IAB TCF 2.2 とGoogle CMP認証の理解
ジェフリー・エドワーズ
|プライバシー&コンプライアンス | 2024年1月12日
ネット広告業界団体である Interactive Advertising Bureau(IAB)の Transparency and Consent Framework(TCF)) 2.2 における変更点や、Google による Google Consent Management Platform(CMP)の新要件は、EU 内で Google AdSense、Ad Manager、AdMob を利用している出版社やパブリッシャーに大きな影響を与えます。
これらの変更や要件は、単なる業界の流行ではなく、複雑な規制の中でユーザープライバシーを最優先する取り組みを示しています。
IAB TCF 2.2 への移行期限は 2023 年 11 月 20 日に設定されており、Google CMP を使用する要件は 2024 年 1 月 16 日に開始されます。
この記事では、IAB TCF 2.2 と Google CMP の詳細を紐解き、それらの意味や、同意管理の最適な実施方法に対する注目すべき変更点、コンプライアンスを保つために必要な手順をみなさんにお伝えしたいと思います。
はじめに IAB TCF 2.2 の変更点をご説明します。
IAB TCF 2.2 の変更点
IAB TCF とは?
IAB Transparency and Consent Framework(TCF)は、デジタル広告業界の関係者が EU の一般データ保護規則(GDPR)および e プライバシー指令を遵守できるように、IAB が作成したフレームワークです。クッキーや広告識別子など、ユーザーのデバイスにアクセスしたり情報を保存したりする際の、個人データの処理とユーザー同意の管理に関するガイドラインを提供しています。簡単に言うと、企業がユーザー情報を収集・保存・共有するためのルールを定めたものです。
なぜ IAB TCF を使用する必要があるのか?
多くの企業が IAB TCF を遵守していることを必須としているため、TCF 準拠の証明がない場合、広告掲載を控えるケースが増えています。TCF に準拠している場合、広告主は「TC文字列」と呼ばれる文字列を使用しています。「TC文字列」はエンコードされたデータとなっており、Webサイトのコンセントマネジメントプラットフォーム(CMP)にユーザーがアクセスした時に生成され、ユーザーの設定を広告主に知らせるために共有されます。これにより、広告主は、ユーザーが許可したデータ処理の範囲を理解できるため、広告配信時に GDPR などのデータ保護規則の遵守が可能になります。
TC 文字列がない状態では、データ処理が許可されている範囲を正しく把握できません。そうすると GDPR などのデータ規則を遵守しているとは言えなくなるため、広告主が TCF に準拠していないプラットフォームへの広告掲載を控える結果を招くおそれがあります。
IAB TCF 2.2 は何が新しいのか?
IAB TCF の前バージョンが GDPR に沿っていないとベルギーのデータ保護機関(BE DPA)から指摘されたことを受け、IAB TCF 2.2 では大きな変更が加えられています。
その中でも最も大きいのは、広告やコンテンツのパーソナライゼーションに関して、IAB TCF 2.2 を法的根拠として使えなくなったことです。代わりに、個人データをこれらの目的で処理するには、ユーザーの同意という法的根拠のみを使えるようになりました。これはデータ保護機関の最近の主張を反映したものです。
また IAB TCF 2.2 では、目的および機能の分かりやすい説明が提供されるようになり、ベンダーの開示範囲や収集するデータのカテゴリ、保持期間が標準化されました。
技術面では、フレームワークのパフォーマンスと信頼性の向上を目的とした更新が含まれています。特に注目すべきは getTCData コマンドの廃止で、代わりに TC 文字列を取得するためにイベントリスナーの使用を要件としたことです。こうした技術的変更に伴い、パブリッシャー、広告主、ベンダーは新しいフレームワークの要件に合わせて自社のシステムとプロセスを更新する必要があります。
IAB TCF 2.2 の実装スケジュールは?
IAB TCF 2.2 は 2023 年 5 月 16 日に正式に公開されました。移行期間は 2023 年 11 月 20 日までとされており、デジタル広告業界の関係者はこの期間中に新しいフレームワークへの対応を済ませる必要があります。2023 年 11 月 20 日以降は、IAB TCF 2.2 が同意管理の標準フレームワークとして有効になります。
Google CMP認証とは?
Google は 2023 年 5 月 16 日、欧州経済領域と英国で事業を展開する企業に対し、広告表示条件に関する新たなガイドラインを発表しました。この新条件では、IAB TCF と連携した同意管理プラットフォーム(CMP)からの同意情報を取得する必要があるほか、使用する CMPが Google の認証を受けていることも求められるようになりました。
ビジネスへの影響は?
Google Ads や Google Analytics など、Google のサービスに多額の投資をしている場合、Google CMP 認証の取得が前提条件となります。EU トラフィックからの収益化には、Google 認証済みの CMP からの TCF 準拠の同意情報が必要だとしています。
上記の内容を要約すると下記の 2 点にまとめられます。
- EEA や英国のユーザーに対して広告を表示するには、ユーザーからの同意が必要
- TCF 2.2 に準拠しており、Google CMP 認証を受けた CMP の使用が必要
実装のタイムラインは?
ヨーロッパ経済領域(EEA)または英国で Google ネットワーク上で広告を掲載している企業は、2024 年 1 月 16 日までに Google 認証済みの CMP を導入する必要があります。
CHEQ プライバシーコンプライアンスエンフォースメントが Google CMP 認証と IAB TCF 2.2 に準拠
CHEQ Privacy Compliance Enforcement (PCE)は、IAB TCF 2.2 に準拠し Google 認証済みの CMP です。EEA および英国で事業を展開する企業が、規制や広告ネットワークの要件を満たしつつ、トラフィックからの収益化を可能にします。
700 億を超える同意実績を持つ CHEQ プライバシーは、細やかな同意設定、堅牢なデータ管理、最高峰のユーザープライバシー保護により、プライバシーを簡単に実現し、規制上の落とし穴を避けるお手伝いをします。
リアルタイムでのプライバシー施行
CHEQ PCEでは、API やサードパーティの統合に依存することなく、同意に基づいてトラッキング技術を自動でブロック/許可することで、マーケティングの機動性と規制遵守を保持できます。ワークフローやシステムの変更は不要です。
データ漏洩の防止とコンプライアンスの証明
整理された同意記録を保持し、承認されたテクノロジーで PII やその他の機密データパターンを誤って収集することを避け、コンプライアンスを担保します。
サードパーティテクノロジーのモニタリング
サイト上のタグをカテゴライズすることで監視と制御が可能です。プライバシー選択の施行は、直接/代理の全てのサービスに適用されます。
簡単な設定と統合
一行のコードで実装済みのシステムや設定を変更せずに、プライバシーコンプライアンスをシームレスに達成できます。
カスタマイズ可能な同意
CHEQ PCE を使用すると、独自のブランディングや場所、規制固有のテンプレートを使った同意モーダルを設定できます。
クロスドメインおよびクロスデバイスでの同意
CHEQ PCE には、複数のドメインやデバイスタイプにまたがるすべてのデジタルプロパティに同意を拡張するオプションも提供されています。
IAB TCF 2.2 や Google による認証済みの CMP の準備がまだできていない方は、こちらの無料トライアルから始めてみましょう。
筆者
ジェフリー・エドワーズ
コンテンツマーケティング マネージャー
CHEQ 常駐のコンテンツマーケティングの専門家です。数年間のジャーナリストとしての勤務経験を糧に、サイバーセキュリティにおける難解なトピックを丁寧に親しみやすく伝えることを心がけています。
