【音声あり】Click & Risk：AI時代の「広告」と「消費者プライバシー」の具体的対処法〈講演レポート〉

この記事は音声でもお楽しみいただけます（Notebook LMの音声概要機能を利用しています。記事の内容との齟齬や文字の読み方が正確でない部分がありますので、予めご了承ください）

Clicks and Risks: Navigating Consumer Privacy in the Age of AI-driven Ads
IAPP Global Privacy Summit 2025 現地レポート[Vol.7]　

AIを活用した広告が加速する中、パーソナライゼーションと消費者のプライバシーのバランスを取る必要性はかつてないほど高まっています。

このセッションでは、EU AI Act、GDPR、CRPA(California Privacy Rights Act of 2020/CCPAの改訂版)、コロラド州AI法などの主要な規制を取り上げながら、同意要件の変化にどう対策していくべきか掘り下げられました。

また、AIが従来の同意の手法と広告ターゲティング技術のあり方を再構築する中、1st Partyデータの活用や、プライバシー・ファースト技術の採用、予測分析を倫理的な検討を踏まえて実施する際の洞察についても触れられました。

プライバシーへのアプローチを強化し、AI時代における広告の将来性を確保するヒントを模索します。

転載：IAPP Global Privacy Summit 2025

◆ この記事でわかること
===
・AIを活用した広告手法が、規制や消費者のプライバシーのリスクにどう影響するか。
・EUや米国（州・連邦）ごとの最新のAI・プライバシー規制への実務的対応策。
・コンプライアンスを、イノベーションの阻害要因ではなく、信頼構築と差別化戦略に転換するためのアプローチ。
===

登壇者

Hope Anderson, Partner in Data, Privacy and Cybersecurity, White & Case
White & Case LLPロサンゼルス事務所のデータ・プライバシー・サイバーセキュリティ部門パートナー、かつ、グローバル・テクノロジー・インダストリー・グループの一員。GDPR、CCPA、CPRAをはじめ各種プライバシー規制への対応や、生成AIの法的影響・実務適用に関する助言に豊富な実績を持つ。プライバシー・バイ・デザイン、AR/VR、生体認証、マーケティングや広告に関する法務などについて幅広く助言し、Future of Privacy Forumの諮問委員会メンバーとしても活動している。White & Case入社前はSnap Inc.でアソシエイト・ジェネラルカウンセル（プロダクト＆プライバシー）を務めた。

Allison Lefrak, Senior Privacy Counsel, Global Privacy and Regulatory Affairs, TikTok
TikTokのグローバル・プライバシー＆法規制部門シニア・プライバシー・カウンセルとして、ターゲティング広告やユーザー成長を含むマネタイズ全般に関する法的助言を行う。同社入社前は、広告不正分析企業であるPixalateで公共政策、広告プライバシー、COPPAコンプライアンス担当シニアバイスプレジデントを務め、経営陣の一員として戦略的な法的および公共政策アドバイスを提供していました。それ以前は、連邦取引委員会（FTC）のプライバシー・個人情報保護部門、その後は国際問題局（OIA）に9年以上勤務。弁護士として民間の法律事務所で活動した経験も持つ。

Tanya M. Richardson, CIPP/C, CIPP/E, CIPP/US, CIPM, CIPT, FIP, PLS, Associate General Counsel, Privacy and Product, Snap
Snap Inc.のアソシエイト・ゼネラルカウンセルとして、プライバシー、プロダクト、AI/AR関連のデジタルセーフティおよびコンプライアンス戦略を統括する。プライバシーとサイバーセキュリティの分野で、10年以上の経験を持ち、IAPP諮問委員としてAI・機械学習分野の知見を提供している。前職ではUberのシニアカウンセルとしてプライバシー・バイ・デザイン戦略の策定やグローバル法令対応を担当し、サイバーセキュリティ企業の副社長兼最高プライバシー責任者も務めた。GDPR、CCPA、EU AI法など最新フレームワーク対応に精通し、CIPP/US/E/C、CIPM、CIPT、CDPSEなど複数の認定資格を有する。

転載：IAPP Global Privacy Summit 2025（翻訳は編で追加）

はじめに：AIと広告を取り巻く現在地

Hope：本日は「AIと広告」というテーマを、法規制やコンプライアンス、そして消費者の信頼という観点から掘り下げていきます。取り扱うトピックは、AIの規制上のリスクから、進化するプライバシー基準、さらには感情認識AIまで多岐にわたります。

まず冒頭にいくつか免責事項を申し上げます。今日のセッションは教育目的の議論であり、法的判断は各自、適切な法律顧問と行ってください。また、これからお話しする内容は私たち登壇者個人の意見であり、所属する企業や法律事務所を代表するものではありません。

今日のアジェンダは以下の通りです：

1. AIと広告が今どこに向かっているのか。そして一般の人々がそれをどう受け止めているか。

2. 新たに登場している法規制、その中で注目すべきもの。

3. 少し現実的すぎるかもしれない、しかし極めて実用的なAI広告活用時のシナリオ2件。

4. 規制のホットスポットや、最近の執行動向。

5. 最後に、今日の学びを実践に活かすための「ツールキット」。

それでは早速、始めましょう。Allisonさん、現在のAIと広告の動向について教えていただけますか。

Allison：AIを活用した広告市場は、2030年までに2兆2000億ドルに達すると予想されています。これは単なる成長ではなく、広告エコシステムの変革と言えるでしょう。AIは、ブランドが消費者と関わり、コンテンツをパーソナライズし、パフォーマンスを最適化する方法を変えようとしています。

しかし一方で、消費者は明らかにAIの利用に不安を抱いています。最近の世論調査によると、AIに対する消費者の信頼度は世界で53％、米国では35％という結果が出ています。AIが消費者を予測したり、パーソナライズしたり、説得したりするようになると、不信感は特に深刻になるようです。イノベーションと消費者の認識や信頼のギャップが、このセッションの背景にあります。

州法によるAI広告規制：コロラド州とカリフォルニア州

Tanya：次に、私が個人的に注目しているコロラド州のAI法に移りましょう。この法律は2026年2月から施行される予定で、AI広告における分岐点とも言えます。

この法律では、AIの使い方によって適用の有無が変わります。例えば、AIが重要な意思決定（住宅、融資、医療など）に関与する場合や、センシティブなデータを使う場合は厳格な規制が適用されます。

単なる広告表示に留まる場合でも、「本当に広告だけか？」と問う、デューデリジェンス義務が課されます。例えば、ローンの広告は、結果的な決定に影響を与えると捉えられるかもしれません。

「重要な意思決定（Consequential Decisions）」とは、個人の人生に大きな影響を与える判断のことを指します。

• 金融サービス、住宅、医療などへのアクセスに関わる広告

• 職業機会の有無に影響を与えるプロファイリング

• 健康状態や経済状況など、センシティブなデータを使った広告

これらに該当する場合、企業には以下の義務があります：

1. 影響評価（PIA: プライバシーリスク評価）の実施

2. AIシステムの目的、仕組み、使用データ、セーフガードに関する記録（文書化）

3. 消費者への明確な情報開示（オプトアウトや人間によるレビューの提供などを含むと考えられる）

なお、違反時には1件あたり最大2万ドルの罰金が科されます。コロラド州の司法長官は消費者保護に積極的であるため、これは非常に現実的なリスクと言えるでしょう。

Hope：さて、次に「カリフォルニア州プライバシー権法（CPRA）」に焦点を当てましょう。この法律における重要な考え方は、AIを含むテクノロジーを使って、消費者に法的に、あるいは実質的に同様の影響を与える意思決定を行う場合、特定のルールが適用されるべきだということです。例えば、価格設定や提供サービスへのアクセスに影響するようなターゲティング広告などが該当します。

以下の3点が特に重要です：

1. 透明性：AIを使用している旨と、その機能について、明確に開示する。

2. オプトアウト権：消費者は、ターゲティング広告やセンシティブなデータの利用を制限する権利を持つ。

3. アクセスと説明：消費者は、システムがどのように運用され、自分たちにどのような影響を与えるかについての情報提供を求める権利がある。

これらの規制はまだ策定段階にあり、今後の変更にも注意が必要です。

連邦レベルのAI規制動向と州法の拡大

Hope：さて、次は連邦政府の動向についてです。トランプ政権が発足してから、バイデン政権下で発行されたAIに関する大統領令は撤回され、新たな大統領令が出されています。

今のところ、包括的なAI法案は連邦レベルでは提出されていませんが、「アメリカ・プライバシー権法（American Privacy Rights Act）」など、全国共通ルールを目指す包括的プライバシー法案は議論されています。2025年だけでもすでに400本近い州レベルのAI法案が提出されたとも言われています。

とはいえ、現実的には依然として州レベルの法整備とFTC（連邦取引委員会）による強制措置が中心です。

Allison：連邦以外にも、いくつかの州法がAI広告の状況に影響を与えています。

• コネチカット州（個人データプライバシー法）：自動意思決定に関する透明性要件とオプトアウト権。

• バージニア州（消費者データ保護法）：ハイリスクなデータ処理に対するリスクアセスメントの義務。

• イリノイ州（生体情報プライバシー保護法）：生体特定要素の収集にはオプトインの同意が必須（訴訟リスクも高い）。

さらに、ニューヨーク州、ニュージャージー州、ワシントン州などでもアルゴリズムの説明責任を求めるAI法案が提出されており、特に政治広告へのAI使用に対する開示要件が注目されています。

ここまでが法的枠組みの説明でした。次は仮想事例を通じて、実際にどのような問題が起こりうるかを見ていきましょう。

仮想事例：感情ターゲティング広告のリスク

Allison：それでは仮想シナリオを見てみましょう。

ある大手Eコマース企業が、ユーザーのマウスの動きやスクロール速度、商品へのホバー時間などを追跡して、感情的な関与度（例えば「ためらい」や「興奮」）をAIが推定する仕組みを開発したとします。

そのデータに基づき、例えばためらいが見られる場合は「今すぐ購入を」といった緊急性の高い広告を、興奮が見られる場合は明るく目立つ広告を表示するといった動的広告を実施しています。

このAI広告の利用に関する説明は、サイトのアナリティクスとプライバシーポリシーにのみ記載されていると仮定します。

このケースでは、以下のリスクが想定されます：

• カリフォルニア州CPRA：

  感情状態という「センシティブな推論データ」を使って体験を変えていることから、自動意思決定規制の対象となり得ます。

  事前通知の義務があり、AI技術の使用目的・仕組み・影響、オプトアウトする権利についてユーザーに明示する必要があります。

• コロラド州AI法：

  このような感情ベースのターゲティングが、購入決定に実質的影響を与えると見なされれば、「重要な意思決定」に該当し、リスク評価や透明性義務の対象になります。

• 連邦取引委員会（FTC）：

  曖昧なポリシー記載だけでは、「意図的な省略（deceptive omission）」と見なされるリスクがあります。

重要な点は、「AIが明確なYes/Noの判断をしていなくても、感情的な誘導を通じて消費者行動を変えること自体が法的責任を伴う可能性がある」ということです。

実際の執行事例とFTCの姿勢

Allison：では、実際に起きたFTCの執行事例をいくつか紹介します。

• Clio AI（オンラインキャッシング会社）：

  数百ドルのキャッシングを即座に、あるいは即日で利用できると消費者に約束した広告宣伝が消費者を欺いたとしてFTCから提訴され、1,700万ドルの支払いに同意した。告発状によると、同社は現金前払いの金額と時期について消費者を誤解させ、借入のキャンセルを妨害していたという。この事例は、FTCが金融商品におけるAI機能について、企業が消費者に提供する透明性に注目していることを示唆している。

• accessiBe（ソフトウェアプロバイダー）：

  「あらゆるウェブサイトを障害者向けガイドラインに準拠させる機能がある」と、AIの機能について虚偽の説明をしていたとして、FTCは同社に100万ドルの支払いを求めた。この事例から、FTCがAIの性能に関するマーケティング上の主張を精査し、それが誇張されていないことを確認することがわかる。

• Click Profit（コンサルティング会社）：

  「AIで高収益を得られる」と消費者に虚偽の約束をして、数百万ドルをだまし取っていたとされる事業が一時停止された。広告におけるAIの使用に関しては、基本的な消費者保護のルールが完全に適用されるということを示す事例。FTCは透明性と正確性の原則を強調しており、企業はAIの使用を明確に開示するだけでなく、誇大広告を避けなければならない。

Tanya：他にも、以下のような事例があります。

• Googleの位置情報追跡：ユーザーのオプトアウト選択と矛盾する形で位置情報が使用されていた。

• AmazonのAI広告：ある層にばかり特定広告が表示されるなど、偏りを生む可能性が問題視された。

• Clearview AIの顔認証：生体認証を使った広告的用途での利用が同意・透明性の点で問題視された。

こうした事例は、AIを使って消費者の特徴を推定し、広告をパーソナライズする際の影響やデータ最小化の必要性を浮き彫りにしています。

3rd Party Cookieの行方と次世代戦略

Tanya：大きな象徴的変化の一つが、3rd Party Cookieからの脱却、と思われていましたが、Googleは「Chromeでのクッキー廃止を撤回する」と発表しました。

広告業界全体としてはすでに次の時代に向かって進んでいます。プライバシー志向のパーソナライゼーションが求められています。

注目すべき3つの流れは以下のとおりです：

1. ファーストパーティデータ活用：サイト内の行動、ログイン情報など直接収集したデータを活用。

2. プライバシー強化技術（PETs）：差分プライバシー、デバイス内処理など。

3. 実装時の透明性課題：ユーザーが理解しやすくする工夫が不可欠。

また、AIを用いた新しい広告手法としては以下のようなものが注目されています：

• コンテキスト認識型広告：ページ内容や時間帯、デバイスをAIが解析し、最適広告を表示。

• デバイス内パーソナライゼーション：個人データをクラウドに送らず、ローカルでAI処理。

• 予測モデル：集計・匿名化されたデータから嗜好を予測し、IDに頼らずターゲティング。

これらのアプローチは万能ではありませんが、個別追跡を避けながらも広告効果を維持する工夫として注目されています。

実践方法：AI広告のリスク管理と透明性の確保

Hope：ここまでで、法規制や事例を見てきました。では、皆さんは実際に何をしたら良いのか？ 実践的な方法をお示しします。

内部での会話を促し、構造的にリスクを把握・管理するための視点で、まずは「AI活用のマッピング」を行いましょう。

• AIがどこで使われているのか、どのプロセスに組み込まれているのかを把握することが第一歩です。

• 広告配信におけるターゲティング、入札、クリエイティブ生成など、どの工程にAIが関与しているかを把握しましょう。

• 工程が可視化されていないと、第三者ツールや外部データがもたらすリスクにも気づけません。

次に行うのは「影響評価」です。

• AIの出力がどのような結果をもたらしているか、誰にどんな影響を与えているかを検証します。

• 特定の属性の人を排除していたり、特定の層だけに広告が過度に表示されることがないか、確認します。

• ヒストリカルデータのバイアスや、テスト不足といった罠に注意が必要です。

「ローンチ前に人間のレビューを挟み、ローンチ後にもレビューを設ける」ことを推奨します。

説明可能性、ユーザー制御、データガバナンス

Tanya：AIの説明可能性は、技術的に難しいテーマです。AIがどのように広告配信の決定に至るかをある程度理解することが重要なポイントです。

「どんなデータポイントやルールに基づいて広告が出されたのか」が明確であれば、ユーザーとの信頼関係が築けますし、規制当局の質問にも対応できます。また、広告が不適切だった場合にも、どこが問題だったかを突き止めやすくなります。

そして、「透明性と設定管理」にもつながってきます。ユーザーが「なぜこの広告が出たのか」を理解できるように、明確で平易な言葉で伝えることが重要です。例えばパーソナライズされた広告が表示されたときに、「あなたが最近登山用品を検索したので、この広告を表示しています」と通知します。

設定管理についても、分かりやすくアクセスしやすいことが重要です。オプトアウトのオプションや設定に加えて、広告自体の中に広告設定を管理するリンクを設置することも考えられます。あるいは、広告のパーソナライズをON/OFFするシンプルなトグルスイッチを設置するのもいいかもしれません。

ABテストなどを使って、どの説明や配置がユーザーにとって最も分かりやすいか検証するのも効果的です。

インプット・データ・ガバナンスに話を移しましょう。AI広告システムはデータと同じだけの性能しかないことを理解しておきましょう。どのようなAIシステムでも、その性能と信頼性は、その原動力となるデータに大きく依存します。そのため、データの品質、関連性、機密情報の扱い方に関する優れた慣行を持つことは不可欠です。

AIが効果的で信頼できることを保証するためにも、データをモデルに入れる前に、そのデータが正確で完全なものであることを確認し、広告目的と整合しているかを確認しましょう。センシティブな情報（健康、財務など）は、適切な同意が取れているか、使用は最小限か、安全に保管されているか確認することも重要です。

データのライフサイクル（収集→加工→保存→アクセス権）全体を文書化しておくことで、後々のトラブル対応や品質改善にも役立ちます。

PETs(プライバシー保護強化技術)は魔法の解決策ではない〜連携と文化づくり、そして戦略的な設計へ

Allison：次に技術的なセーフガードとプライバシーの強化についてお話ししましょう。差分プライバシーやオンデバイス処理のようなPETs（プライバシー保護強化技術）の活用を目にすることが多くなっています。

ただし、PETsで魔法のような解決策になるわけではありません。プライバシー戦略の中で一層として使うのが基本です。PETsやその他の高度なプライバシー技術を利用する場合、消費者への情報開示が明確に行われているかも見落としてはなりません。

広告でAIを正しく活用するには、組織内のさまざまな部門を横断するチームワークが必要です。法務、プライバシー、プロダクト、エンジニアリングなど「クロスファンクショナル連携」も不可欠です。早い段階で協業することで、潜在的な問題をプロアクティブに発見することができます。また、定期的にAIプライバシーリスクに関する情報共有が行える体制構築も重要です。

Hope：最後は「プライバシー・バイ・デザイン」です。プライバシーを単なる法令遵守とみなすのではなく、プロダクト設計や顧客体験の核として最初からプライバシーを組み込む体制へとシフトするべきです。「プライバシーを重視する姿勢」が顧客の信頼や差別化要因になりうるためです。

私が成功を感じるのは、法務の成果がそのままビジネス上の価値につながったときです。「クリックとリスクをどう乗り越えるか」は、プライバシーを戦略に埋め込むことが鍵となります。

以上

===

◆ 関連記事
[Vol.1]【対談】サム・アルトマン(OpenAI)ーAI時代のプライバシーと人類の未来：「人間らしさ」の証明とは？〈要約版〉
[Vol.2]【講演レポート】ローレンス・レッシグが語る「ビジネスモデルが法を超える」──規制の4要素とAI時代のプライバシーの再定義
[Vol.3]【講演レポート】AIガバナンスを組織にどう実装するか？
[Vol.4]《米中AI覇権争いの真実》大国の興亡と汎用技術拡散の歴史
[Vol.5] AI時代におけるイノベーションとコンプライアンスの両立
[Vol.6]経営層レベルにおけるデジタルガバナンスの構築と維持
[Vol.7]クリックとリスク：AI広告時代における消費者プライバシーの舵取り←この記事
[Vol.8]AI for Humanity： 高品質なデータが人権を保障する
[Vol.9]AI採用に潜むリスクと対策〜いま、企業が直面する課題〜
[Vol.10]AI時代─人間らしさが武器になる〜米欧の規制動向とGoogleの取り組み〜←この記事
[Vol.11]実世界データでAIを鍛える〜ファインチューニングの現場とプライバシー対応の最前線〜

===

＜＜前へ：経営層レベルにおけるデジタルガバナンスの構築と維持
＞＞次へ：AI for Humanity： 高品質なデータが人権を保障する

===

IAPP公式サイト：https://iapp.org/conference/global-privacy-summit/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP　#プライバシーガバナンス　#データガバナンス　#AI広告　#CPRA　#透明性　#オプトアウト　#同意管理　#ターゲティング広告　#PETs　#データのライフサイクル　#マッピング　#コロラド州AI法