監修担当:
パブマティック株式会社
カスタマーサクセスディレクター
廣瀬 道輝
改めて、GDPRって何?
この春、Eメールの受信トレイには、GDPR、CMP、IABといったアルファベットが溢れていませんでしたか?お気に入りのWebサイトの画面に「5月25日に利用規約を更新します」というバナーがやたらに表示されていませんでしたか?あるいは、貴社の法務担当者が忙しさと寝不足をぼやいていませんでしたか?
そう、これらはすべて2018年5月25日金曜日に施行された、一般データ保護規制(以下、GDPR)の影響によるものなのです。こんなに多くの企業を戦々恐々とさせたGDPRとは、一体どんなものなのでしょうか?ここでは、改めてその概要を復習してみましょう。
GDPR(General Data Protection Regulation)とは、EEA(欧州経済領域:EU加盟国とアイスランド、リヒテンシュタイン、ノルウェー)における新しい個人情報保護の枠組みであり、EEA内の個人データの処理と移転に関するルールを定めた規則です。こう書くとEEA以外の地域では関係のない法律のように思われますが、実はGDPRは全世界に影響を及ぼす法律であることに注意しなくてはなりません。EEA以外の地域に本拠地を置く企業でも、EEAの個人データを使ってビジネスをおこなっている会社にはGDPRが適用されます。たとえば、EEAに支社、支店、子会社、営業所を有する企業、EEAの消費者に商品やサービスを販売している企業、在EEAの企業等から個人情報のデータ処理の受託を行っている企業は、もれなくGDPRの対象となります。なお、ここでいう個人データには、IPアドレスや位置データ、さらにはデバイス情報も含まれます。さらにGDPRは個人データにアクセスする権利や、企業に個人データを削除するように求める権利など、『データ主体』つまりEEA内のユーザーにさまざまな権利を与えています。
GDPRが大きく注目を集めた理由の1つは、その罰則の重さです。GDPRに違反した企業は最大2000万ユーロ(約26億円)の罰金、または自社のグローバルでの年間売上高の2~4%のいずれか大きい方を負わなくてはなりません。
あなたはデータ管理者?それともデータ処理者?
GDPR対策をするにあたって、まず考えなくてはならないことは、あなたの属する組織が「データ管理者」なのか、それとも「データ処理者」なのか?ということです。
GDPRでは、データ管理者を「個人データの処理の目的と手段を決定する存在」と定義し、データ処理者を「データ管理者の代わりに個人データを処理する存在」と定義しています。
たとえば、あなたがスポーツジムに加入したとしましょう。スポーツジムは、会員登録をするためにあなたの個人データを手に入れます。しかし、そのデータを保存したり電子化したりする作業は外部のデータセンターに委託します。この場合、あなたの個人データを処理する目的と手段を決定するスポーツジムは「データ管理者」であり、スポーツジムの依頼でデータ処理を行うデータセンターは「データ処理者」になります。なお、GDPRではスポーツジムもデータセンターも、ともに個人情報の管理に関して責任を負うこととされています。
ちなみに、PubMaticはデータ処理の目的と手段を決定する典型的な「データ管理者」であり、例えば、入札リクエスト内のIPアドレスの受信者を決定したり、リアルタイム入札のオークションのためにインプレッションを事前にフィルタリングしたりします。
「ユーザーの同意」獲得をサポート
よく、誤解されていますが、GDPR自体はデータ処理にあたってユーザーの同意の獲得を義務付けているわけではありません。ただし、個人情報保護に関するEEAのもう1つの法的枠組みである「Eプライバシー指令」では、ユーザーの同意なしに、クッキーやその他の技術を使ってユーザーの個人データにアクセスすることを禁じています。PubMaticでは、次のようなオプションを用意して、パブリッシャーの皆さんがユーザーからの同意を獲得するためのサポートを行っています。
オプション1:CMP(Consent Management Providers、同意管理プロバイダー)の活用
パブリッシャーは、CMPとパートナー契約を結べば、たとえばユーザーに同意書をポップアップ表示して同意を促すなどして、ユーザーから使用範囲と使用目的について同意を得たデータを収集、保管することができます。
CMPにはさまざまな形式や規模のものがありますが、当社が推奨するのは、IAB EU仕様に準拠した
タイプのものです。これならベンダーの選択を制限しないので、収益の損失を最小限に抑えることができます。
オプション2:PubMatic JS Helper Scriptを実装する
CMPを使いたくないパブリッシャーのために、PubMaticでは無料で簡単に実装できるJavaScriptのソリューションを提供しています。このソリューションを使うには、GitHubでオープンソースのJava Scriptコードをダウンロードし、自社サイトにインストールするだけでOKです。ユーザーからの同意を獲得するためのアプローチについて、もっと詳しく知りたい方はこちらをご覧ください。
最後の選択肢:
仮に上記2つのオプションをいずれも選択しない場合、ターゲットを絞った効果的な広告戦略を行うことは不可能になるので、パブリッシャーは収益を上げる機会を失ってしまします。PubMaticは皆さんがそのような状況に陥らないために、GDPRに関する準備を整えています。しかし、それを有効活用するには、パブリッシャーの皆さんの理解とパートナーシップが必要不可欠です。PubMaticのパートナーの方は、こちらの2分間のアンケート(英語)に答えて、シームレスな移行にご協力ください。
さらなる理解のために
PubMaticでは、GDPRについて次のような資料を揃えています。GDPRについての理解を深めるために、是非ご利用ください。
・PubMatic GDPR 概要:PubMaticのGDPRポリシーとサポートポリシーの概要(英語)
・パブリッシャー向けPubMatic GDPR FAQ: パブリッシャーのGDPRコンプライアンスとPubMaticのサポートに関する概要(英語)
GDPR、およびPubMaticの本件に関するサポートについてのご質問および、PubMaticの法務担当にご相談がある場合は、GDPR@PubMatic.com(英語対応)、またはjp@pubmatic.com (日本語対応)にご連絡をお願い申し上げます。