GDPR(一般データ保護規則)の概要
GDPR(General Data Protection Regulation、EU 2016/679)は、欧州連合(EU)域内の個人に関する個人データの処理を規律する規則です。域外の事業者であっても、対象となる取引や行動監視などの条件を満たす場合に適用されることがあります。
主な考え方
- 適法・公正・透明性:処理の根拠と目的を明確にし、データ主体に分かりやすく示す。
- 目的の限定とデータ最小化:必要な範囲・期間にとどめる。
- 正確性と保管期間の制限:不要になったら削除または匿名化を検討する。
- セキュリティと説明責任:適切な技術・組織的措置と記録(処理活動記録など)を整える。
処理の法的根拠(例)
広告・計測・Cookie 等のオンライン処理では、状況に応じて同意、正当な利益、契約の履行などが論点になります。電子通信分野では ePrivacy(Cookie 規則など)も重なり、EEA・英国・スイスでは同意や開示が特に重視される領域が多いです。
データ主体の権利(例)
- アクセス、訂正、消去、処理の制限、データポータビリティ、異議申立てなど
- 同意に基づく処理については、いつでも同意の撤回が可能(撤回前の処理の適法性には影響しない旨が規定されています)
公式テキストは欧州連合法データベース(EUR-Lex)で確認できます。参照:Regulation (EU) 2016/679 (GDPR) — EUR-Lex
EEA・英国・スイスで Google 広告を配信する際の同意管理(パブリッシャー向け)
Google は、EEA(欧州経済領域)、英国、スイスのユーザーに対してパーソナライズド広告や Cookie/ローカルストレージ等に関する処理を行う場合、パブリッシャー等に対してEU ユーザー同意ポリシー(EU User Consent Policy)に沿った対応を求めています。対象地域や要件は時期により更新されるため、必ず最新の公式ページを確認してください。
パブリッシャーが押さえやすいポイント
- 透明性:どのような目的で、どのパートナー(第三者)がデータを扱うのかを、分かりやすい形で開示する。
- 同意の取得:法律で求められる場合、Cookie/類似技術の利用やパーソナライズド広告のために必要な同意を、無理な同意の強要なく取得する。
- 選択と撤回:ユーザーが拒否・同意撤回を行える明確な手段を用意する。
- 記録:同意の取得・撤回等に関する記録を保持する(ポリシーで求められる範囲で)。
- 同意管理プラットフォーム(CMP):Google の広告プロダクトを利用するサイト・アプリでは、対象トラフィックについてGoogle 認定の CMPと、IAB の Transparency and Consent Framework(TCF)との連携が求められる場合があります(プロダクト・実装・開始時期は公式ヘルプの条件に従います)。
- Consent Mode(同意モード):タグの挙動を同意状態に応じて調整し、計測・コンバージョン最適化とプライバシー要件の両立を図る仕組みとして、Google の実装ガイドが提供されています(サイト側のタグ設計と併せて確認)。
公式ガイダンス(参照用リンク)
- EU User Consent Policy(Google)
- Help with the EU user consent policy(Google)
- EU ユーザー同意ポリシーを遵守する(Google AdSense ヘルプ)
- 欧州規制の変更に備える(Google Ad Manager ヘルプ)
英国は GDPR を国内法化した UK GDPR 等が適用されます。スイスは連邦データ保護法(FADP)等が絡みます。Google の「EU」表記のポリシー範囲に英国・スイスが含まれるかは、上記の Google 公式ページの定義に従ってください。