海外では企業に対してブラウザーにひもづくクッキー(Cookie)やアプリにひもづく広告IDなどのパーソナルデータの扱いに一定の規制をかけている。そこで米国のオンライン広告団体であるIAB(Interactive Advertising Bureau)は2019年8月に、広告主や媒体を運営する企業、アド(広告)テクノロジーベンダーらが規制に準拠するのを支援する「Transparency and Consent Framework(TCF:透明性と同意のフレームワーク) v2.0」と呼ぶ枠組みを公表した。
日本でもネット広告を扱う大手企業を中心に、このフレームワークに沿って開発された「Consent Management Platform(CMP:同意取得・管理プラットフォーム)」を導入しようという動きが始まっている。CMPは広告主や媒体、ネット広告の企業がWebサイトなどに実装して、パーソナルデータの利用方法について透明性を確保して閲覧者らユーザーの同意を管理するツールだ。
TCFの概要やCMPの仕組みについて企業への周知活動などを手がけるデジタル・アドバタイジング・コンソーシアム(DAC)イノベーション統括本部研究開発局広告技術研究室の原田俊室長に解説してもらった。
2018年5月施行の欧州連合(EU)の一般データ保護規則(GDPR)や、2020年1月に施行したばかりの米国カリフォルニア州消費者プライバシー法(CCPA)は、企業に対してクッキーや広告IDなどのパーソナルデータの扱い方に一定の規制をかけている。
なかでもGDPRは企業に対してパーソナルデータの「取り扱いの適法性」を求めている。適法性の根拠の1つになるのが同意である。ユーザーが「特定の目的のための自己の個人データの取り扱いに関し、同意を与えた場合」と定めている。
そこで広告関連の国際業界団体が2019年8月に公開したのが「TCF v2.0」と呼ぶ新たな枠組みである。このTCFは米国のオンライン広告の業界団体IABの欧州支部であるIAB Europeが策定した。IABの下部組織「IAB Tech Lab(IABテックラボ)」が技術標準化を担っている。
TCFは広告業界特有のビジネス慣行やシステムをGDPRの要求事項に対応させるため、パーソナルデータの処理目的ごとにユーザーの同意を取得・管理するための仕様を細かく定めている。EUのGDPRや、通信に関する具体的なプライバシー権を定めた「eプライバシー指令」に対応する必要がある広告主や媒体、アドテクベンダーを支援するものだ。
TCFで定められたプロセスを端的に紹介すると、以下のようになる。
- 企業はユーザー(データ主体)に対してオンライン上で収集、保存されるパーソナルデータの内容や処理目的、処理を行う企業名などの情報を通知する
- ユーザーにこれらをコントロールする選択肢(同意または拒否)を提供する
- ユーザーの選択結果を第三者であるアドテクベンダーら企業と共有する
なおTCFにおける「拒否」は、いわゆるオプトアウト(利用停止)とは異なるので注意が必要だ。オプトアウトは表明したユーザーにとって「拒否された広告事業者による全サイトにおけるデータ収集やターゲティング広告からの離脱」を意味する。しかしTCFにおける拒否は表明したユーザーの「拒否された広告事業者による、そのサイトにおける特定の目的によるデータ収集・保存・処理の停止」である。
「ユーザーの同意」を流通させるCMP
このフレームワークに沿って開発されたのが同意取得・管理プラットフォーム(CMP)である。筆者はTCFに準拠したCMPは広告業界における「プライバシー・バイ・デザイン」を実現するソリューションの1つだと考えている。すでに欧米を中心に数多くのCMPベンダーが登場している。
