※本記事は、2020年1月25日刊行の定期誌『MarkeZine』49号に掲載したものです。
日本にも及ぶCCPAの余波
GDPR(EU一般データ保護規則/General Data Protection Regulation)よりも厳しい側面を持つ規制として、「CCPA(カリフォルニア州消費者プライバシー法/California Consumer Privacy Act)」が2020年1月から施行される。日本ではCCPAへの関心が(GDPRと共に)依然として低いように感じられる。
CCPAやGDPRの規制の概要は専門の解説に任せ、ここでは企業人一人ひとりが考えておきたい「生活者が望むこと」の目線を2つ紹介する。読者の方々には、CCPAやGDPRの一連の動きを、海外の規制だからと他人事にしてしまっては危ない。向こう6ヵ月でGoogleやMicrosoft、Amazonを筆頭としたグローバル企業がデータに対する仕様を一斉に変更するはずだ(追記:早速1月15日、GoogleがChromeブラウザー上でのサードパーティーCookieを排除する方向に進むと発表した)。
「みなし同意」は覗き見の範囲
法務的な詳細よりも理解しておきたい概念の1つ目として、基本的な「わたし」という個人が求めていることは「わたしを勝手に覗き見しないでね」という点だ。非常に当たり前のお約束なのだが、現在のデジタル上でのマーケティングの大半がCookieなどに代表される「許可なき覗き見(追跡)」でのターゲティングやプロファイリングを土台にした経済になっている。
この「許可なき覗き見」を排除するために、CCPAには「消費者」に対して「5つの権利」を付与している。目指す「概念」を理解しやすいように、下記のたとえ話にしてみた。「わたし」が、あるECサイトのプレミアムメンバーになったと仮定する。ECサイト側から、メンバーに加盟したという理由だけで、知らぬ間に「わたし」が様々なデータ条件に「みなし同意」を「させられている」状況を排除するために設けられた権利だ。
(1)ECサイトが「わたし」の情報を集めているのは承知している。「わたし」はECサイトが「わたし」のどんな情報を持っていて、どこから集めたのかを、聞ける権利がある。
(2)ECサイトが一生懸命AIとアルゴリズムで集めた「わたし」の情報を、通知簿や成績テストの結果を生徒が見るように「過去12ヵ月分見せてください」と知る権利がある。
(3)それを見た後で「消しておいてね」と命令できる権利がある。
(4)ECサイトに対して、当然「わたしのデータを他社に売ったらダメよ」と命令できる(「売る」の概念は後述)。
(5)上記で、ECサイトにあれこれ言ったが、そのことで逆恨みしてECサイト上でサービスの手を抜いたり差別したりするのは違反である。
上記の「企業が生活者を覗き見しない」の概念はECサイトに限ったことではなく、企業のWebサイトの訪問者でも、タクシーの中でも、テレビの前でもアプリでも同じである。旧来のデジタル上での「ターゲティング」の経済的価値(効率)が、反転しはじめたのがCCPAやGDPRの動きだ。
