ラベル

Blogger AdSense、GDPRとCCPAの対応手順

 


最近、Bloggerを開く度に、GDPRとCCPAへの対応を促されます。

GDPRはヨーロッパ、CCPAは米国カリフォルニア州のネット利用者のデータ保護を目的としたプライバシー法ですが、日本語だけで書かれた国内向けのブログサイトも対応しておいた方が良いようです。

Analyticsの画面で確認すると、国内向けブログであるにも関わらず、国外からわずかながらもアクセスした記録が見られます。


GDPRとは

GDPR(General Data Protection Reguration=一般データ保護規則)とは、2018年5月に施行された欧州のデータ保護法です。

具体的には、欧州連合(EU)に居住する個人からの個人情報の収集と処理に関するガイドラインを定めた法律のことです。

Google AdSenseヘルプに下記のように記載されています。

「一般データ保護規則はヨーロッパの企業に適用されます。

また、欧州経済領域(EEA)と英国のユーザーがサイトやアプリにアクセスした際、オンライン広告やオンライン測定のソリューションを利用するヨーロッパ以外の企業にも適用されます。」

「Google の EU ユーザーの同意ポリシーに基づき、パブリッシャー様は、欧州経済領域(EEA)と英国のユーザーに特定の情報を開示し、法律で義務付けられている場合に Cookie などのローカル ストレージを使用すること、および広告のパーソナライズを目的として個人データを収集、共有、使用することについて、それらのユーザーの同意を得る必要があります。このポリシーには、EU の e プライバシー指令と一般データ保護規則(GDPR)の要件が反映されています。

プライバシーとメッセージ機能と、それに統合されたファンディング チョイスを使用すると、一般データ保護規則で義務付けられた同意を取得するためのメッセージを作成してユーザーに表示できます。プライバシーとメッセージ機能で作成するメッセージは、サイトまたはアプリで使用する広告技術プロバイダのリストを示し、データをパーソナライズド広告の表示などの目的に使用することについてユーザーに同意を求めるためのものです。また、データを自分のサイトやアプリで使用することについての同意を求めることもできます。詳しくは、プライバシーとメッセージ機能の使用に関するガイドラインについての記事をご覧ください。
パブリッシャー様の責任のもとで、メッセージが法的要件を満たしていることをご確認ください。

メッセージの構造

各 GDPR メッセージには複数の画面(ページ)が含まれており、ボタンやリンクの操作に応じてユーザーに表示されます。メッセージ内に表示されるボタンは、メッセージ作成時のユーザー同意セクションでのご指定内容によって決まります。

2 ボタン型の GDPR メッセージ([同意する] / [オプションの管理])

3 ボタン型の GDPR メッセージ([同意する] / [同意しない] / [オプションの管理])」

CCPAとは

カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州在住ユーザーのためのさまざまな権利を確立する新しいデータ プライバシー法です。

CCPA メッセージは、広告配信を目的としたカリフォルニア州消費者プライバシー法に関する同意取得のため、米国内の対象ユーザーに表示されます。

Google AdSenseヘルプの記載は下記の通りです。

カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州在住ユーザーのためのさまざまな権利を確立する新しいデータ プライバシー法です。カリフォルニア州でビジネスを行う企業が収益、データ処理、その他の要素に関連する基準のいずれかを満たす場合に適用されます。CCPA は、カリフォルニア州在住のユーザーが「個人情報」の「販売」を拒否する権利を法律で定めたものです。「販売者」パーティのホームページにある「個人情報を販売しない」リンクから販売を拒否することができます。ただし、CCPA では「販売」の定義にいくつかの例外があります。たとえば個人情報の転送すべてが販売に当てはまるわけではなく、「サービス プロバイダ」に個人情報を転送することは法律上販売とは見なされません。

CCPA では、パブリッシャーに対して「個人情報の販売をオプトアウトする権利に関する通知」をユーザーに提供するよう定めています(999.306 項)。このため、米国カリフォルニア州在住のユーザーには CCPA メッセージを表示し、オプトアウトの機会を提供する必要があります。

パブリッシャー様の責任のもとで、メッセージが法的要件を満たしていることをご確認ください。
メッセージの構造

ユーザーに表示される CCPA メッセージは、複数の「画面」(または「ページ」)で構成されます。

""

CCPA メッセージには次の要素が含まれます。

  1. 「販売しない」リンク: CCPA メッセージへのリンク。選択したフォーマットと設定を使用して、「個人情報を販売しない」リンクを表示します。ユーザーがこのリンクをクリックすると、「確認」ページが開いて、「個人情報の販売からのオプトアウト」ダイアログが表示されます。
  2. 「確認」ページ: CCPA メッセージの確認ページ。「個人情報の販売からのオプトアウト」ダイアログが表示されます。次のいずれかのボタンをクリックすると、選択内容が確定します。
    1. ロゴ: サイトまたはアプリのロゴです。メッセージにロゴを追加すると、この箇所にロゴが表示されます。
    2. 「閉じる」ボタン: ユーザーは「個人情報」の「販売」をオプトアウトすることなくメッセージを非表示にできます(用語は法律の定義に基づく)。クリックするとメッセージが閉じます。
    3. 「オプトアウト」ボタン: ユーザーは「個人情報」の「販売」からオプトアウトできます(用語は法律の定義に基づく)。ユーザーが「オプトアウト」ボタンをクリックすると、オプトアウトのステータスが Google に通知され、クリックするとメッセージが閉じます。」


メッセージ作成方法

Google AdSenseヘルプに記載された、メッセージ作成方法は下記の通りです。

GDPR メッセージ
GDPR 同意メッセージを作成する

AdSense にサイトを追加したら、次の手順に沿って、サイトの EEA(欧州経済領域)および英国(UK)の対象ユーザーに表示する PRGD 同意メッセージを作成します。

注: サイトに AdSense コードが設置されている必要があります。
  1. AdSense アカウントにログインします。
  2. [広告] をクリックします。
  3. メッセージを表示するサイトの 編集 をクリックします。
  4. [プライバシーに関するメッセージ] タブをクリックします。
  5. [GDPR 同意メッセージ] をオンに切り替えます。
  6. サイトのプライバシー ポリシーの URL を入力します。
  7. [確認] をクリックします。
  8. [同意オプション] で、次のいずれかのオプションを選択します。
    • 同意する、オプションの管理: ユーザーは、広告パートナーと広告パートナーの目的に同意するか、同意する項目をカスタマイズするかを選択できます。
    • 同意する、同意しない、オプションの管理: ユーザーは、広告パートナーと広告パートナーの目的に同意するか、広告パートナーと広告パートナーの目的に同意しないか、同意する項目をカスタマイズするかを選択できます。
    注: 良好なユーザー エクスペリエンスを確保するため、同意メッセージはプライバシー ポリシーのページには表示されません。このため、プライバシー ポリシーのページを収益化している場合、AdSense が配信できるのはパーソナライズされていない広告のみです。
  9. [サイトに適用] をクリックします。
  10. (省略可)サイトの編集基準やデザイン基準に合わせて、メッセージを編集し、書式を設定します。
  11. [スタイルを適用] をクリックします。」

「CCPA メッセージを作成する

AdSense にサイトを追加したら、次の手順に沿って、カリフォルニア州の対象ユーザーに表示する CCPA メッセージを作成します。

サイトに AdSense コードが設置されている必要があります。
  1. AdSense アカウントにログインします。
  2. [広告] をクリックします。
  3. メッセージを表示するサイトの 編集 をクリックします。
  4. [プライバシーに関するメッセージ] タブをクリックします。
  5. [CCPA プライバシー メッセージ] をオンに切り替えます。
  6. [サイトに適用] をクリックします。
  7. (省略可)サイトの編集基準やデザイン基準に合わせて、メッセージを編集し、書式を設定します。
  8. [スタイルを適用] をクリックします。
プライバシー メッセージは Accelerated Mobile Pages(AMP)に対応していません。この機能を有効にしても、プライバシー メッセージはサイトに表示されますが AMP 版のサイトには表示されません。
CCPA メッセージの設定

[プライバシーとメッセージ] で CCPA メッセージについて次の設定を行うことができます。

  • データ処理を制限する: CCPA の対象となるユーザーに、パーソナライズド広告とパーソナライズされていない広告のどちらを表示するかを選択します。
  • 広告パートナーを選択: CCPA の対象となるユーザーへの広告配信に使用する広告パートナー(旧「広告技術プロバイダ」)を選択します。
  • 広告リクエストで制限付きデータ処理を管理する: アカウント全体でのデータ処理を制限しない場合、データ処理を広告リクエスト単位で制限できます。
注: プライバシー メッセージを有効にして [データ処理を制限する] 設定を上書きすると、広告パートナーのリストをカスタマイズできなくなります。設定を上書きしたサイトでは、広告パートナーのデフォルトのリストが常に使用されます。」

以上の通り、GDPR、CCPA、のいずれも設定方法は、ほぼ同じですので、同じタイミングで処理した方が、都度の迷いがなくスムーズに設定できます。

具体的な設定手順

「広告」⇒「サイトごと」⇒「編集」をクリックして設定画面を開きます。


「広告設定のプレビュー」画面が表示されます。

「プライバシーに関するメッセージ」タブに切り替えます。

「GDPR同意メッセージ」をONにします。



「プライバシーポリシーのURL」に自分のサイトのURLを入力し、「確認」をクリックします。



詳細やメッセージのプレビュー画面が出るので、「次へ」「閉じる」をクリックしていきます。

「プライバシーポリシーのURL」に自分のURLが表示される様になります。

「同意オプション」のどちらかを選びます。


「同意する、オプションの管理」または「同意する、同意しない、オプションの管理」の2パターンです。それぞれプレビューは、下記のようになります。


「同意する、オプションの管理」の場合は、上図のようになります。


「同意する、同意しない、オプションの管理」の場合は、上図のようになり、同意しないボタン(Do not consent)が表示されます。

あまり深く考えず、同意しないボタンを押される可能性もあるので、「同意する、オプションの管理」の方にチェックを入れた方が良いかと思います、

「サイトに適用」をクリックすると、「GDPR」の設定は完了しますが、その前に、引き続き、右の「GDPR」設定を下にスクロールしていくと「CCPA」の設定が可能です。

「CCPA」のプライバシーポリシーメッセージ」をONにします。


最後に「サイトに適用」をクリックすると、「GDPR」と「CCPA」の設定はすべて完了となります。

「プライバシーとメッセージ」画面に移動すると、「GDPR」と「CCPA」の下が設定前では「メッセージ:オフ」とそれぞれ表示されていましたが、設定後には「メッセージ:オン」という表示に変わっており、対応が完了したことを確認できます。



GDPRの表示



GDPRではユーザーに宣伝広告を配信する際、事前に許可を求める『オプトイン』を採用しているため、GDPRの設定が完了すると、個人データを収集する際にデータの利用についての承諾を得るための画面が表示されます。

かりに、GDPR設定時に「同意する、同意しない、オプションの管理」を選択していて上記画面になっていた場合、EUに居住するサイト閲覧者が「Do not consent(同意しない)」を選択すると、広告が表示されなくなります。

CCPAの表示


CCPAでは個人データを第三者に「販売」する行為に対して『オプトアウト』を表明する権利を持つため、クリック先で個人情報を守る意思表示をすることが可能なポップアップ表示をします。

CCPAの設定が完了すると、カリフォルニア州在住のサイト閲覧者に対してのみ、画面下部に「Do Not Sell My Personal Information(個人情報を販売しない)」といったリンクを表示します。

かりに、カリフォルニア州に居住するサイト閲覧者が「Opt out(個人情報を守る意思表示)」を選択すると、パーソナライズされていない広告だけが表示されます。

Labels: