者側は「個人情報は取得しておりません」と説明してきたが、「生存する個人に関する情報」が個人情報なら、リファラも、見た広告も個人情報になる。

ただ単に事業者がその情報をもとに特定の個人を識別しようとしていないだけだ。もしかしたらすでにしているかもしれないが。


しかし、だからと言って、不必要に慌てる必要も無いと思っている。個人情報であろうが、それは法律に準拠して、適切に保護していれば問題無い。

それはすなわち、以下の対応である。

1. 第三者漏洩・紛失
2. 本人同意なき取得
3. 目的外利用

1つ1つ説明していく。


①第三者漏洩・紛失
完全な外部の人間に漏洩するリスクを指している。

例えば不正アクセスによるDMPへの侵入も第三者漏洩だ。

アドテク事業者の中には、データエクスチェンジする際に、データをFTPかSCPで転送するには量が多過ぎるから手動で渡している例もあるかもしれないが、その際にその手動で渡している機体を紛失した場合も、これに該当する。

ちなみにこの「第三者」の定義を事業者は明確にしなければならない。利用規約に記載しているような、事業の再委託という話ではない。


②本人同意なき取得

「生存する個人に関する情報」は本人の同意無く、取得してはならない。「はてな問題」は、この観点から見てNGなのである。

では、全ての人に同意ボタンを押して貰う必要があるのか（オプトイン方式が必要なのか）と言えば、決してそうではない。

個人情報保護法第18条には以下のように記載されている。


=====================
（取得に際しての利用目的の通知等）
第十八条 　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
=====================


つまり、利用目的が記載されていれば、本人同意は不要になる。

例えば事業者Aは、サイトBにて、タグ等で訪問者の情報を取得している場合、事業者Aのホームページ等にその取得しているデータを何に利用しているか公表する必要がある。

ちなみに、ここは判断が分かれるのだろうが、私はサイトBのプライバシーポリシーに、事業者Aのタグを埋め込み、訪問履歴等の情報を取得していますよ、と記載することを提唱している。

GoogleAnalyticsの利用規約もそうなっている。しかし誰への配慮か解らないが、どうも現場の人間はそれを嫌う。

しかし、このプライバシーポリシーに、事業者Aのオプトアウト機能を表示さえしておけば、以下の下りを満たせることになり、法的リスクは下がるはずだ。


=====================
（第三者提供の制限）
第二十三条２ 　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 　第三者への提供を利用目的とすること。
二 　第三者に提供される個人データの項目
三 　第三者への提供の手段又は方法
四 　本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
=====================


もっと厳しい法解釈をするなら、事業者Aは取得したデータを、「本人が容易に知り得る状態」にしていない限り（オプトアウト機能を提供していないはずは無いのでこの例は除外）、データエクスチェンジ等を通じてデータを提供してはいけないはずだ。


③目的外利用
「○○」という目的のためのデータを取得しているのに、「××」に使ってはならないという話で、だからこそどの事業者も利用目的を曖昧にしている。
雨が降ったら傘をさします、というような当たり前のことしか書かれていないわけだが、その理由はこの点にある。


以上3点が満たせているなら、事業者として、「適切」にDMPを取り扱って良いと私は考える。




私の知り合いで、そんなにアドテク業界に詳しく無い人でも「同じような広告が表示されて気持ち悪い」と言う人がいる。

フリークエンシーキャップ掛けてんのか？とアドテク業界の人は言うかもしれないが、それ以外の人にとっては「気持ち悪い」ものは「気持ち悪い」のだ。


一刻も早く、DSP/SSPで抱える広告の在庫が増えて欲しいし、そのためにはDMPの発展が不可欠だと今のところは考えている。

したがって各事業者は、ひろみちゅ先生を怯えるのではなく、自ら法的リスクを潰しながら、むしろ先生に称えられるようなフレームを自ら構築し、発展の先鞭を付けて欲しいし、私もそうするつもりだ。

本件について、法解釈含め、それは違うのではないか、こういう解釈もあるのではないか、という意見あれば、どしどしコメント下さい。