このポリシーはなぜ存在し、どこに適用されるのですか?
このポリシーは、欧州のプライバシーに関する 2 つの法令「一般データ保護規則(GDPR)」と「e プライバシー指令」(およびこれらに相当する英国の法律)の特定の要件を反映したものです。このポリシーは、EEA、英国、スイスに所在するエンドユーザーに適用されます。EEA には、EU 加盟国とアイスランド、リヒテンシュタイン、ノルウェーが含まれます。
このポリシーは初回のバージョンが 2015 年に導入され、その後一般データ保護規則が発効した 2018 年 5 月 25 日に更新されました。最後に更新されたのは、スイスのユーザーが適用範囲に含められた 2024 年 7 月 31 日です。
EEA、英国、またはスイスに拠点を置くパブリッシャーや広告主は、すべてのユーザーに対してこのポリシーを適用する必要がありますか?
Google の EU ユーザーの同意ポリシーは、EEA、英国、またはスイスに所在するエンドユーザーのみに適用されます。
Google ではどのようにしてこのポリシーの遵守の徹底を図るのですか?
Google では、このポリシーが 2015 年に導入された当初より、Google の広告サービスを利用しているサイトやアプリについて定期的に審査を行って、準拠の徹底を図っています。Google の審査担当者は、一般ユーザーと同じようにサイトやアプリにアクセスし、開示されている情報や同意の取得手続きを調べています。
Google は、パートナー様と協力してポリシー準拠の徹底を図っていくことを常に第一に考えます。Google のポリシーに準拠していないと思われるパートナー様には、まずご連絡を差し上げて問題を認識していただき、そのうえで準拠の達成を支援します。
また、2015 年から変わっていませんが、サイトやアプリで必要な変更が実施されるまでの相応の猶予期間を設けています。この期間内にパートナー様から協力が得られない、または準拠しようとする誠意が見られない場合は、対象のアカウントについてなんらかの措置を講じることもあります。こうした措置には、広告主様の場合はパーソナライズド広告(リマーケティングなど)を含むオーディエンス関連機能やコンバージョンの測定機能の一時停止などがあります。パブリッシャー様の場合は、配信可能な広告が制限付き広告とプログラマティック制限付き広告(プログラマティック制限付き広告が有効な場合)のみになることもあります。
サイトやアプリの監査以外にも、Google は EEA、英国、スイスのユーザーに広告を配信するパブリッシャー様に対し、このポリシーに準拠していただくため、認定 CMP の導入を求めています。Google は、認定 CMP を導入したパブリッシャー パートナー様のサイトやアプリを継続的に監査します。
EEA のユーザーをターゲットにしている広告主様は、EEA のユーザーが自社のサイトやアプリを使用しており、そうしたユーザーの行動を Google タグまたは SDK を使用して測定している場合や、オーディエンス関連機能や広告のパーソナライズド機能を使用している場合は、同意に関するエンドユーザーの選択内容を Google に伝える必要があります(例: 同意モードまたは TCF など)。Google タグを読み込んでおり、同意モードの最新バージョンを実装していない場合は、Google CMP Partner Program の CMP を利用していただくことをおすすめしています。利用可能な CMP がこの一覧にすべて網羅されているわけではありません。また、Google は広告主様に対し、このパートナー プログラムの CMP を使用することを求めているわけではありません。
エンドユーザーに対してどのような情報開示を行う必要がありますか?
Google のポリシーでは、Google サービスを利用する結果としてエンドユーザーの個人データを受領する各当事者を特定することを求めています。また、エンドユーザーの個人データの利用に関する情報を目立つ場所にアクセスしやすい形で掲示する必要があります。Google は、Google によるデータの使用に関する情報を公開しています。Google によるデータの使用に関連する開示義務を遵守するために、パブリッシャーおよび広告主の皆様にはこのページへのリンクを設けることが義務付けられています。Google では、Google のサービスと連携する他の広告技術プロバイダに対しても、個人データの利用に関する情報を公表するよう依頼しています。
同意メカニズムを実装する際に陥りやすいミスの防止策チェックリスト
ここに挙げているものはあくまで例であり、あらゆるケースを網羅するものではありません。Google のポリシーの要件をすべて満たす実装になっているか常に注意を払ってください。
- 同意メカニズムまたは同意モードのバナーを実装していますか?パブリッシャー パートナー様の場合は、同意メカニズムまたは同意モードのバナーは、Google による認定を受けていますか?
- サイトやアプリで個人データがどのように使用されるのかを、ユーザーに説明しましたか?たとえば、ユーザーの個人データが広告のパーソナライズに使用されることや、パーソナライズド広告や非パーソナライズド広告に Cookie またはモバイル広告 ID が使用される場合があることを、ユーザーに周知していますか?
- すべての EEA 参加国と英国、スイスからユーザーがサイトやアプリにアクセスしたときに、同意メカニズムまたは同意モードのバナーが表示されるか確認しましたか?
- 「OK」ボタンや「同意する」ボタンをクリックするなど、同意の意思表示を行う手段がユーザーに与えられていますか?
- サイトまたはアプリで収集するユーザーデータにアクセスする第三者(Google を含む)の名称を開示しましたか?
- サイトやアプリでユーザーが同意するときに、Google のビジネスデータの責任に関するサイトへのリンクを表示して、Google がユーザーの個人データをどのように使用するのかをユーザーに知らせましたか?他の第三者についても同様に知らせましたか?
- EEA のユーザーをターゲットにしている広告主様の場合は、エンドユーザーの設定を表す確認済みの同意シグナルを Google に送っていますか?最新バージョンの同意モードまたは TCF を適切に実装しましたか?
- 同意が求められるケースで、同意なしでは Cookie が設定されないようになっていることを確認しましたか?ウェブサイトに配信される非パーソナライズド広告(NPA)を機能させるには、引き続き Cookie が必要となりますのでご注意ください。
- パブリッシャー様の場合は、TCF の要件に即して Google 認定の CMP を導入しましたか?追加同意を利用している場合に、この機能を適切に実装していますか?
制限付き広告とは
制限付き広告のみでインプレッションを収益化しているパブリッシャー様の場合、広告のパーソナライズを目的とする個人データの収集、共有、使用が無効になるのに加え、フリークエンシー キャップといったローカル ID の使用を必要とする機能も無効になります。プログラマティック制限付き広告がオンになっている場合のみ、不正行為や不正使用からの保護を目的として、無効なトラフィック検出専用の Cookie とローカル ストレージが使用されます。なお、広告配信技術(Google の JavaScript タグまたは SDK コード、もしくはその両方)自体は、ユーザーのブラウザやモバイル オペレーティング システムの通常動作の一部としてキャッシュまたはインストールされます。地域の適用法令に基づくコンプライアンス義務(法律で義務付けられている通知やユーザーからの同意など)については、お客様ご自身で判断する必要があります。この機能の詳細については、アド マネージャー、AdMob、Adsense のヘルプセンターをご覧ください。
同意の取り消しに関してエンドユーザーにどのような手順を示すべきですか?
このポリシーでは、同意を撤回する方法をエンドユーザーに示すよう求めています。ユーザーによる同意の撤回は、最初に同意したときと同程度の容易さで行えるようにする必要があります。少なくとも、サイトやアプリに表示される広告を管理する機能に簡単にアクセスできるような十分な情報をエンドユーザーに提供し、同意についての設定を修正できるようにする必要があります。
このポリシーを取り入れている Google サービスは他にありますか?
このポリシーは、広告および測定サービスのほか、「Google Maps Platform 利用規約」、「YouTube API Services 利用規約」、「reCAPTCHA 利用規約」、および Blogger などの Google サービスで参照されています。
このポリシーで「パーソナライズド広告」と見なされるのはどのような広告ですか?
パーソナライズド広告は、ユーザー(表示される広告の関連性が高まる)だけでなく、広告主様やパブリッシャー様にとってもメリットがあります。Google は、個人データを基に決定された広告や、個人データを考慮した広告をパーソナライズド広告と定義しています。詳細については、こちらをご覧ください。
監査の結果、同意モードのバナーが非準拠と報告されました。解決するための最適な方法を教えてください。
パートナー様がこのポリシーに準拠していないことが判明した場合、Google はパートナー様が再び準拠できるよう支援することを優先します。Google 監査チームは、問題についての詳細を示すとともに、サイトやアプリをポリシーに準拠させるために必要な手順に関する情報を提供します。
広告主としてバナーがユーザーの選択を尊重して適切に設定されていることを確認するため、第三者の CMP と連携するか同意設定の管理に関する適切なドキュメントを参照して、同意モードを適切に統合することをおすすめします。
Google はパブリッシャー様に対し、コンプライアンス違反の問題を解決するため、Google 認定の CMP と提携することと、こちらのトラブルシューティングを参照することを推奨しています。
パーソナライズ以外の目的(広告の測定など)で Cookie を使用する場合でも、Cookie についての同意が必要なのはなぜですか?
Cookie やモバイル ID は、Google が配信するパーソナライズド広告と非パーソナライズド広告(NPA)のサポート、フリークエンシー キャップの設定、広告集計レポートの目的で使用されます。Google のポリシーでは、Cookie やモバイル ID について同意を得ることが法的に義務付けられている国のユーザーに、Cookie またはモバイル ID の使用についての同意を得るよう求めています。
広告主が自社のサイトやアプリで Google のサービスを使用している場合はどうなりますか?
広告主様のページやアプリで、Google 広告や Google マーケティング プラットフォームなどの広告サービスのタグが使用されている場合は、Google の「EU ユーザーの同意ポリシー」に準拠するため、EEA、英国、スイスのユーザーからは同意を得る必要があります。たとえば、広告主様のページやアプリでリマーケティング タグが使用されている場合、Google のポリシーでは、Cookie、モバイル ID、その他のローカル ストレージの使用に対する同意(法的に義務付けられている場合)と、パーソナライズド広告用に個人データを使用することについての同意を得るよう求めています。
同意メカニズムや同意モードのバナーには、どのようなメッセージを使えばよいですか?
上記のチェックリストは広告主様によるポリシーの準拠をサポートするものです。同意メカニズムや同意モードのバナーを導入する際によくあるミスを回避するため、このチェックリストを確認していただくことをおすすめします。
同意確認のメッセージは、データの用途(サイト独自の目的、サイトが利用している他のサービスに役立てる、など)によって異なるため、Google のポリシーではユーザーに提示すべき選択肢は規定していません。
アプリについての同意メッセージは特定の形式に則る必要がありますか?
パブリッシャー様の場合はそうなります。Google 広告サービスを利用するパブリッシャー様が EEA、英国、スイスのユーザーにパーソナライズド広告を配信するためには、Google 認定の CMP を導入していただく必要があります。
Google の広告主パートナー様の場合は、EEA のトラフィックについては、同意モードまたは TCF を介して、エンドユーザーの設定を表すシグナルを Google に送信する必要があります。同意モードのバナーを作成、設定する広告主様をサポートするため、CMP Partner Program が作成されました。注: 利用可能な CMP がこの一覧にすべて網羅されているわけではありません。また、Google は広告主様に対し、このパートナー プログラムの CMP を使用することを求めているわけではありません。
採用する同意管理プラットフォーム(CMP)プロバイダは、どのような方法で選定すればよいですか?
同意バナーの制作と設定において、広告主パートナー様を支援することを目的として CMP Partner Program を作成しました。注: 利用可能な CMP がこの一覧にすべて網羅されているわけではありません。Google の「EU ユーザーの同意ポリシー」に準拠しているかどうかは、CMP の実装とユーザーに対して実際に表示される同意メッセージによるため、この一覧の CMP を採用したからといって準拠が保証されるわけではありません(詳しくは、前述の「同意メカニズムを実装する際に陥りやすいミスの防止策チェックリスト」をご覧ください)。
EEA、英国、スイスのユーザーにパーソナライズド広告を配信するパブリッシャー パートナー様の場合は、IAB ヨーロッパの透明性と同意に関するフレームワーク(TCF)と統合されており、かつ Google による認定を取得している CMP を導入する必要があります。
エンドユーザーの個人データを収集するのはどのような当事者ですか?また、こうした第三者を特定するにはどうすればよいですか?
Google の広告システムを使用している広告主様やパブリッシャー様の多くは、サードパーティを利用して広告を配信したり、ウェブサイトまたはアプリ内での広告キャンペーンの効果を測定したりしています。このポリシーでは、Google に加えて、Google サービスを利用した結果としてエンドユーザーの個人データを収集、受領、または使用することになる各当事者を明確に特定することを求めています。
ヨーロッパに拠点を置いていないサイトやアプリにもこのポリシーは適用されますか?
このポリシーの対象となる Google サービスを利用している場合はそうなります。このポリシーは、EEA、英国、スイスに所在するエンドユーザーのみに適用されます。
パブリッシャーが EEA、英国、またはスイスをターゲットとした広告キャンペーンを一切行っていない場合でも、この同意取得要件が適用されるのですか?
このポリシーは、EEA、英国、スイスのエンドユーザーに適用されます。これらの国のユーザー向けのサイトやアプリから Google サービスが削除された場合は、このポリシーは適用されません。
私たちの組織では法律について異なる見解を持っており、情報開示と同意の取得に対して別の方法をとりたいと考えています。問題ないでしょうか?
Google は、欧州で提供するすべての Google サービスが GDPR(英国法に転用された範囲を含む)を遵守するよう取り組んでいます。Google の EU ユーザーの同意ポリシーには、こうした取り組みや、欧州のデータ保護機関からのガイダンスが反映されています。パートナー様の法律の解釈が異なる場合もありますが、Google はパートナー様に対し、このポリシーの要件を満たしていただくようお願いしています。Google は、引き続き法律や業界慣行の評価を行いながら、必要に応じて推奨事項や要件を更新していきます。
広告の測定についてユーザーからの同意が必要なのはなぜですか?広告の測定は正当な利益ではないでしょうか?
Google は、広告の測定をサポートするために Cookie をはじめさまざまな広告 ID を使用しています。既存の e プライバシー関連の法律はこうした使用について、地域の法規制によりユーザーの同意が必要とされる国では当該同意を得ることを義務付けています。そのため Google のポリシーでは、広告のパーソナライズや広告の測定について、法的に義務づけられている場合は同意を得るよう求めています。
ユーザーからの同意は、広告主向けの Google タグの配信前に取得する必要がありますか?配信後でもかまいませんか?
法律で義務付けられている場合は、パーソナライズド広告および Cookie またはその他のローカル ストレージの使用について、広告主様向けの Google タグがウェブページやアプリに配信される前に同意を得る必要があります。
クリック トラッカーの使用についてはどうなりますか?
広告主がサードパーティのクリック トラッキング技術を使用する場合(つまり、ユーザーが広告をクリックすると、測定を行うサードパーティ ベンダーにリダイレクトしてから広告主のランディング ページが表示される場合)、適用される法律を遵守して使用する必要があります。Google によるパブリッシャー向けのベンダー管理では、クリック トラッキング技術は対象となっていません。
どのような記録を保管する必要がありますか?
Google のポリシーでは、同意に関する記録を保持するよう求めています。この記録には少なくとも、同意メカニズムの一環としてユーザーに提示されたメッセージと選択肢、およびユーザーが同意した日時の記録が含まれている必要があります。
IAB の認定も受けている認定 CMP を使用しているのに、パブリッシャーの CMP がポリシーに準拠していないと見なされるのはなぜですか?
認定 CMP を導入したとしても、Google の EU ユーザーの同意ポリシーの準拠が保証されるわけではありません。このポリシーに準拠できているかどうかは、CMP の実装とユーザーに対して実際に表示される同意メッセージによって決まるためです(詳しくは、前述の「同意メカニズムを実装する際に陥りやすいミスの防止策チェックリスト」をご覧ください)。
Google の CMP パートナー を使用しているのに、サイトやアプリがポリシーに準拠していないと見なされるのはなぜですか?
広告主パートナー様向けに、ウェブやアプリ用の同意モードのバナーの設定をサポートする CMP Partner Program が作成されました。このプログラムは、同意モードの統合もサポートできます。Google の「EU ユーザーの同意ポリシー」に準拠しているかどうかは、CMP の実装とユーザーに対して実際に表示される同意メッセージによるため、この一覧の CMP を導入したからといって準拠が保証されるわけではありません(詳しくは、前述の「同意メカニズムを実装する際に陥りやすいミスの防止策チェックリスト」をご覧ください)。
Privacy Sandbox API が使われているサービスを使用する場合、このポリシーに準拠する必要がありますか?
はい。Privacy Sandbox API(Topics、Protected Audience、および Attribution Reporting)を使用すると、広告のパーソナライズやローカル ストレージへのアクセスのために個人データを使用する可能性があります。こうした操作を行う場合、「EU ユーザーの同意ポリシー」により、必須ではないローカル ストレージの使用と広告のパーソナライズについて、法律で求められる範囲において、該当地域のユーザーの同意を得ているのと同じ方法で有効な同意を得る必要があります。詳しくは、プライバシー サンドボックスをご覧ください。
広告主は、英国やスイスのユーザーについても有効な同意シグナルを送信(TCF または同意モードを使用)するよう求められますか?
いいえ。広告主様に対し、(同意モードまたは TCF を使用して)英国またはスイスのトラフィックに対する確認済みの同意シグナルを送信するよう求めるものではありません。注: 確認済みの同意シグナルを送信する要件は、欧州経済領域(EEA)のエンドユーザーをターゲットにしている広告主様に適用されます。実装にあたっては、Google の CMP パートナーのご利用をおすすめします。注: 利用可能な CMP がこの一覧にすべて網羅されているわけではありません。また、Google は広告主様に対し、このパートナー プログラムの CMP を使用することを求めているわけではありません。
このポリシーの更新
Google の当初の「EU ユーザーの同意ポリシー」は 2018 年 5 月 25 日に更新されました。英国・EU 間の関係の進展を反映するため、2019 年 10 月 31 日に細かな変更が加えられました。
2024 年 7 月に、Google は「EU ユーザーの同意ポリシー」を改訂して対象範囲を拡大し、スイスも含まれるようになりました。
現時点では、ポリシーにこれ以上の変更を加える予定はありませんが、前述のとおり、Google は引き続き法律や業界慣行の評価を行いながら、必要に応じて推奨事項や要件を更新していきます。