このポリシーはなぜ存在し、どこに適用されるのですか?
このポリシーは、欧州のプライバシーに関する 2 つの法令「一般データ保護規則(GDPR)」と「e プライバシー指令」(およびこれらに相当する英国の法律)の特定の要件を反映したものです。「e プライバシー指令(ePrivacy Directive)」と現在検討中の提案「e プライバシー規則(ePrivacy Regulation)」を混同しないようにご注意ください。これらの法令は欧州経済領域(EEA)と英国のエンドユーザーに適用されます。欧州経済領域には、EU 加盟国とアイスランド、リヒテンシュタイン、ノルウェーが含まれます。
このポリシーは初回のバージョンが 2015 年に導入され、その後一般データ保護規則(GDPR)が発効した 2018 年 5 月 25 日に更新されました。
EEA または英国に拠点を置くパブリッシャーや広告主は、すべてのユーザーに対してこのポリシーを適用する必要がありますか?
Google の EU ユーザーの同意ポリシーは、EEA または英国に拠点を置くエンドユーザーにのみ適用されます。
Google ではどのようにしてこのポリシーの遵守の徹底を図るのですか?
Google では、このポリシーが 2015 年に導入された当初より、Google の広告サービスを利用しているサイトやアプリについて個別に審査を行って、遵守の徹底を図っています。Google の審査担当者が、一般ユーザーと同じようにサイトやアプリにアクセスし、開示されている情報や同意の取得手続きを調べます。
Google は、パートナー様と協力してポリシー準拠の徹底を図っていくことを常に第一に考えます。Google のポリシーに準拠していないと思われるパートナー様には、まずご連絡を差し上げて問題を認識していただき、そのうえで準拠の達成を支援します。
また、2015 年から変わっていませんが、サイトやアプリで必要な変更が実施されるまでの相応の猶予期間を設けています。相応の期間内にパートナー様から協力が得られない、または遵守しようとする誠意が見られない場合は、対象のアカウントについて一時停止などの措置を講じることもあります。
サイトやアプリの審査の実施に加え、2023 年 5 月に発表したとおり、EEA および英国のユーザーをターゲットとして広告を配信するパブリッシャー様には、このポリシーに準拠するため 2024 年 1 月 16 日より認定 CMP を採用することが義務付けられます。Google は、パブリッシャー パートナー様のサイトやアプリを継続的に監査し、認定 CMP が採用されているかどうかを確認します。
エンドユーザーに対してどのような情報開示を行う必要がありますか?
Google のポリシーでは、Google サービスを利用する結果としてエンドユーザーの個人データを受領する各当事者を特定することを求めています。また、エンドユーザーの個人データの利用に関する情報を目立つ場所にアクセスしやすい形で掲示する必要があります。Google は、Google によるデータの使用に関する情報を公開しています。Google によるデータの使用に関連する開示義務を遵守するために、パブリッシャーおよび広告主の皆様にはこのページへのリンクを設けることが義務付けられています。Google では、Google のサービスと連携する他の広告技術プロバイダに対しても、個人データの利用に関する情報を公表するよう依頼しています。
同意メカニズムを実装する際に陥りやすいミスの防止策チェックリスト
ここに挙げているものはあくまで例であり、あらゆるケースを網羅するものではありません。パブリッシャー側としては、認定 CMP を採用して正しく実装していれば、すでにこのチェックリストに準拠しています。Google のポリシーの要件をすべて満たす実装になっているか常に注意を払ってください。
- サイトやアプリでユーザーが個人データの収集に同意したときに当該データがどのように使用されるのかを、ユーザーに説明しましたか?たとえば、自分の個人データが広告のパーソナライズに使用されること、およびパーソナライズド広告や非パーソナライズド広告(NPA)のために Cookie が使用される場合があることを、ユーザーは認識していますか?
- すべての EEA 参加国からユーザーがサイトやアプリにアクセスしたときに、同意確認を求める通知が表示されるか確認しましたか?
- 「OK」ボタンや「同意する」ボタンをクリックするなど、同意の意思表示を行う手段がユーザーに与えられていますか?
- サイトやアプリで収集するユーザーデータにアクセスする第三者(Google を含む)の名称を開示しましたか?
- サイトやアプリでユーザーが同意するときに、Google のビジネスデータの責任に関するサイトへのリンクを表示するなどして、Google がユーザーの個人データをどのように使用するのかをユーザーに知らせましたか?他の第三者についても同様に知らせましたか?
- 非パーソナライズド広告(NPA)のみで収益を得ているパートナー様向け: 法的に必要な場合に、Cookie や、ローカルに保存されているその他の情報(モバイル デバイス ID など)を使用することについてユーザーの同意を得ていますか?ウェブサイトに配信される非パーソナライズド広告(NPA)を機能させるには、引き続き Cookie が必要となりますのでご注意ください。
- 制限付き広告のみでインプレッションを収益化する場合、広告のパーソナライズを目的とする個人データの収集、共有、使用が無効になるのに加え、ローカル ID(フリークエンシー キャップなど)の使用を必要とする機能が無効になります。プログラマティック制限付き広告がオンになっている場合のみ、不正行為や不正使用からの保護を目的として、無効なトラフィック検出専用の Cookie とローカル ストレージが使用されます。なお、広告配信技術(Google の JavaScript タグまたは SDK コード、もしくはその両方)自体は、ユーザーのブラウザやモバイル オペレーティング システムの通常動作の一部としてキャッシュまたはインストールされます。地域の法律に基づくコンプライアンス義務(法律で義務付けられている通知やユーザーからの同意など)については、お客様ご自身で判断する必要があります。この機能について詳しくは、アド マネージャー、AdMob のヘルプセンター、および AdSense をご覧ください。
- IAB 認定の CMP を利用している場合: 「Google Advertising Products(Google の広告サービス)」をベンダーとして含めましたか?
- Google 広告の Cookie は同意なしでは設定されないようになっていますか?また、非パーソナライズド広告(NPA)のデフォルト状態は同意なしでは変更されないようになっていますか?
エンドユーザーの個人データを広告のパーソナライズに利用する意図がない場合はどうなりますか?
エンドユーザーの個人データを広告のパーソナライズに利用するかどうかは選択できます。なお、非パーソナライズド広告(NPA)をウェブサイトやアプリに配信する場合でも、広告を機能させるには引き続き Cookie またはモバイル ID が必要となります。また、法的に必要な場合には Cookie またはモバイル ID を使用することについて同意を得る必要があります。
アド マネージャー、AdSense、および AdMob のインプレッションについては、制限付き広告による収益化を選択することも可能です。地域の法律に基づくコンプライアンス義務(制限付き広告や非パーソナライズド広告の配信にあたって法律で義務付けられている通知やユーザーからの同意など)については、お客様ご自身で判断する必要があります。
同意の撤回に関してエンドユーザーにどのような手順を示すべきですか?
このポリシーでは、広告のパーソナライズに対する同意を撤回する方法をエンドユーザーに示すよう求めています。ユーザーによる同意の撤回は、最初に同意したときと同程度の容易さで行えるようにする必要があります。少なくとも、サイトやアプリに表示される広告を管理する機能に簡単にアクセスできるような十分な情報をエンドユーザーに提供し、同意についての設定を修正できるようにする必要があります。
このポリシーを取り入れている Google サービスは他にありますか?
このポリシーは、広告および測定サービスのほか、「Google Maps Platform 利用規約」、「YouTube API Services 利用規約」、「reCAPTCHA 利用規約」、および Blogger などの Google サービスで参照されています。
このポリシーで「パーソナライズド広告」と見なされるのはどのような広告ですか?
パーソナライズド広告(旧「インタレスト ベース広告」)は、ユーザーと広告との関連性を高め、広告費用対効果の改善に力を発揮するツールです。Google が提供するパブリッシャー向けサービスでは、その使用方法によっては、ユーザーがアクセスするサイトや使用するアプリをもとにその興味や関心の対象を推定し、広告主がそれらに基づいて広告のターゲットを設定することが可能です。これにより、ユーザーと広告主の皆様の双方にとって優れたエクスペリエンスを実現することができます。詳しくは、広告主向けのパーソナライズド広告ポリシーをご覧ください。
Google では、ユーザーの過去の検索語句、アクティビティ、サイトやアプリへのアクセス、ユーザー属性情報、地域など、以前に収集したデータ(過去のデータ)に基づいて決定された(またはそのようなデータから影響を受けた)広告をパーソナライズド広告と定義しています。具体的には、ユーザー属性によるターゲティング、インタレスト カテゴリによるターゲティング、リマーケティング、カスタマー マッチ リストによるターゲティング、Google マーケティング プラットフォームにアップロードされたオーディエンス リストによるターゲティングなどを利用している広告が該当します。
監査の結果、同意バナーが非準拠と報告されました。解決するための最適な方法を教えてください。
パートナー様がこのポリシーに準拠していないことが判明した場合、Google はパートナー様が再び準拠できるよう支援することを優先します。Google 監査チームは、問題についての詳細を示すとともに、サイトやアプリをポリシーに準拠させるために必要な手順に関する情報を提供します。
広告主としてバナーがユーザーの選択を尊重して適切に設定されていることを確認するため、第三者の CMP と連携するか同意設定の管理に関する適切なドキュメントを参照して、同意モードを適切に統合することをおすすめします。
パーソナライズ以外の目的(広告の測定など)で Cookie を使用する場合でも、Cookie についての同意が必要なのはなぜですか?
Cookie やモバイル ID は、Google が配信するパーソナライズド広告と非パーソナライズド広告(NPA)のサポート、不正行為や不正使用の防止、フリークエンシー キャップの設定、広告集計レポートの目的で使用されます。Google のポリシーでは、Cookie やモバイル ID について同意を得ることが法的に義務付けられている国のユーザーに、Cookie またはモバイル ID の使用についての同意を得るよう求めています。
広告主が自社サイトで Google のサービスを使用している場合はどうなりますか?
広告主のページで Google 広告や Google マーケティング プラットフォームなどの広告サービスのタグを使用している場合は、Google の「EU ユーザーの同意ポリシー」に準拠するために EEA および英国のユーザーから同意を得る必要があります。たとえば、広告主のページでリマーケティング タグを使用している場合、Google のポリシーでは、測定目的で使用される Cookie についての同意、およびパーソナライズド広告用の個人データの使用についての同意を得るよう求めています。
同意確認にはどのようなメッセージを使えばよいですか?
同意確認のメッセージは、データの用途(サイト独自の目的、サイトが利用している他のサービスに役立てる、など)によって異なるため、Google のポリシーではユーザーに提示すべき選択肢は規定していません。
アプリについての同意メッセージは特定の形式に則る必要がありますか?
はい。2023 年 5 月に発表したとおり、EEA および英国のユーザーをターゲットとして広告を配信するパブリッシャー様には、2024 年 1 月 16 日より認定 CMP を採用することが義務付けられます。使用している CMP がこのリストに記載されていない場合は、CMP と連携して認定を取得することをおすすめします。
同意バナーの制作と設定において、広告主パートナー様を支援することを目的として CMP Partner Program を作成しました。注: 利用可能な CMP がこの一覧にすべて網羅されているわけではありません。
採用する同意管理プラットフォーム(CMP)プロバイダは、どのような方法で選定すればよいですか?
同意バナーの制作と設定において、広告主パートナー様を支援することを目的として CMP Partner Program を作成しました。注: 利用可能な CMP がこの一覧にすべて網羅されているわけではありません。Google の「EU ユーザーの同意ポリシー」に準拠しているかどうかは、CMP の実装とユーザーに対して実際に表示される同意メッセージによるため、この一覧の CMP を採用したからといって準拠が保証されるわけではありません(詳しくは、前述の「同意メカニズムを実装する際に陥りやすいミスの防止策チェックリスト」をご覧ください)。
エンドユーザーの個人データを収集するのはどのような当事者ですか?また、こうした第三者を特定するにはどうすればよいですか?
Google の広告システムを使用している広告主やパブリッシャーの多くは、サードパーティを利用して広告を配信したり、ウェブサイトまたはアプリ内での広告キャンペーンの効果を測定したりしています。このポリシーでは、Google に加えて、Google サービスを利用した結果としてエンドユーザーの個人データを収集、受領、または使用することになる各当事者を明確に特定することを求めています。AdSense、Google アド マネージャー、AdMob には、サイトやアプリでのデータ収集を許可されているベンダーを選択できる管理設定が用意されています。
欧州内に拠点を置いていないサイトにもこのポリシーは適用されますか?
このポリシーの対象となる Google サービスを利用していて、EEA または英国のユーザーがそのサイトのサービスにアクセスすることを想定している場合は、ポリシーが適用されます。
パブリッシャーが EEA または英国をターゲットとした広告キャンペーンを一切行っていない場合でも、この同意取得要件が適用されるのですか?
該当国内のユーザー向けのサイトから Google サービスが削除された場合は、同意は不要です。広告が配信されていなくても Google サービスが引き続き利用されている場合は、同意が必要です。その理由の 1 つとして、Google AdMob、AdSense、Google アド マネージャーが Cookie を使用していることが挙げられます。Google のポリシーでは、測定目的で使用される Cookie について同意を得ることを義務付けています。また、リクエストの対象が非パーソナライズド広告(NPA)であり、かつ EU ユーザーの同意に関する設定またはリクエスト自体においてそのように指定されている場合を除いて、Google アド マネージャーが個人データの収集を行うことも理由に挙げられます。
私たちの組織では法律について異なる見解を持っており、情報開示と同意の取得に対して別の方法をとりたいと考えています。問題ないでしょうか?
Google は、欧州で提供するすべての Google サービスが GDPR(英国法に転用された範囲を含む)を遵守するよう取り組んでいます。Google の EU ユーザーの同意ポリシーには、こうした取り組みや、欧州のデータ保護機関からのガイダンスが反映されています。Google は、引き続き法律や業界慣行の評価を行いながら、必要に応じて推奨事項や要件を更新していきます。
広告の測定についてユーザーからの同意が必要なのはなぜですか?広告の測定は正当な利益ではないでしょうか?
Google は、広告の測定をサポートするために Cookie をはじめさまざまな広告 ID を使用しています。既存の e プライバシー関連の法律はこうした使用について、地域の法規制によりユーザーの同意が必要とされる国では当該同意を得ることを義務付けています。そのため Google のポリシーでは、広告のパーソナライズや広告の測定について同意を得るよう求めています。これには、オフライン測定のユースケース(たとえば店舗での販売)も含まれます。
ユーザーからの同意はタグの配信前に取得しなければいけませんか?配信後でもかまいませんか?
パーソナライズド広告および Cookie またはその他のローカル ストレージの使用(法律で義務付けられている場合)に対する同意は、Google のタグがページに配信される前に得る必要があります。
クリック トラッカーの使用についてはどうなりますか?
広告主がサードパーティのクリック トラッキング技術を使用する場合(つまり、ユーザーが広告をクリックすると、測定を行うサードパーティ ベンダーにリダイレクトしてから広告主のランディング ページが表示される場合)、適用される法律を遵守して使用する必要があります。Google によるパブリッシャー向けのベンダー管理では、クリック トラッキング技術は対象となっていません。
どのような記録を保管する必要がありますか?
Google のポリシーでは、同意に関する記録を保持するよう求めています。この記録には少なくとも、同意メカニズムの一環としてユーザーに提示されたメッセージと選択肢、およびユーザーが同意した日時の記録が含まれている必要があります。
IAB の認定も受けている認定 CMP を使用しているのに、パブリッシャーの CMP がポリシーに準拠していないと見なされるのはなぜですか?
Google の「EU ユーザーの同意ポリシー」に準拠しているかどうかは、CMP の実装とユーザーに対して実際に表示される同意メッセージによるため、認定 CMP を採用したからといって準拠が保証されるわけではありません(詳しくは、前述の「同意メカニズムを実装する際に陥りやすいミスの防止策チェックリスト」をご覧ください)。
Privacy Sandbox API が使われているサービスを使用する場合、このポリシーに準拠する必要がありますか?
はい。Privacy Sandbox API(Topics、Protected Audience、および Attribution Reporting)を使用すると、広告のパーソナライズやローカル ストレージへのアクセスのために個人データを使用する可能性があります。欧州経済領域と英国のユーザーに対してこうした操作を行う場合、「EU ユーザーの同意ポリシー」により、必須ではないローカル ストレージの使用と広告のパーソナライズについて該当地域のユーザーの同意を得ているのと同じ方法で、有効な同意を得る必要があります。Privacy Sandbox についての詳細をご覧ください。
このポリシーの更新
Google の当初の「EU ユーザーの同意ポリシー」は 2018 年 5 月 25 日に更新されました。英国・EU 間の関係の進展を反映するため、2019 年 10 月 31 日に細かな変更が加えられました。
2024 年 7 月、EU ユーザーの同意ポリシーを更新し、スイスを含むよう拡大します。この変更は、広告主の皆様に対し、(同意モードまたは TCF を使用して)スイスのトラフィックに対する確認済みの同意シグナルを送信するよう求めるものではありません。また、Google のパブリッシャー向けサービス(Google AdSense、アド マネージャー、AdMob)を使用するパートナーの皆様は、スイスのユーザーをターゲットとして広告を配信する場合は、TCF と統合した認定 CMP を使用する必要があります。これらの要件は EEA および英国での要件に加えて適用されます。パブリッシャー パートナー様はこちらで詳細をご確認ください(アド マネージャー、AdMob、AdSense)。
現時点では、ポリシーにこれ以上の変更を加える予定はありませんが、前述のとおり、Google は引き続き法律や業界慣行の評価を行いながら、必要に応じて推奨事項や要件を更新していきます。