一般データ保護規則(GDPR)において、Google が「データ処理者」ではなく「データ管理者」である理由
Google はすべてのサービスを調べ、それぞれについて Google の役割がデータ管理者か、データ処理者かを評価しました。サイト運営者様向けサービスについては、Google はサービス改善のために、配信するデータについての判断を頻繁に行なっているため、データ管理者の立場になります。
たとえばAdSense をご利用の場合、Google はサイト訪問者に広告を表示します。園芸に関するサイトであれば、ユーザーがガーデニング愛好家であると推定し、そのデータを広告主の利益のために使用します。つまり、芝刈り機メーカーの広告主はガーデニング愛好家に対して、ガーデニングに関係のないサイトにアクセスしているときでも広告の配信を希望する可能性があると判断します。他者の利益のためにデータを使用することが、データ処理者ではなく、データ管理者であることを意味します。Google のアド マネージャーまたは Ad Exchange サービスをご利用の場合、サイト運営者様はデータの使用方法をより詳細に管理できます。AdSense や AdMob と同様のデータの利用方法を有効にすることもできます。または、Google によるデータの使用を制限する選択もできます。たとえば、スキーについてのページでは、別のサイト運営者様のサイトに配信される広告を表示しないように設定できます。ただし、その管理は限定的であり、Google はアド マネージャーおよび Ad Exchange サイト運営者様のデータをサービス改善の目的で使用します。これには、広告配信アルゴリズムのテスト、エンドユーザー側のレイテンシの監視、Google の予測システムの的確性の確保などが含まれます。そのため、アド マネージャーと Ad Exchange についても、Google はデータ処理者ではなく、データ管理者の立場になります。
Google がサイト運営者様向けサービスのデータ管理者の役割を担うとしても、サイト運営者様によるアド マネージャーと Ad Exchange の使用から派生するデータに対して、Google に権利が追加されることはありません。Google によるデータの使用は、引き続きサイト運営者様との契約条項、および Google サービスの管理画面においてサイト運営者様が選択した機能別の設定に従います。
エンドユーザーの同意が必要なサービス
EU ユーザーの同意ポリシーに、同意が必要な場合についての詳細が記載されています。また、EU ユーザーの同意ポリシーに関するヘルプページを更新し、質問に回答しています。
EU ユーザーの同意ポリシーでは、サイト運営者様からユーザーに対して、データの使用方法に関する情報を提供する必要があることも定められています。Google のサービスでデータがどのように使用されているかを説明するには、このユーザー向けページへのリンクを使用することをおすすめします。これにより、ポリシーの要件を満たすことができます。
Google が同意を得る方法
Google は、常にお客様と協力してコンプライアンスを遵守することを最優先事項としています。同意を得るには様々な方法があるため、Google ではポリシーの要件を満たす限り、方法については細かく指図しません。たとえば、ユーザーに複数の選択肢を提示したいと考えるサイト運営者様が多いと考えられるため、cookiechoices.org で同意の例を提示し、それを Google の Funding Choices 同意ツールに反映させました。ただし、それを使用するか別のアプローチを取るかはサイト運営者様が決めていただけます。すべてに最適な汎用アプローチは想定していません。Google のポリシーは Google のサービスを使用し、欧州経済領域にユーザーを持つサイト運営者様と広告主様に適用されます。しかし、既存のポリシーの施行方法と同様に、最初から処分を「決定」するのではなく、まずはお客様に問題をお知らせし、コンプライアンスを遵守するための改善を働きかけます。Google の EUユーザーの同意ポリシーに準拠していないサイトを見つけた場合は、Google のポリシー違反のフォームからお知らせください。
ユーザーの同意なしに使用できるサービスはあるか、ある場合はどのように機能するか
Google はパーソナライズされていない広告だけを配信するモードを開発し、サイト運営者様が 1)欧州経済領域内のユーザーに対して、パーソラナイズド広告とパーソナライズされていない広告のどちらを表示するかの選択肢を提示する、または 2)欧州経済領域内のすべてのユーザーに、パーソナライズされていない広告だけを配信するかを選択できるようにしています。
パーソナライズされていない広告では、広告をパーソナライズするための Cookie は使用しませんが、フリークエンシー キャップの設定、広告レポートの集計、詐欺や不正使用の防止のための Cookie は使用します。したがって、e プライバシー指令の Cookie 規定が適用される国のユーザーからは、Cookie をこのような目的で使用するための同意が必要です。
カスタマイズされていない広告に対する Google のソリューション
パーソナライズされていない広告では、広告主様は欧州経済領域のユーザーにパーソラナイズド広告とパーソナライズされていない広告のどちらを表示するかの選択肢を提示できます(あるいは、欧州経済領域の全ユーザーに、パーソナライズされていない広告だけを配信するよう指定することもできます)。パーソナライズされていない広告は、コンテキスト情報(市区町村レベルの大まかな地域情報など)のみに基づいて配信されます。
パーソナライズされていない広告において、Google はデータ処理者か、データ管理者か
上記のとおり、Google はこのソリューションにおいてもサイト運営者様向けサービスの改善のために、配信するデータについての判断を頻繁に行なっているため、データ管理者の立場になります。
Google はコンテンツに関連した広告の配信、広告レポート、詐欺や不正使用の防止などの正当な利益を法的根拠として個人データを使用しています。
パーソナライズされていない広告では、広告をカスタマイズするための Cookie は使用しませんが、フリークエンシー キャップの設定、広告レポートの集計、詐欺や不正使用の防止のための Cookie は使用します。これは GDPR で定められた正当な利益に基づく処理ですが、e プライバシー指令の Cookie 規定が適用される国のユーザーからは Cookie をこのような目的で使用する場合でも同意が必要です。
欧州インタラクティブ広告協会(IAB)のフレームワークを使用している場合、販売者向け完全統合の前に Google のサービスを使用するにはどのようなオプションがあるか
Google は IAB の透明性と同意に関するフレームワークとの統合がまだ完了していません。この数か月間にわたり Google は IAB ヨーロッパと協力して、サービスとポリシーが TCF に適合したものとなるよう作業を進め、技術的統合の完成を目指しています。
Google の IAB 統合が完了するまでは、サイト運営者様が ATP 設定画面で選択した広告技術プロバイダのパーソナライズド広告が表示されます。サイト運営者様は引き続きアド マネージャーの管理画面で、広告リクエストにパーソナライズされていない広告シグナルを含めるか、欧州経済領域のすべてのユーザーにパーソナライズされていない広告のみを配信するかを選択できます。なお、IAB の TCF 技術仕様ではウェブはサポートされていますが、モバイルアプリの仕様はまだ確定していません。
Google の今後のポリシー変更の通知方法
Google は EU ユーザーの同意ポリシーへの変更が及ぼす影響に細心の配慮を払っています。しかし、規制に関するガイダンスが大幅に変更された場合には(たとえば、ガイダンスにより、正当な利益に基づくパーソナライズド広告が可能と解釈された場合など)、Google のポリシーにその内容を反映する予定です。ポリシーの変更についてすべてを事前に通知することはありませんが、EU ユーザーの同意ポリシーに関わる変更については例外的にお知らせしました。その後の大幅な変更についても同様にお伝えいたします。
Google では数か月にわたりサイト運営者様と議論を重ねてきましたが、今後も同様に最新情報を共有し、皆さまのご意見を反映させていきたいと考えています。
