GDPRがロケーションターゲティングとジオフェンスに与える影響

GDPRとロケーションターゲティングに関しては、欧州連合の新しいデータ保護フレームワークがデジタルマーケターのビジネス方法を変えています。

一般データ保護規則（GDPR）が2018年5月25日に発効して以来、それは論争と混乱を引き起こしました。 それにもかかわらず、マーケターがGDPRを祝うべき理由はいくつかあります。

この広範囲にわたる規制は、EU加盟国だけでなく、カナダや米国を含むヨーロッパ市場を扱う世界中の企業や政府にも適用されます。 目標は、ユーザーのプライバシーを保護し、データの使用方法をより細かく制御できるようにすることです。これにより、マーケターは「積極的な」同意を得る必要があります。

しかし、これはロケーションターゲティングにとって何を意味し、デジタルマーケターにとっての意味合いは何でしょうか。

デジタルマーケターへの影響

ロケーションターゲティング、またはジオターゲティングは、ユーザーのロケーションデータを収集し、ユーザーの履歴またはリアルタイムのロケーションに基づいて広告、コンテンツ、またはサービスを配信する方法です。 たとえば、特定の店舗で買い物をし、その店舗でセールが行われている場合、過去の位置データを使用して、セールの広告またはクーポンでターゲットを設定できます。

このデータはさまざまな方法で収集されます。通常、無料の公共Wi-Fi（小売店など）を使用する場合、または郵便番号や郵便番号を進んで入力する場合は、IPアドレスまたはモバイルデバイスIDを使用します。 デバイスIDは、スマートフォンを識別する数字と文字の文字列であり、アプリをダウンロードしてインストールするときに収集されます。

ジオフェンスは、ロケーションターゲティングの別の形式であり、物理的な場所の周囲に仮想境界（または仮想フェンス）を設定して、広告主またはブランドがその境界内のデバイスと対話する方法を決定します。 たとえば、特定の地域にいる場合、デバイス上の特定の情報へのアクセスがブロックされる可能性があります。

広告を販売するブラウザやソーシャルメディアプラットフォームも、さまざまな目的で位置データを収集します。 たとえば、Googleは位置データを収集しますが、暗黙の位置ターゲティングにも検索データを使用します。 Googleの利用規約の例では、「エッフェル塔」を検索すると、関連する推奨事項が提供される可能性があると説明されています。

GPSとWi-Fiを使用して、より具体的な位置データを収集できます。その後、広告主は、広告の地理的領域をターゲットまたは除外できます。 しかし、Googleは、明確なオプトアウト手順を許可しないことにより、位置データの収集に関する慣行についてGDPR規制に違反しています。 Facebookはまた、「インターネットに接続する場所、電話を使用する場所」および「FacebookとInstagramのプロファイルからの場所」からデータを収集します。

位置データは個人的に識別できますか？

一部の業界関係者は、デバイスIDを使用しているため、位置データを個人的に特定できないと主張しています。 しかし、データが頻繁に収集され、ユーザーが特定の時間に自宅の住所と職場の間を定期的に移動する場合、ユーザーの身元を確認することは難しくありません。

そのため、第4条（1）に詳述されているように、位置データはGDPRによって個人データと見なされ、その収集と処理はGDPRによって管理されます。 第3条（2）は、「この規則は、連合内にいるデータ主体の個人データの処理に適用される」と述べています。

この言語は「市民」を指定せず、「連合内」の主題に適用されます。 この点についてはいくつかの議論がありますが、使用されている言葉は、EU外を旅行するEU市民は、それ自体がGDPRの対象となる企業と取引しない限り、GDPR保護を与えられないことを示しているようです。 「EU内」を旅行する非EU市民には、EU内にいる間、およびEU外の場合は、GDPRの対象となる企業と取引するときにGDPR保護が与えられます。

データ収集の要件の変更

EUでは、ロケーションターゲティング（および確かに大規模なロケーションデータの収集）がはるかに困難になり、思考、戦略、および法的アドバイスが必要になります（準備が整っている法律事務所の数は増えています）。

いくつかの例外がありますが、一般的に企業は位置データを収集するために情報に基づいた積極的な同意を必要とします。 つまり、追跡の許可を面倒なプライバシーポリシーの小さな印刷物に隠すことはできず、アプリでの単純なオプトインの「ポップアップ」も必ずしも適切ではありません。

許可が与えられたら、GDPRで概説されている基準に従ってデータを収集、処理、保護する必要があります。 アプリやロケーションターゲティングのインスタンスごとに、データの使用タイプとユーザーの両方に複数の権限が必要になる可能性があることを考えると、権限の取得は機能しないと考える人もいます。

ただし、都市や地域など、データが匿名である場合、特定の個人を識別するためにデータを使用できない場合は、同意を回避できる可能性があります。 エクスポートされたデータが匿名になるように、モバイルデバイス上のアプリ内で位置データを処理する可能性もあります。

広告を表示するために「入札」する広告主にサイト運営者がスロットをオークションにかける入札ストリームデータには、多くの場合、位置データが付属しています。 GDPRの下では、そのデータのユーザーが消費者から同意を収集していないため、現在存在するこの慣行は許可されなくなります。

その結果、一部の業界プレーヤーはビジネスモデルを変更したり、極端な場合はEUから撤退したりしていますが、コンプライアンスのためにデータ収集を社内に持ち込んでいる業界プレーヤーもいます。

とはいえ、広告交換に関連する位置データは不正確であり、場合によっては不正であるという評判があります。そのため、GDPRに準拠することで、最終的には広告主にとってより質の高い位置データにつながる可能性があります。 繰り返しになりますが、データがリモートではなく消費者の電話で処理されるソリューションは有望である可能性があります。

データの移植性を制限するジオフェンスは、EU内ではすでにある程度許可されていません。 Netflixなどの有料サービスプロバイダーは、EU内の地理的な場所に基づいて、アカウントへのアクセスを制限することはできません。IPアドレスではなく、ユーザー名でユーザーを識別する必要があります。

GDPRの下では、事前の同意が得られなかった訪問者に関するデータを収集するジオフェンスはおそらく不可能です（ただし、事前にGDPRに準拠した許可を与えた消費者にはジオフェンスを使用できると考えられます）。

今後の展望

広告業界は、新しい規制の範囲内で機能するための新しいビジネスモデル、テクノロジー、およびデータ処理方法をすでに検討しています。 たとえば、「アクション」をアプリにプログラムして、ジオフェンスエリアに入るときに発生する「アクション」をデバイスIDに接続できないようにすることができる場合があります。

GDPRに準拠する必要があるかどうかに関係なく、企業は自社の位置データの慣行の調査を開始することをお勧めします。これは、より多くの管轄区域がそれに続き、プライバシー法をGDPRに準拠させることが期待されるためです。

たとえば、2020年1月1日に、カリフォルニア州消費者プライバシー法が施行され、カリフォルニア州の居住者にEU市民と同様の権利が付与されます。 これは、州内で事業を行う特定の規模または活動のしきい値を超える事業に適用されます。 全国レベルでは、Axiosは、ホワイトハウスがプライバシーを改善する方法を検討していると報告しています。

カナダでは、情報、プライバシー、倫理へのアクセスに関する常設委員会が、個人情報保護および電子文書法の次のバージョン（PIPEDA）でGDPRと同様の規定を採用することを推奨しています。

結論

GDPRは複雑で、時には漠然とした言い回しであるため、その影響について混乱や意見の相違が生じます。 間違いなく、それは位置データが収集される方法と広告主が消費者をターゲットにする方法を変えるでしょう。 しかし、広告主と消費者の両方が適応するにつれて、変更は歓迎される可能性があります—より良い品質のデータとより的を絞った消費者体験を作成します。

画像クレジット

フィーチャー画像：Unsplash / rawpixel
画像1：ブログTO経由
画像2：GoogleSERP経由
画像3：Apple経由