長年にわたり、米国の消費者は、クレジットカード番号やソーシャルメディアの情報、さらには出会い系サイトのプロフィール情報までもが、大手企業から次々と流出するのを目の当たりにしてきました。エクイファックスのデータ流出事件、ケンブリッジ・アナリティカのスキャンダル、そしてターゲットのような信頼されていたブランドからの情報流出は、いずれもプライバシー擁護派による「消費者が自身のデータをより自由に管理できるようにすべきだ」という動きを後押ししてきました。2021年は、彼らにとって飛躍の年となるでしょう。
今年は、単一の政党が議会とホワイトハウスを掌握しているだけでなく、プライバシー保護の熱心な擁護者として知られるカマラ・ハリス氏が決定票を握っています。さらに、全体として珍しいほどの超党派的な支持の波も加わっていることから、米国では連邦データプライバシー法の制定に向けた大きな動きが確実に起こりつつあり、そのタイミングはまさに待望のものと言えます。 データプライバシーとセキュリティを規定する連邦法の多くは、残念ながら著しく時代遅れとなっている。実際、規制当局がオンラインデータプライバシーの執行に引用する既存の連邦法のほとんどは、現代のインターネットが普及する以前に法制化されたものである。
現在、データプライバシーを規制している州法や国際法の寄せ集めのような状況について検証し、今後どのような動きが予想されるかを考察しました。以下にその見通しをまとめます。
新たな連邦機関
現在、データプライバシーは連邦取引委員会(FTC)の管轄下にある。100年以上前に、単純なポケット電卓の存在すら想像できなかった立法者たちによって設立されたFTCは、ましてや現在のオンラインデータ経済など夢にも思わなかったはずである。したがって、オンラインデータプライバシーを管理するためには、FTCの抜本的な改革、あるいは少なくとも全く新しい対応策が必要となるだろう。
連邦通信委員会(FCC)が、ジェシカ・ローゼンウォルセル委員がバイデン大統領によりFCCの委員長代行に指名されたと発表したことを受け、連邦レベルでの変更が迫っている。同氏は2012年からFCCに在籍している。
同様に、連邦取引委員会(FTC)は、ケリー・スローター委員がFTCの委員長代行に指名されたと発表した。スローター委員長代行は2018年からFTC委員を務めており、FTCに入局する前は、チャック・シューマー上院議員(民主党・ニューヨーク州選出)の首席法律顧問を務めていた。
eMarketerの主席アナリスト、ヨリー・ワームサー氏によると、新たな規制機関の設置は、民主党のいかなる提案においても重要な要素となるだろうという。「共和党は、カリフォルニア州のCCPAやCPRAといった州のプライバシー法を連邦法で置き換えることを望んでいる。彼らは、データ漏洩やその他の違反があった場合に個人が訴訟を起こす権利を認めることに反対している」と同氏は述べている。 「民主党はこれとは正反対の立場であり、求めるデータ保護の範囲もさらに広範だ。中には、全国的なデータ保護機関の設置を提案している者さえいる」
ワームサー氏は、民主党の初期の立場を示す好例として、オハイオ州選出のシェロッド・ブラウン上院議員の提案を挙げている。同議員は「データ説明責任・透明性法(DATA)」を提案しており、これによってデータプライバシーに関する苦情の窓口となる連邦機関が設置されることになる。 同機関には、データプライバシーのコンプライアンス基準や認証要件を定める権限も与えられ、各州の要件に優先する一連のルスを企業に提示することになる。しかし、同時に、マーケティング担当者にとってはあまり歓迎されないような罰金や要件を課す権限も持つことになるだろう。
企業および経営幹部向けのデータ関連資格情報
今日のデータエコシステムは自由奔放な場であり、今後も時間とともに進化し続けるでしょう。企業は、実際に活用しうる量よりもはるかに多くのデータを収集していますが、そのデータはデータ管理の経験がない経営幹部によって管理されています。現在検討されている新たなプライバシー関連法案の多くが可決されれば、この状況は変わるものと予想されます。ニューヨーク州選出のキルステン・ギリアブランド上院議員をはじめとする指導者たちが提案している計画では、連邦データプライバシー機関に対し、データを利用したい企業に対して認証やその他の資格を発行する権限が与えられることになります。
企業、場合によってはその経営幹部は、データ駆動型のビジネスを運営するための認証を受ける前に、規制を完全に遵守していること、および大量の消費者データを管理する十分な能力を有していることを実証する必要があるだろう。消費者データの取り扱いに際して、企業や経営幹部に免許の取得を義務付けるべきだという提案は誰もしていないが、そうした取り扱いを行う正当な理由があることを証明する必要はあるだろう。
つまり、顧客情報を収集する前に、その情報をどのように扱うかを具体的に明示し、情報漏洩や不正アクセスを防ぐために、そのデータに適切なレベルの保護措置を講じる意思と能力があることを証明しなければならないということだ。どんな規制も完璧というわけではないが、データ担当幹部は、少なくとも平均的なタトゥーアーティストや美容師と同程度の研修を受ける必要があるだろう。
法律における「個人データ」および「私的データ」の定義の拡大
ブラウン氏の提案には、全国的なデータプライバシー法におけるもう一つの重要な特徴となるであろう要素の萌芽も含まれている。DATA法は、個人情報やプライベートデータとみなされる範囲を劇的に拡大することになるだろう。現在、連邦法が対象としているのは、議会が前回プライバシー規制の成立に本腰を入れた1990年代半ばの時点で収集されていた可能性の高い種類の個人情報に限られている。これには、住所、電話番号、健康記録などのデータが含まれる。
ダイヤルアップ接続の時代が終わって以来、多くのことが変わりました。「ブラウン法」は、顔認識技術の使用を禁止し、顔データや指紋などのその他の生体認証データを「個人情報およびプライバシー情報」として分類するものです。これにより、こうしたデータを収集する企業は、他の種類の個人情報と同様に消費者に同等の権利を付与することが義務付けられ、ハッキングや情報漏洩から生体認証データを適切に保護・保全できなかった場合の罰則も強化されることになります。 ディープフェイクが横行する現代において、消費者は自分の顔が少なくとも電話番号と同じくらい安全に保護されていると知れば、安心するだろう。
消費者はオプトインはできるが、オプトアウトはできない
マーケティング担当者の観点から見て、今後予想される最大の変化は、オプトアウト型からオプトイン型への移行だろう。 米国で最も厳格なプライバシー規制では、消費者が自らのデータが収集、保存、およびビジネス目的で使用されることを、積極的にオプトアウトする機会が提供されています。これらの規制を活用したい消費者は、まずその存在を知り、次に、データの削除、利用停止、または今後の収集停止を求めるために必要な個別のオプトアウトフォームを見つけ出せる必要があります。
新たな全国的なプライバシー法により、この要件は根本的に覆される見込みであり、ユーザーが積極的にオプトアウトするのを待つのではなく、企業がデータを収集する前に同意を得る責任が課されることになるだろう。これは欧州連合(EU)の一般データ保護規則(GDPR)の中核をなす原則であり、プライバシー擁護者たちは、これが米国にも導入されることを期待している。 実際には、これは企業が単にユーザーがオプトアウトするのを思いとどまらせるのではなく、なぜユーザーが自発的にデータを共有すべきなのかを、より的確に説明できるようにならなければならないことを意味する。
価値を実証する必要性
消費者が追跡されるかどうかを選択する必要がある場合、マーケターはその見込み客をより魅力的にするための方法を見出さなければならない。 ヨリー・ワームサー氏によると、「マーケターは、データ追跡に対する消費者のオプトインを得るよう対応を調整する必要があるでしょう……購入データであれ、消費者の意図を示すその他のシグナルであれ、なぜ消費者データが必要なのかを明確に説明しなければなりません。どのデータがなぜ必要なのかを自らしっかりと定義した上で、そのデータを追跡することを消費者に納得させる必要があるのです。」
調査によると、消費者はパーソナライゼーションの向上など、データ追跡によって得られる成果の一部を評価していることが分かっていますが、現状を維持するためにオプトインする人はおそらくごく少数にとどまるでしょう。マーケターは、大多数の人々から無制限にデータを収集することなく、適切な対象者に広告を届けるための別の方法を見出さなければならないでしょう。
ワームサー氏は、GoogleとAppleが、サードパーティCookieや広告主向け識別子(IDFA)の使用を段階的に廃止したことで、つい最近までデジタルマーケティングのエコシステムにおいて定番だったこの種の広告展開を、はるかに困難なものにしてしまったと指摘している。本質的に、両社はマーケターやテクノロジーベンダーに対し、プライバシー保護に関して連邦政府が統一的なアプローチをとった世界がどのようなものになるかを予見させ、消費者データに頼らずにターゲティング広告に代わる新たな手法を模索することを余儀なくさせたのである。
