Criteoは欧州に本社を構えるグローバル企業として、業界の様々なベストプラクティスや基準、規制の取り組みに対応するための、強固な基盤を有しています。Criteoでは、プライバシーおよびデータ保護における一貫性と確実性が、事業体およびそのサービス提供の対象となる消費者の双方にとって有益と考えており、当社が事業を展開するすべての国の適用法、および規制の遵守に取り組んでいます。これには、EU加盟国のさまざまなデータプライバシー法の調和を目的とする一般データ保護規則(GDPR)をはじめ、カリフォルニア州消費者プライバシー法(CCPA)、ブラジル一般データ保護法(LGPD)も含まれます。
Criteoは、広告主のクライアント(以下、「広告主」といいます)と、リテールメディアの小売業者(以下、「パブリッシャー」といいます)を含むパブリッシャーパートナーが、その法的義務を効果的に果たせるよう、以下のガイドラインとベストプラクティスの共有を通じて、コンプライアンス対応に向けた支援を提供しています。
1.情報の要件:当社パートナーは、自己の資産(ウェブサイト/アプリ)を訪問するユーザーに透明性を確保する義務を負います
タグを用いたユーザーに関するデータ収集および使用については、明確かつ容易にアクセスできる包括的な情報を、自己の資産上で提供する必要があります。
ユーザーに提供すべき情報
当社パートナーに適用されるデータ保護規制によっては、必要な情報が多少異なる場合があります。たとえば、欧州のマーケットを対象とするウェブサイトやアプリの場合、要求される情報には以下が含まれます。
個人データを共有している管理者および共同管理者のID
資産上で収集されるデータを処理する目的
CookieおよびCookie以外のテクノロジーを使用してCriteoが収集したデータは、利用者のデバイスの識別および閲覧行動に関する情報収集に基づく、ターゲティング広告の配信を目的として使用されます。これにより、利用者の興味・関心に沿った商品・サービスの広告配信を可能にします。
-
- 広告主の場合:サードパーティーのウェブサイトおよびアプリで、自社の商品および/またはサービスに関する広告を利用者に配信できるようになります。
- パブリッシャーの場合:自社のウェブサイト上で、ブランド、Eコマースの小売業者、およびサービスプロバイダーの商品および/またはサービスに関する広告を配信できるようになります。
- Criteoショッパーグラフを運用している広告主など、クロスデバイスでの連携を目的にCriteoとデータを共有している広告主およびパブリッシャーの場合:自社のウェブサイトやCRMシステムのユーザー登録情報から派生する技術的識別子などのデータを、広告パートナーと共有することができます。これにより、広告パートナーはユーザーのデバイスやブラウザを関連付け、ユーザーが使用する(または使用する可能性のある)異なる環境間にまたがりシームレスな体験を提供します。
タグの使用について同意または拒否する方法
たとえば、Cookieの同意ツールなどで「同意」もしくは「拒否」を選択することによって、行うことができます。
ユーザーがタグに対して同意または拒否したことによる結果
ユーザーがCriteoタグに同意すると、そのユーザーはパーソナライズされた広告によるメリットを得られます。その際にデバイスやブラウザを関連付け、ユーザーが使用する(または使用する可能性のある)異なる環境間にまたがってシームレスな体験を提供するために、ユーザーの技術的識別子が使用されることもあります。
Criteoタグを拒否したユーザーは、パーソナライズされたオンライン広告の恩恵を得ることはできません。
ユーザーが同意を取り消す権利とその方法
ユーザーには、以前に行った同意を取り消す方法を通知する必要があります。
Criteoのサービスの場合、Criteoのプライバシーポリシーから同意を取り消すこともできます。
レイヤー型のアプローチによって、こうした情報をユーザーに提供することができます。レイヤー型のアプローチでは、詳細情報を確認するためのリンクとともに、重要な情報をユーザーに提供します。
情報を提供する場所とタイミング
情報は次のように提供する必要があります。
- 同意(または拒否)の選択肢がユーザーに提供される前に、目に見える明確な方法で提供すること。
- 「Cookieに関するポリシー」など、資産上のアクセスしやすい常設の場所で常に利用可能な状態にしておくこと。
使用すべき表現
平易な表現を使用する必要があります。複雑な表現や技術的表現、法律上の表現など専門的な表現をそのまま使用することは避けてください。
GDPRが御社および御社の資産に適用されない場合の対応
Criteoでは、法の適用の有無に関わらず、当社の各サービスやデジタル経済全体における信頼の醸成を望むのであれば、ユーザーへの透明性は常にメリットをもたらすものと考えています。透明性を確保するということは、包括的かつユーザーフレンドリーな方法によって、データの利用方法およびその利用者を明示することを意味します。そのため、Criteoは当社パートナーに、興味・関心に基づく広告の配信を目的にデータ収集する旨を、プライバシーポリシーに記載することを強く推奨しています。
2.同意の要件:法的義務がある場合、当社パートナーはCriteoのサービスを利用するにあたり、自己の資産全体を対象に同意を得るものとします
Criteoの条件に基づき、当社のクライアントおよびパブリッシャーパートナーは、当社サービスの利用に同意の取得が義務付けられているすべての国において、Criteoタグを有効化する前にユーザーからの同意を得る責任を負うものとします。これは、当社のクライアントおよびパブリッシャーパートナーがユーザーに直接アクセスでき、サードパーティータグ使用の同意をユーザーから得る選択メカニズムを自らの資産上で管理しているためです。
同意が有効となる条件
EUの法律の下では、強制を受けず、特定的に、情報提供を受けた上で、なおかつ曖昧でない場合に限り、同意は有効とみなされます。
「強制を受けない」と「特定的」の意味
それぞれの処理の目的について、ユーザーが同意または拒否できる必要があります。さらに、複数の目的に適用されるものとして、「全体を対象とする」同意と「全体を対象とする」拒否の選択肢を提供することもできます。
「情報提供」の意味
ターゲティング広告の配信を目的として、CriteoがCookieおよびCookie以外のテクノロジーを使用することについてユーザーが同意を行う前に、ユーザーに対してすべての情報が提供されていることを意味します(上記セクション1を参照してください)。
「曖昧でない」の意味
同意は積極的な行動によって行われる必要があります。単に閲覧やスクロールの続行、あるいはウェブサイトやアプリの使用では、有効な同意とみなされません。また、事前に選択済みのボックスを使用することも、有効な同意とは認められません。
ユーザーによる行動を伴わない場合、同意が「有効」と解されることはありません。
ユーザーが同意を拒否できるようにする必要はありますか?
はい。ユーザーは、Criteoタグに同意する場合と同様に、それを簡単な方法で拒否できなければなりません。
たとえば、複数の目的について一度に同意を行う選択肢が提供されている場合、同様に簡単な方法で、そのような目的について同意を拒否する選択肢が提供される必要があります。
以前にユーザーが行った同意を取り消せるようにする必要はありますか?
はい。理由を問わず、ユーザーがいつでも同意を取り消せるようにしておかねばなりません。同意を取り消す手段は、ユーザーが利用しやすいものにする必要があります。同意を取る場合と同様に簡単な方法で、同意の取り消しもできるようにすべきです。
ブラウザの設定を利用して同意を得ることはできますか?
いいえ。データ保護当局は、ブラウザの設定で有効な同意をとることはできないとの判断を示しています。
ユーザーへの選択肢の提示はいつまで行う必要がありますか?
ユーザーへの選択肢の提示は、少なくともユーザーが資産の閲覧または使用を行っている間は継続されている必要があります。提示継続期間は、資産や視聴者に合わせて適切に設定する必要があります。
ユーザーによって行われた同意を記録しておく必要はありますか?
はい。有効な同意を得たことを、いつでも示すことができなくてはなりません。お客様は、Criteoの要求に応じて、各ユーザーについて収集した同意の証拠をCriteoに提供することができるものとします。
GDPR、および広告主やパブリッシャーへのGDPR適用についての詳細は、以下をご確認ください。
GDPRにおける同意に関するEDPBガイドライン(2020年)
GDPRにおける透明性に関する第29条作業部会ガイドライン(2018年)
本文書に記載される情報は法律上の助言には該当せず、またこれらの情報は弁護士と依頼人の関係の構築を意図するものではありません。必要に応じて、専門家による法的なアドバイスを受けてください。
最終更新日:2021/05/01