2019年11月18日にサイト運営者宛にAdSenseから、”Important updates about the California Consumer Privacy Act (CCPA)”と言う表題の英語のメールが全てのAdSense アカウントに送付されました。本メールは、日本のAdSenseアカウントに対しても英語で送付されています。

さらに11月21日から、AdSenseアカウントにログインすると、バナーで「カリフォルニア州消費者プライバシー法（CCPA）は、2020 年 1 月 1 日に施行されます。カリフォルニア州在住のユーザーを対象とするオプションを管理する方法をご覧ください。」とバナーで通知が表示されるようになりました。

CCPAについての説明とサイト運営者側の対応について、本記事で説明致します。

California Consumer Privacy Act(CCPA)とは

CCPAは、米国カリフォルニア州で制定された、カリフォルニア州住民の様々な権利を制定する新しいデータプライバシーの法律です。この法律は、売上、データ処理とその他の要項に関連した分野に該当するカリフォルニアで事業を営んでいる企業に適用されます。CCPAは、法律によって定義された文言「私の個人情報を販売しない」(Do Not Sell My Personal Information)のリンクを、「販売する」パーティー（集団・集まり）のホームページ上に明示し、カリフォルニア住民の個人情報の販売をオプトアウトする権利を提供することが求められます。CCPAは、「販売（売却」の定義に、全ての個人情報の提供（移動）が「販売に」該当するわけではないというような特定の例外もあることを認識しています。例えば、法に基づいて個人情報を「サービスプロバイダー（サービス提供者）」に移す（移動させる）ことは、販売には該当しません。

参考記事： Helping publishers comply with the California Consumer Privacy Act (CCPA)

Googleの対応

Googleは、既にヨーロッパで執行されているGDPR（General Data Protection Regulation)に準拠したデータ保護の条件を提供しています。Googleは、CCPAに基づいて、2020年1月1日より有効となる（CCPAを反映した改定版の）現行のデータ保護条件を保管するサービスプロバイダー条件を現在、提供しています。

サービスプロバイダー条件、顧客向けのGoogleのオンライン契約と更新されたプラットフォーム契約は、データ保護条件を介して既存の契約に組み込まれます。それらの顧客の場合、サービスプロバイダー条件を契約に加えるような対処は必要ありません。

AdSenseを利用するサイト運営者が行うべき対応

ここではGoogle AdSenseを利用して広告を掲載しているサイトの運営者が行うべき対処法について説明したします。CCPAは、カリフォルニア州に住む人の個人情報を保護する法律です。運営するサイトが日本語で、カリフォルニア州の住民がサイトを訪問しない場合には、何もする必要はありません。（CCPAの対象外です。）

運営するサイトにカリフォルニア在住の人が訪問している場合には、CCPAの規定に基づいて、個人情報の販売を無効にする選択肢を提供する義務が発生する可能性があります。

CCPAにおいてGDPRの対処と似たところと異なる点

日本語のサイトの場合、対処すべきかの基本的な判断ポイントは、GDPRと同様です。どの程度、対象となる地域からサイトに訪問があるかによって、対処すべきか否かの判断の材料となります。対象となる地域、GDPRの場合はヨーロッパ、CCPAの場合はカリフォルニア州からのサイトへの訪問が多ければ多いほど対応すべき尺度は高くなります。逆も然りです。

CCPAの対処は、GDPRと比べると比較的シンプルに行うことも可能です。対処法については、次のセクションで説明致します。

AdSenseでのCCPAの対応設定方法

AdSenseのCCPA対応機能は、Googleがカリフォルニア州在住と判断したユーザー（サイト訪問者）について、AdSenseアカウントの設定で以下の2つを選択設定できるようになっています。

• データ処理を制限しない（デフォルト）
• データ処理を制限する

設定に関しては、管理メニュー項目の「ブロックのコントロール」-「コンテンツ」-「全てのサイト」のページに表示されるメニューから「カリフォルニア州消費者プライバシー法」を選択するとCCPAの対応設定が表示されます。（または、CCPAのバナー表示の「対処」リンクから直接設定ページにアクセスできます。）

ページ内に「制限付きデータ処理」の表示があり、上記2項目の選択設定ができるようになっています。

「データ処理を制限しない」を選択した場合

Google によるデータの使用方法は従来と変わりません。カリフォルニア州在住のサイト訪問者に対しても、AdSenseからの広告配信は、パーソナライズド広告が引き続き表示されます。パーソナライズド広告は、過去のユーザー行動（サイトやアプリの利用歴）や地域に基づいて表示されます。

パーソナライズ広告（旧インタレスト ベース広告）は、広告主様がユーザーの興味、関心、属性（「スポーツファン」など）や、その他の情報（詳細はこちら）に合わせた広告を表示できるフォーマットです。

パーソナライズ広告は、ウェブサイトのより効率的な収益化に役立ちます。また、広告主様から見れば広告の価値向上につながり、ユーザーから見ても利便性の向上につながります。

「データ処理を制限する」を選択した場合

Googleのシステムがカリフォルニア州に在住していると判定した全てのユーザー（サイト訪問者）には、パーソナライズされていない広告を表示します。この機能を選択することは、CCPAの規制に準拠した対応をサイトが行っていることになります。

ただし、この設定は、「私の個人情報を販売しない」(Do Not Sell My Personal Information)のリンクを表示せずに術のカリフォルニア在住のユーザーに対して、データ処理制限を有効にすることになります。

AdSenseの設定ではなくサイト側で「私の個人情報を販売しない」のリンクを表示して対応する方法

AdSenseのCCPA対応設定の「データ処理を制限する」を選んだ場合は、全てのカリフォルニア住民の訪問に対しての広告が非パーソナライズドとなってしまうため、サイト側で「私の個人情報を販売しない」(Do Not Sell My Personal Information)のリンクを表示して対応する方法もあります。

この方法は、サイト側でカリフォルニア州に在住していると判定したユーザー、アメリカから訪問しているユーザー、または全てのユーザーに対して、「私の個人情報を販売しない」(Do Not Sell My Personal Information)のリンクを表示して、オプトアウトを希望するユーザーに対しては、データ処理制限を行う方法です。

データ処理制限は、AdSenseの非同期タグの場合には、data-restrict-data-processing=”1″ のラインをコードに追加することで有効になります。以下、コードの表示例です。

オプトアウトを選択したユーザーが訪問するページに対して、データ処理制限を有効にした広告コードをページに挿入・設置させるような処理を行って対応します。