EEAおよび英国における広告配信のための新たな同意管理プラットフォームの要件について

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2023年6月1日
• タイトル：EEAおよび英国における広告配信のための新たな同意管理プラットフォームの要件について
• メインスピーカー/MC：データサイン 代表取締役社長 太田祐一

IAB Europeが策定するTCFに対応したCMPであること

2023年5月16日、グーグルはEEA（欧州経済領域）と英国での広告配信における同意管理プラットフォームに関する新たな要件をまとめた記事を発表しました。

グーグルは同意管理プラットフォーム（CMP：Consent Management Platform）について、IAB Europeが策定するTCF2.2という広告トラッキング同意フレームワーク（個人データの利用に関する同意状態を共有する仕様）に対応し、かつ、グーグルが認証済みのツールであることを条件に掲げています。

IAB（Interactive Advertising Bureau）は米ニューヨークに本部を持ち、オンライン広告における技術的標準規格の策定、動向調査や自主規制の整備などを行っている非営利団体です。IAB Europeは、欧州を拠点として活動する団体であり、TCFの管理組織です。

今回グーグルが発表した要件を満たすCMPを利用する対象者は主に、広告収入を目的としてグーグルのAd Manager、AdMob、AdSenseなどを利用するパブリッシャー（メディア）や開発パートナーです。

同意状態を連携するためアドテク事業者に渡される情報

要件に挙げられるTCF（Transparency and Consent Framework）ですが、ランチタイムトークでいくどか取り上げてきたとおり、GDPR適用国のデータ保護当局とオンライン広告業界側の間で溝がなかなか埋まりません。

TCFは、CMPを介して利用者がサードパーティーCookieの利用に同意した場合、そのことをアドネットワークのRTB（Real-Time Bidding）参加者に一斉通知し、利用者の同意状態を連携する、という仕組みです。同意状態を連携するため、メディア側（SSP）、広告主側（DSP）、アドテク事業者など関係者間で、ユーザーの同意に関する承諾や拒否などの情報が記されたデータ（TC String：文字列）がやりとりされています。

ただ、TCF1.0はEUのGDPR（一般データ保護規則）を満たしていない、と批判され、その後TCF2.2のベースとなるTCF2.0にバージョンアップされています。ただ、2020年10月には、ベルギーのデータ保護当局（DPA）がTCF2.0はGDPRに適合しないと判断したと報じられるなど、いくつかの国のデータ保護当局とアドテク業界の間に摩擦が生じています。

TCストリングが適切にやりとりされているかどこまで信頼できる？

グーグルでは、TCF2.0ベースの同意状態の適切な共有と相互運用を実現するために、TCストリングの内容（パーパスやフィーチャー）の基づく広告表示の対応例を説明しています。

たとえば、GDPRにおける（セキュリティ上の理由など）正当な理由（legitimate interest）に基づく承諾（同意ではない）に基づいてパーソナライズ広告を表示する、という情報がTCストリングに認められたならば、グーグルはその広告表示を行わない、といった対応例が示されています。

現時点でこちらにEEAおよび英国においてグーグルが認証済みのCMPのリストに公開されています。

グーグルはさらに認定を進めていく予定ですが、2024年1月16日以降、Ad Manager、AdMob、AdSenseなどを利用するメディアや開発パートナーはグーグル認証済みのCMPを利用しなければ、パーソナライズ広告表示は不適格になるとしています。

「とはいえ、アドエクスチェンジを介してアドテク事業者などに渡されるTCストリングがユーザーの同意や不同意を反映して適切に運用されているのか、という点は依然としてユーザー側からは見えません。当該アドテク事業者を信頼するしかないのが現状でしょう。グーグルもアドテク事業者としての側面を有しますが、そのあたりのモヤモヤ感が晴れないまま進行しているようにも思えます」（太田）