1つ目のIoT/DXによる個人データ利活用の推進ですが、あらゆるモノ(エッジデバイス)がインターネットに接続されることで、様々なモノ側でセンサー等により取得したデータを集約し、組み合わせて価値のある情報として利活用していくことが行われています。これは、技術的進歩の側面とIT経営の進歩の2つの側面から過去10年以上に渡って広がってきました。技術的進歩の側面は、センシング精度の向上、小型化、省電力化、耐久性の向上、ワイヤレスネットワーク技術の進歩、大量生産技術の向上と低価格化といったものがあげられます。筆者の同僚がAuto-ID Center, EPC GlobalでRFIDの標準化に携わっていた2003年、2004年あたりにRFIDを使ったシステム提案をしていた内容から考えると今のIoTは隔世の感があります。IT経営の進歩は、90年代に起きたオープン化の流れから20年以上がたち、オープンな技術をビジネスに利活用した成功事例の積み重ねやデータ利活用の成熟度の向上、ITを経営に活かすための意思決定を行える経営陣の増加といった諸々の要因が重なって現在プロフィットセンター、コストセンター双方でのDXが花盛りとなっています。IoT/DXにおけるデータ利活用の中でも特にB2Cの事業は“個人データ”の利活用によるよりきめ細やかなサービスの提供がビジネス成功の鍵となっています。
2つ目の世界各国のプライバシー保護規制の強化ですが、このトリガーはEU GDPR(General Data Protection Regulation:一般データ保護規則)といえるでしょう。EU加盟国においてGDPRの一世代前の法律は1990年代後半に作られたものでした。2000年代前半にインターネットがビジネス基盤として使われるようになりはじめ、例えばFAXでの見積書や発注書のやりとりが電子メール等に変化し、電子データで容易に複製・再利用できる形で個人データが国境(法域)を超える事態が発生するようになってきました。また1990年代には想定していなかった様々なインターネットサービスで個人データの利活用や自動処理が行われるようになり、2000年代には技術の進展に法律が追いついていない事態となってきました。個人データの域外移転への対応のみならず、米国プラットフォーマーを念頭に置いた、行き過ぎた個人データの利活用への規制やEU加盟国間での執行状況の格差是正等を含め1995年に成立したEUデータ保護指令(Directive 95/46/EC)を見直してEU法としたものがGDPRです。GDPRの1st Draftは2012年1月に欧州委員会から公表されました。これは従来よりも個人の権利・利益の保護を大幅に強化したものであり、事業者側にとっては制裁金が全世界売上の2%以下もしくは1,000万ユーロ(約13億円:€1=約130円とした場合)のいずれか大きい金額とそれまでの制裁金とは一桁も二桁も違う金額で大きなインパクトがあるものでした[1]。筆者がクラウドサービスの構築のために英国に必要なライセンス等の調査にいった2012年に現地の弁護士からGDPRのインパクトについて説明を受けたことを思い出します。その後2013年にスノーデンの暴露があったこともあり、一層GDPRの早期成立が求められ、2015年12月にFinal Draftの公表、2016年4月に欧州議会で可決し、2018年5月25日の施行となりました。最終的に個人の権利に関わる制裁金は全世界売上の4%以下もしくは2,000万ユーロと1st Draftの倍額に引き上げられています。
現在世界的なクッキー規制に対して、オンライン広告業界ではクッキー離れが進もうとしており、様々な技術が開発されている途上です。ただ、どのような技術が開発されても法的にはクッキーを規制している訳ではないので、あまり意味はありません。例えば、クッキーに関しては、Googleが3rd Party Cookieの利用をやめてブラウザのChrome側でユーザーの行動を分析することで外部に情報を出さない仕掛け等(プライバシーサンドボックス)を考えているものの、これも結局は、Chromeによる自動的意思決定がなされているため、十分な情報開示と同意あるいはオプトアウトの機会提供がユーザーの信用を得る上では重要となってきます。このように、どのような新しい技術が今後出てきたとしても、本質的には透明性のある情報開示と本人がいつでも拒否できるような本人関与の機会提供が必要となります。そのような実装もクッキーバナーツールで行うことができるため、現段階で現実的なソリューションとして、クッキーバナーツールをIIJは販売しています。
ところで、ポップアップは邪魔だというユーザビリティの問題及び無意識に同意ボタンを押しているので意味がないのではないか?という双方の観点から、我々もクッキーバナーがクッキー規制に対して完璧なソリューションだとは思っておりません。しかしながら、過去10年EUでは、クッキーバナーを出すことで主に事業者側のWebやマーケティングの担当者には個人情報保護に対する意識が高まりました。彼らも自宅に帰れば一消費者ですから、他の企業の実装に対する目も厳しくなり、家族と話すこともあるのだと思います。そのような日々の積み重ねが消費者側のプライバシーに関する権利意識の高まりにも多少なりとも寄与してきたのだと思います。そのような背景もあり、世の中全体としては、何もしないよりはやった方が消費者のプライバシー保護の観点ではよい方向に進むと思っています。もし、ユーザビリティの観点でも他にもっと素晴らしいソリューションが出てきたら、そちらを採用し対応していきます。
大事なことは原理原則で、特に透明性のある情報開示と本人がいつでも拒否できる機会を提供することです。その点において現段階での分かりやすい実装方式が、クッキーバナーツールということになります。特にユーザーの離脱の観点はデジタルマーケティングの担当者の方々は気になると思います。これは最終的には経営判断かと思います。例えば、多少の離脱であれば積極的な情報開示を行った方がユーザーの信用を得て結果としてブランド価値を高める上では有用と判断し、クッキーバナーを導入されるかもしれませんし、あまりに離脱率が高いということであれば、クッキーバナーではない形での積極的な情報開示の仕方を工夫するということもあり得るでしょう。いずれにしても、ユーザーの獲得だけに気を取られて透明性を犠牲にすると消費者の気持ちが離れ、結果としてブランド価値を棄損する恐れがあるという点に留意頂ければと思います。IIJではこれまでの多くの日本を代表する企業への導入経験から貴社の透明性の向上のために法的な観点と企業の社会的責任の観点でアドバイス可能です。お気軽にご相談ください。
これら4つの要因が重なりあってここ数年の間にプライバシー保護は急速に重大な経営リスクへと変化してきました。「プライバシー」保護をいい加減に行った場合の最悪のシナリオは左図の通りで、最終的には市場から撤退することに追い込まれます。
