プライバシー保護はより良いデータを作る

プライバシー保護に関する記事として今回取り上げる内容は、「データベンダーとすべての顧客がコンプライアンスへ投資することでデータ市場の明るい未来がどのように保証されるか」です。その他の関連記事については、下記のリンクよりご確認いただけます。

1. データの世界が『西部劇』という認識の方は、ぜひこの記事をお読みになってみてください

2. オルタナティブデータ時代におけるコンプライアンス

一般データ保護規則(GDPR)をご存じでしょうか。

GDPRは、個人データに対する個人による管理と権利を強化することで、これを自由に使用していたテクノロジー産業を一変させました。個人データの使用を管理する以前にも法律や規定が存在していましたが、ほとんどの分野においてテック企業の個人データの販売や使用を防ぐことはできませんでした。2016年4月14日に採択され、2018年5月25日に法的に広く施行されたGDPRですが、遵守しない場合は厳しい罰則が伴います。Google、British Airways、H&M、Marriottの共通点は何でしょうか？これらの企業はすべて個人データに関するGDPRに違反し、€10,000,000以上の罰金が科されました。

GDPRは、イギリス、トルコ、モーリシャス、チリ、日本、ブラジル、韓国、南アフリカ、アルゼンチンなど、数多くの国のプライバシー法のモデルとなりました。アメリカのいくつかの州(例えば、カリフォルニア州消費者プライバシー法(CCPA)や、それに続く2020年のカリフォルニア州プライバシー権法など)も、GDPRをモデルにした独自のプライバシー法案を可決させています。

ほとんどのプライバシー法の重要な原則は公平性と透明性です。データプロバイダーは個人から収集したデータを、過度に有害かつ予測不可能で、また誤用しうる方法で処理する可能性があります。透明性を確保するためには、データベンダーがその処理方法を公開し、誠実に業務を行わなければなりません。またその処理方法については当事者に通知する必要があります。さらにGDPRおよびその他の同様の法律の下でデータを収集することのできる有効な法的根拠が必要です(詳しい内容はこちらからご覧になれます)。

プライバシー法を遵守するために、データプロバイダーはデータソースの出典がどこなのか、受け取ったデータが原則や法律に準拠しているのかを確認する必要があります。以前の記事でご紹介したとおり、これはデータベンダーが自主的に収集可能な個人データだけでなく、他のデータベンダー(サードパーティデータのデータソース)から受け取るデータにもすべて適用されます。

一部のデータベンダーはパネルが同意なしでユーザーを本質的に追跡したり、安全ではないと主張したりしますが、これは率直に言って無意味です。データソースそのものが悪かったり、安全でなかったり、不正確であったり、規定に違反しているということはありません。重要なことは、あなたのデータベンダーが直接的に収集したデータであれ、他社のデータベンダーから受け取ったデータであれ、自社製品に使用しているすべてのユーザーデータが、プライバシー法および規定に準拠しているかを確認することです。ベンダーが他のデータベンダーからユーザーデータを購入している場合は、データブローカーのコンプライアンスも評価しなければなりません。

製品によってSensor Towerはファーストパーティおよびサードパーティーのデータソースを使用することができます。使用されるデータソースに関係なく、モバイルゲームのプライバシーに対する優秀な事例を守るために、新しいデータソース（ファーストパーティまたはサードパーティ）を実装する前にデータが必要なのか、またデータを収集することなく目標を達成することができるのかを評価します。この場合、個人データの使用を回避することのできるプライバシー中心のアプローチ方法を選択します。そうでない場合は、収集される個人データを最小限に抑え、可能な場合は情報を識別できないようにしてリスクを軽減します。

たとえば、Sensor Towerは一部のインテリジェンス製品関連のパネルベースのアプリシリーズを運用しています。SeagateのアクティブパネルベースのデジタルウェルビーイングアプリであるStayFreeとActionDash(2020にSensor Towerが買収)は同クラスのアプリの中で最高レベルであり、Androidで利用可能です。Sensor TowerのコンテンツブロックアプリであるMobile Data Usage、Luna, Adblock MobileはSensor Towerによって開発され、AndroidとiOSで利用できます。

これらのパネルアプリは、個人ユーザーにSensor Towerのデータ収集の方法と、そのデータに対する権限についての通知を行います。さらに、ActionDashおよびStayFreeユーザーは、データ収集を拒否してもアプリ内のすべてのデジタルウェルビーイング機能を無料で利用することができます。またSensor Towerの広告ブロッカーアプリは、広告関連のドメインのみがプロキシ（代理）されるように特別に開発したSplit Tunnelingというプライバシー重視の方法を使用しており、当社のサーバー経由で広告および分析関連のデータのみを転送しています。

ユーザーは使用された証明書を簡単に無効にすることが可能で、広告トラフィックを暗号化する広告ネットワークではブロック機能が作動しないように制限することができます。このようなアプローチ方法で広告と分析データだけの処理が可能となり、これは処理されるデータ全体の10％に過ぎません。さらに重要なことは、広告と分析データのみ処理が可能で、健康管理または金融データのようなセンシティブなデータが含まれようなリクエストを処理したり、またはできなくするように施すことができます。

Sensor Towerパネルを通して受信した広告データは、収集された時点で非識別化されます。Sensor Towerのプライバシー保護のアプローチ方法としては、IPアドレスを保存しておらず、パネルアプリのインストールと連動可能な識別子は、インストール時に生成されるインストール識別子（ID）です。この情報はユーザーのデバイスにローカルで保存され、ユーザーがカスタマサポートのためにSensor Towerへ連絡する際に、追加情報を提供しない限りは、そのデバイスの使用ユーザーを特定することはできません。ユーザーがパネルアプリを削除すればIDは無効化され、IDに関するすべてのデータは完全に匿名化されます。ユーザーがアプリを再インストールすると新しいIDが任意で生成され、それはアプリが削除されていない場合のみ適用されます。

すべてのパネルデータは匿名化され、集計されたデータを経て、統計的な集計モデルに入力されます。そしてSensor Towerから提供されるインサイト（例：広告およびユーザーインテリジェンス製品）を導き出します。

Sensor Towerが提供しているPathmatics Explorerのような製品は、他社のパネルデータのようなデータソースに依存しているところがあります。Sensor Towerのユーザーパネルの場合、Sensor Towerはデータベンダーが、該当する個人情報保護法および規定を厳重に遵守するように求めており、データベンダーとの契約前と契約中には、オプトインの同意、利用規約、プライバシーポリシーおよびその他の資料を検討し、これらを継続して遵守するように義務付けています。

ユーザーのプライバシーを保護することは、Sensor Towerにとって常に重要な業務でした。GDPRおよびその他の最近の個人情報保護法の制定以前から、Sensor Towerでは個人情報保護を中心としたアプローチ方法でパネルアプリを慎重に構築してきました。Sensor Towerはパネルアプリの開発に格別の力を注ぎ、潜在的なプライバシーリスクを最小限に抑える努力を行ってきており、これからも世界のユーザーのプライバシーを尊重する革新的なツールを提供していきます。