同意を得る重要性
一般データ保護規則(GDPR)や eプライバシー指令を含む欧州の法規制では、デジタルサイトの運営者(またはアプリのパブリッシャー)の義務として、サイトやアプリにアクセスするユーザーに対し、個人データの使用と共有に関する情報、ならびに Cookie、モバイル広告 ID、その他の形態のローカル ストレージの使用に関する情報を提供することが定められています。また多くの場合、ユーザーの同意を得る必要があることも規定されています。
このサイトは Google によって作成されています。多くのパートナー(サイト運営者やパブリッシャー)と協力してきた経験を活かし、法的な義務であるユーザーの同意を得るために役立つ情報やツールを提供することを目的としています。
必要な対応
GDPR は新しい規制ですが、すでに欧州のさまざまなデータ保護機関やその他のグループ(下述)によって、GDPR および eプライバシー指令の両方に準拠する要件をまとめたガイダンスが出されています。多くのサイト運営者やパブリッシャーの皆様にとってあまりなじみのないことかもしれませんが、自身のウェブサイトやアプリで何をすればよいか、法律専門家の具体的なアドバイスを求めることをおすすめします。
さまざまなベンダーから、ユーザーの同意を得る機能をウェブサイトに組み込むツールやソリューションが提供されており、一部は無料で使用できます。以下はその例です。
- Cookie Consent (Silktide)
- Cookie Control (CIVIC)
- OneTrust
- Cookiebot (Cybot)
- Cookie Consent Kit (欧州委員会)
こうしたソリューションは、サイトのニーズに応じてさまざまな形で設定することができます。ただこのような設定は、サイトにおけるデータの収集や Cookie の挙動を自動的に制御するものではありません。
つまり、Google のサービスなどの第三者配信サービスを利用している場合、ページの広告タグに任意のソリューションを組み入れて、ユーザーの判断が確実に尊重される仕組みを実装する必要があります。そのためのガイドやサポートは、各ベンダーから提供されています。
Google の取り組みについて詳しくは、EU ユーザーの同意ポリシーをご確認ください。Google のサービスを利用しているサイト運営者(またはパブリッシャー)の方は、Google がパートナーのコンプライアンス支援のために提供している以下のツールをお使いいただけます。
- AMP: 同意のリクエストをサポートする AMP のユーザー コントロール コンポーネント
- AdMob: SDK のアップデートと新しい API のリリース情報
- ユーザーの同意を得るためのファンディング チョイス: サイト運営者やパブリッシャーが欧州経済領域(EEA)のユーザーにパーソナライズド広告を配信する際、ユーザーからの同意を得るためのソリューション(詳しくは Google のアカウント マネージャーにお問い合わせください)。
こちらのツールをご自身のサイトに導入する場合は、慎重にテストを行ってください。
サイト運営者(またはパブリッシャー)として、ユーザーに同意を求める際はどのようなメッセージを表示したらよいですか?
ユーザーの同意を求めるメッセージをウェブサイトやアプリでどのように表示すべきかは、収益化の方法、個人データの取り扱い方法、利用している第三者サービスによって大幅に異なるため、一律にご提示することはできません。以下にいくつかのポイントを記載します。
たとえば、Google AdSense やその他の類似サービスを利用しているウェブサイトであれば、次のようなメッセージが 適する場合もあります。実際に利用しているベンダーや、Cookie またはその他の情報の使用方法を反映し、文面を調整してください。
注: 上述の例ではブラウザの Cookie について説明していますが、アプリで同意に関する通知を表示する場合は、「Cookie」ではなく「モバイル ID」とすることもできます。
この例でユーザーは、記載された目的で自分のデータが使用されることについて同意する場合、[はい] をクリックします。[いいえ] をクリックすると、パーソナライズされていない広告のみが表示されること、また広告を配信する目的で Cookie が使用されることに関する通知メッセージが表示されます。そのまま選択を確定する場合は [同意する] をクリックし、そうでない場合は前の画面に戻ります。詳細確認のリンクをクリックすると、広告のパーソナライズと測定を行う目的でデータを収集するベンダーに関する具体的な情報や、収集されたデータがどのように扱われるかの詳細を確認できます。ここではパートナーの数が 10 社となっていますが、ご自身のサイトで実際に利用しているベンダーの数に変えて使用するようにしてください。
同意のメッセージと同様に、詳細としてどのような内容を表示すべきかは、ご使用のベンダーやサービス、ユーザーに示す選択肢、ユーザーが利用できるサイトの設定によって大きく変わるため、一律に提示することはできません。
Google AdSense などの Google のサービスを利用している場合は、Google の EU ユーザーの同意ポリシーへの準拠が契約で義務付けられます。欧州経済領域(EEA)のユーザーに対して、上述のように同意を求めるメッセージが表示されるようにすれば、Google のポリシーで求められる要件を満たし、欧州における Cookie とデータ保護に関する法規制に準拠することができます。
広告主として、ユーザーの同意を得るために何か行うことはありますか?
多くの広告主の皆様が、広告の効果測定やリマーケティングを行うため、Google のサービスなどの第三者広告サービスのタグやコードを使用しています。こうしたタグを使用する場合は、広告サービス プロバイダとデータを共有することになります。同様の目的で、モバイルアプリにおいて広告サービスの SDK を使用するケースも考えられます。
サイト運営者(またはパブリッシャー)の場合と同様に、ユーザーの同意を求めるメッセージをウェブサイトやアプリでどのように表示すべきかは、利用している広告サービスや第三者サービス、個人データの取り扱い方法によって大幅に異なるため、一律にご提示することはできません。たとえば自社サイトへのアクセスデータを、自社サイトや他サイトで広告をパーソナライズするために使用するのであれば、次のような通知が適するかもしれません。サイト運営者(またはパブリッシャー)の通知とほぼ同様で、同じように動作します。
自社サイトへのアクセスデータを別の場所での広告配信に利用しない場合は、次のような通知が適するかもしれません。
アプリで同意に関する通知を表示する場合は、「Cookie」ではなく「モバイル ID」とすることもできます。
Google AdWords や DoubleClick Digital Marketing などの Google のサービスを利用している場合は、Google の EU のユーザーの同意ポリシーへの準拠が契約で義務付けられます。欧州経済領域(EEA)のユーザーに対して、上述のように同意を求めるメッセージが表示されるようにすれば、Google のポリシーで求められる要件を満たし、欧州における Cookie とデータ保護に関する法規制に準拠することができます。
その他の関連情報
GDPR、またデジタル パブリッシャーやデジタル広告への GDPR の適用に関して詳しくは、以下をご確認ください。
広告における Cookie 使用の同意確認に関する規制は、以下でご確認ください。