【一問一答】「 pubvendors.json 」とは?:GDPR用の強力なホワイトリスト

欧州一般データ保護規則(General Data Protection Regulation:以下、GDPR)がらみで、またも難しい言葉が登場しました。今度はpubsvendors.jsonです。

とりわけ、パブリッシャーとベンダーは、このファイル名についてよく知っておく必要があるでしょう。これは、IABヨーロッパ(欧州インタラクティブ広告協会)とIABテック研究所(IAB Tech Lab)が作成したものです。その狙いは、パブリッシャーが、自身が入手したオーディエンスデータを、誰が使えるのか、そしてどういった目的のために使われるのかについて、より管理できるようにすることです。この場合、そのパブリッシャーが、GDPR準拠へのアプローチに関して、正当な利益を主張するアプローチをとっているのか、それとも、ユーザーの同意を得るアプローチをとっているのかについては問われません。

そこで今回の一問一答シリーズでは、pubsvendors.jsonについて説明しましょう。

――pubvendors.jsonとは何ですか?

簡単にいえば、強力なホワイトリストです。パブリッシャーは、自社のドメインにこのファイルを追加することで、ベンダーに代わってユーザーから同意を得る意思があることを示すことができます。また、正当な利益を主張する方法をとる場合にオーディエンスデータの利用を認めるベンダーと用途を提示することができます。IABヨーロッパの「トランスペアレンシー&コンセントフレームワーク(Transparency & Consent Framework:透明性と同意の枠組)」に参加しているベンダーは、ads.txtファイルと同じように、pubvendors.jsonファイルをチェックして、許可されている用途やパブリッシャーのGDPRポリシーを確認することが必要になります。

――このファイルが必要な理由は?

パブリッシャーがGDPRに準拠するために採用しているアプローチでもっとも用いられているのが、正当な利益を主張する方法と、ユーザーの同意を得る方法です。前者の場合は、一定の目的のためにオーディエンスデータを利用することの法的な正当性を主張します。後者の場合は、データの利用方法をユーザーに知らせ、ユーザーから許可を得るようにします。IABヨーロッパのトランスペアレンシー&コンセントフレームワークは、GDPRの業界標準を確立すること目指して作られたもので、同意を得る方法を取る企業については厳格な規定を設ける一方、正当な利益を主張する方法を取る企業については明確に定めていません。しかし、パブリッシャーは以前から、ユーザーの同意を得るか正当な利益を主張するかにかかわらず、どのベンダーにどのような目的でオーディエンスデータの利用を許可するのかを、このフレームワークでもっと細かく管理できるようにすることを求めていました。こうした要望に応えるために、IABヨーロッパはpubvendors.jsonを作成したのです。

――ということは、コンセントストリングとは違うものなのですね?

はい、おっしゃるとおりです。コンセントストリングは、アドテクベンダーの同意獲得状況を確認するためのもので、その情報はパブリッシャーの同意管理プラットフォーム(以下、CMP)によって生成され、広告サプライチェーン内のすべてのパートナーに提供されます。したがって、この情報を見れば、パーソナライズド広告を配信するための同意を得たベンダーと得ていないベンダーをいつでも確認できます。ただし、コンセントストリングが役立つのは、同意を得るアプローチを選択し、CMPを利用しているパブリッシャーのみで、すべてのパブリッシャーに有効なわけではありません。正当な利益を主張するアプローチを選んだパブリッシャーには役立たないのです。そこでpubvendors.jsonが登場したというわけです。

――では、どのような仕組みなのでしょうか?

パブリッシャーは、正当な利益の主張と同意の獲得のどちらをベースとするのかをpubvendor.jsonファイルに記述し、このファイルをアップロードします。また、どのような用途のときに、どのベンダーに代わってユーザーの同意を得る意思があるのかを具体的に記します。正当な利益を主張するときに提携したいと考えているベンダーがある場合は、そのベンダーの名前も記載します。このフレームワークに従って業務を行うベンダーは、このファイルに書かれている用途(保護の強化など)を確認することが義務付けられます。さらに、パブリッシャーが同意ベースのアプローチでしかベンダーと提携しないことがわかった場合は、そのパブリッシャーのユーザーにパーソナライズド広告を配信する前に、コンセントストリング情報を確認しなければなりません。これはいわば、レストランのドレスコードのようなものです。

――パブリッシャーにメリットはあるのでしょうか?

理屈のうえでは、メリットはあります。IABヨーロッパのGDPRフレームワークは当初、ベンダー寄りすぎるという批判をパブリッシャーから受けていました。そこで何度か改定が行われ、ベンダーが広告ターゲティングのためにオーディエンスデータを使用する方法をパブリッシャーが細かく管理できないという懸念に対応しました。また、コンセントストリングが導入され、パーソナライズド広告を配信できるユーザーとできないユーザーを、サプライチェーン内のすべての企業が把握できるようにしました。pubvendors.jsonが作られた理由は、正当な利益の主張という簡易なアプローチをとっているパブリッシャーでも、デジタル広告サプライチェーンにおけるオーディエンスデータの利用を、同じくらい細かなレベルで管理できるようにするためです。このファイルを導入しているパブリッシャーと提携するベンダーは、より大きな説明責任を求められることになります。

――パブリッシャーは、このファイルを使わなければならないのですか?

そんなことはありません。パブリッシャーにこのファイルの利用を義務付けるかどうかについては、現在議論が行われているところだと、IABヨーロッパでプライバシーと公的施策のディレクターを務めるマサイアス・マシューセン氏は述べています。論点になっているのは、パブリッシャーがこのファイルを採用しない場合でも、ベンダーに確実に利用してもらうのは難しいということです。そこでいまは、パブリッシャーがこのファイルを利用しない場合に、ベンダーがこのファイルの内容に従うことを原則とすべきかどうかという点が議論されています。「(このファイルは)正当な利益をより安全な形で主張できるようにするために作られたのだ」と、マシューセン氏はいいます。

――問題点はありますか?

このファイルに書かれているすべての情報の正確性を保証することが、何よりも重要になります。その責任を負うのはパブリッシャーです。また、パブリッシャーは自社のデジタル広告サプライチェーンを十分に把握しなければなりません。そうしなければ、どのベンダーに何を許可するのかを決めるために必要な詳しい情報を入手することが難しくなります。

Jessica Davies(原文 / 訳:ガリレオ)