結城永人アドセンスの管理画面やメールでGDPR(General Data Protection Regulation/EU一般データ保護規則)のための新しいIAB Europe(Interactive Advertising Bureau Europe/欧州双方向広告業界団体)のTCF(The Transparency & Consent Framework/透明性と同意の枠組み)のv2.2に纏わる要件の通知が来た。
アドセンスが取り入れたIAB TCFのv2.2に纏わる要件の内容とサイトの対応条件
2024 年 1 月 16 日より、欧州経済領域(EEA)または英国(UK)のユーザーに広告を配信するすべてのパブリッシャー様は、Google の認定を受けた同意管理プラットフォーム(CMP)をご使用いただくことが必要となります。欧州経済領域と英国で広告を配信する際には、Google 独自の同意管理ソリューションを含む Google 認定の CMP をご利用いただけます。Google の同意管理ソリューションに関心をお持ちの場合は、まず GDPR メッセージを設定してください。
要約すると欧州経済領域とイギリスの個人情報を保護するためのGDPRの同意メッセージに「Google の認定を受けた同意管理プラットフォーム(CMP)」が必要になったので、使っている場合は所定の期日まで対応しなくては行けない。
Googleが2020年からIAB TCFに参画してやって来たけど、バージョンが2.2に更新されたこともあり、さらに強化する狙いがあってアドセンスの同意メッセージの取り方が変更された。
アドセンスのGDPRの同意メッセージにGoogleが認定したCMPだけが許可される
サイトでのGDPRの同意はCMP(Consent Management Platform/同意管理プラットフォーム)によって行われる。
色んな方法があるけど、しかし来年からはアドセンスはGoogleが認定したCMPしか使っては行けないことになった。
パブリッシャー様は、欧州経済領域または英国のユーザーに広告を配信する際に、Google 認定の CMP を使用することが必要になります。Google の認定を受けた CMP は、Google により、TCF の準拠を重視した Google の認定基準に基づいて評価されます。TCF を使用しているパブリッシャー様が TCF に登録されていない広告技術プロバイダも使用している場合、Google は現在も今後も、追加同意に関する仕様に従ってその構成をサポートします。Google は、追加同意の仕様をサポートしている CMP がその仕様を正常に実施できるかどうかを確認します。CMP が Google の認定基準を満たしていることが確認されると、Google 認定 CMP のリストに表示されます。Google は、CMP が TCF に完全に準拠しているか、および適用されるプライバシー法を完全に遵守しているかどうかを確認することはありません。
どんなCMPを使えば良いかはヘルプのGoogle 認定の CMPに掲載されている。
その他のCMPについては「Google は現在も今後も、追加同意に関する仕様に従ってその構成をサポートします」ということになる。
参考サイト
アドセンスの同意メッセージはGoogle認定済みのCMPとして従来通りに使うことができる
Googleが認定したCMPにはGoogleの同意管理ソリューションが含まれていてアドセンスが用意したGDPRの同意メッセージも含まれるので、従来通りに使うことができるし、何も変更する必要はない。
GDPRに関してアドセンスのCMPを新しく導入する人もアドセンスの用意した同意メッセージを使えば新しいIAB TCFの要件を満たしていることになる。
Bloggerの場合、個人情報保護の同意メッセージを欧州経済領域とイギリスの訪問者に汎用的に出されるので、アドセンスに個別に対応する必要はないと思う。
この通知は、あなたのブログにおいて Blogger や Google の Cookie(Google アナリティクスや AdSense の Cookie など)を Google がどのように使用するのかを訪問者に知らせるためのものです。
Bloggerの提供元のGoogleが自動化しているものだからGoogleの同意管理ソリューションにも含まれると捉えて良いかも知れない。明示した文言は見付かってないから断定しないけれどもGoogleがやっていることだから認定されないことは基本的にないと思う。
アドセンスに影響を与えたIAB TCF v2.2が出されることになった切欠とは何か
IAB EuropeがTCFのバージョンを2.2に更新したことがアドセンスにIAB TCFの要件に改めるように影響を与えた要因の一つになっている。
なぜIAB EuropeがTCFのバージョンを2.2に更新したのかは2022年2月22日にTCFの2.0のバージョンがAPD(Autorité de protection des données/ベルギーデータ保護機関)によってGDPR違反を指摘されて二十五万ユーロ(約三千三百万円)の制裁金を課せられたとか二ヵ月以内のアクションプランの提出を求められたなんてことが切欠の一つになっている。
申し立ての焦点はブラウザのCookieなどの個人情報を使って利用者にパーソナライズド広告を配信するためのRTB(Real-Time Bidding/即時入札)のシステムにGDPRに違反する部分が見付かった。
CMPから個人情報の取り扱いについて同意を得なくてはならないけれどもそれがTCストリングという透明性と同意に関する情報をベンダー(販売業者)へ伝達するためのデータに使われている。
リアルタイム入札では、ユーザーがサイトを閲覧するタイミングで、この「TCストリング」と関連データがシステムに送信され、パーソナル化された広告表示のための自動入札を実施。落札した広告が瞬時に表示される、という仕組みが高速で繰り返されている。
ベルギー・データ保護機関は、この「TCストリング」がユーザーの端末のIPアドレスとともに扱われることで、GDPRが保護する個人データに該当する、と認定した。
GDPRは「個人データはそのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。(「適法性、公正性及び透明性」)」(第5条)などと定める。
ベルギー・データ保護機関は「TCF」について、ユーザーの同意取得の際の説明書きが、データ処理の目的などについて極めて曖昧で、「公正性、透明性」を満たしていないと指摘。また、データ処理の法的根拠も不十分で、「適法性」も満たしていないと指摘。データ保護のための組織的、技術的な措置も取られていない、などとしている。
従来のTCFではTCストリングに個人情報としての要素もあることが十分に組み込まれてなかったことが問題視された。
IAB EuropeはTCストリングを使用するデータ管理者として責任を負うということで、APDから申し立てを受けたけど、しかしTCFの策定を行うだけだからデータ管理者ではないと不服の申し立てを行うと共にTCFの2.0のバージョンを適切なものへ改善するように努めた。
結果、2.2のバージョンが新しく出されることになり、TCストリングに個人情報としての要素もあるという問題が解決された。
コメント