Uncategorized

Index Exchange でのカリフォルニア消費者プライバシー法(CCPA)に向けた準備

2020年を迎え、新しいプライバシー法も整備されています。2020年1月1日から開始されるCCPA(カリフォルニア消費者プライバシー法)は、企業がデジタル広告を提供するうえで個人情報を使用することについて、ウェブユーザーがオプトアウト(拒否)できるよう定める法律です。この新しい法律の CCPAは、EU で最近施行された GDPR に少し似ているものの、個人情報にかかわる企業と消費者の両方が検討しなければならない微妙な違いが存在します。

Index Exchange では、IAB の OpenRTB のための CCPA フレームワーク(仕様はこちらからご覧いただけます)を実装中です。当社と協力関係にあるパブリッシャー(およびアドテクノロジー業界のその他企業)に対しても、このフレームワークを実装するよう奨励しています。CCPA に基づくと、当社は「サービスプロバイダー」とみなされます。当社は、パートナーであるパブリッシャーの指示に従い、パブリッシャーのために、個人情報を処理しています。

当社のバイヤーやパブリッシャーのパートナーが、こういった今後の進展に向けてうまく準備できるようサポートする目的で、次のとおり、よくある質問、および、今後の変更に関してパートナーが期待できることをまとめました。

よくある質問

カリフォルニア消費者プライバシー法(CCPA)とは何ですか?

CCPA とは、カリフォルニア州を拠点とするウェブユーザーが、自らの個人情報(デジタル広告を含む)を企業が使用することをオプトアウト(拒否)できる選択の機会を提供する新しい法律です。 

カリフォルニア州在住者の個人情報を扱うあらゆる企業に適用されます。この法律は、個人情報を「販売する」という用語を使用していますが、この用語は広範な意味で使用されており、以下の行為が該当することになります。

「価値ある対価のために、事業者が第三者に対して、消費者の個人情報を収集、蓄積、アクセス、受信、開示、共有、転送、および伝達すること」

CCPA を遵守するためには、カリフォルニア州在住者の個人情報の収集と「販売」を行っている企業は、ユーザーが、自らの個人情報が第三者に「販売」されることを拒否することを選択できるようにする「私の個人情報を販売しない(Do Not Sell My Personal Information)」と題したリンクを、企業のウェブサイト上にバナーとして設置しなければいけません。バナーを設置しない場合、企業はカリフォルニア州在住者のユーザーに対し、パーソナライズされた広告体験を提供しないことを選択できます。また、企業は消費者に対し、企業が消費者について保有している一切の個人情報にアクセスする権利や削除する権利を与える必要があります。

CCPA はいつ施行されますか?

2020年1月1日に施行されます。実際には、カリフォルニア州司法長官事務所は2020年7月1日まで施行を開始しないことを示唆しています。

IAB の米国プライバシーフレームワークとは何ですか?

IAB の米国プライバシーフレームワークは、CCPA やその他の米国のプライバシーに関する法律に基づく法的要件を遵守するために標準化された方法を作り出すことを目的としたアドテック業界による取り組みです。このフレームワークは、個人情報が使用されることについて消費者が拒否したというシグナルを、標準化された方法で収集し伝える方法を示します。 

パブリッシャーは、このフレームワークを使わず、標準的でない方法で行うこともできます。いずれの場合でも、シグナルはDSPに送信するエクスチェンジに転送されなければなりません。

Limited Service Provider(限定サービスプロバイダー)とは何ですか?
IAB の米国プライバシーフレームワークには、限定サービスプロバイダー契約も含まれます。限定サービスプロバイダー契約とは、アドエクスチェンジといった川下の当事者が、パブリッシャーとの関係を標準化する手段です。パブリッシャーに対するサービスプロバイダーであることを認識します。

限定サービスプロバイダー契約を締結した川下の当事者は、フリークエンシーキャップ、広告測定、広告配信、不正防止、パーソナライズ広告を伴わないその他の目的など、特定のビジネス目的にしか個人情報を使用できない「限定サービスプロバイダー」となります。

Index Exchange は、IAB の限定サービスプロバイダー契約が作成され次第締結予定です。事務的管理を最小限に抑え、契約にその他の修正を行う必要性を排除するため、当社はパートナーに対してもこの契約を締結するよう奨励しています。

ユーザーが拒否した場合、どうなりますか?

  • 最低でも、ユーザーは拒否することを選択したウェブサイトおよびデバイス/ウェブサイトのペアについて拒否されます。例えば、デスクトップ上で XYZ.com を拒否した場合、XYZ のモバイルアプリを拒否したことには「なりません」。但しパブリッシャーによっては、ユーザーが選択した内容を、パブリッシャーの配信チャネル全体に対して同期するよう設定しているパブリッシャーも存在するため、この例が常に該当するとは限りません。
  • 「拒否」とは、ユーザーに広告が表示されなくなるということではなく、広告のパーソナライズに際して個人情報が使用されなくなることしか意味しません。
  • ユーザーが「販売」を拒否した場合でも、次のタイプの広告を配信することができます。
    • パーソナライズされていない広告
    • パブリッシャーの第一当事者データに基づく広告(CNNがあなた自身について収集したデータなど)CCPA の施行前に取得された第三者データに基づく広告

もたらされる影響は何ですか?

ライブラリパートナーの場合:

  • 当社は、ライブラリ製品に IAB の CCPA コンプライアンスフレームワークを実装しており、us_privacy という文字列を介して顧客のオプトイン(承諾)またはオプトアウト(拒否)の設定を受信、処理、および送信する準備が整っています。

    • パブリッシャー向けの IAB の技術仕様はこちらからご覧ください

    • IX ライブラリの実装コードを更新する必要はありません。IAB 仕様に従って us_privacy の文字列を収集·共有している限り、IX ライブラリは自動的にシグナルを取得します。IX のアカウント担当者にご連絡のうえ、準備ができ次第シグナルを読み取るよう IX ライブラリを設定してください。

    • 顧客の同意のシグナルを正確に収集して送信することは、パブリッシャーが責任を持って行います。CMP のサポートを借りてユーザーの同意設定を管理できますが、これは必須ではありません。

  • IX ライブラリは、US Privacy API からの us_privacy の文字列を、ライブラリで設定されたすべての認定アダプターと共有します。これにより、CCPA に対応しているアダプター上のポイントは、それぞれのプラットフォームにシグナルを送信できます。

  • IAB の限定サービスプロバイダー契約を締結しているパブリッシャーの場合、追加的な契約追加条項は不要です。

Prebid アダプターパートナーの場合:

  • us_privacy の文字列の処理を含められるよう、Prebid のライブラリとの統合を更新しました。
  • Prebid ライブラリを使用しているパブリッシャーは、統合を更新してサイトに展開する必要があります。

Prebid のアダプターに対する CCPA の更新に関する情報は  こちらからご確認いただけます 。CCPAをサポートするアダプターとしてIndex Exchangeが挙げられています。

DSP および代理店パートナーの場合:

  • 当社は、ライブラリ製品に IAB の CCPA コンプライアンスフレームワークを実装しており、us_privacy という文字列を介して顧客のオプトイン(承諾)またはオプトアウト(拒否)の設定を受け取り、処理し、送信する準備が整っています。
  • 規制オブジェクトにある us_privacy のフィールドを送信します。詳細については、当社の  ナレッジベース  をご覧ください。

その他ご不明な点がございましたら、担当のアカウントチームのリーダーまでご遠慮なくお問合せください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です