以下の基準を満たすすべてのアプリは、GDPR/フランスのDPAに違反します。
a. ヨーロッパのユーザーがいる
b. MMP SDK を使用する
c. 次のいずれか:
i. ATT(オプトアウト後のデータ収集)に同意しないユーザーのiOSでのフィンガープリントは行われているか
ii。Android ユーザーがいる (Android には ATT に相当するものがないため、同意の枠組みがまったく存在しない)
上記が正しい理由の詳細な説明については、読み続けてください。エリック・スーファートの最新作、最高傑作を既に見たことがある人も多いかもしれません。 モバイル開発メモ投稿 ユーザーの同意なしにIDFVを広告目的で使用したことで、Voodooがフランスのプライバシー監視機関から罰金を科されたことについて。これまで、ほとんどのモバイル業界はATTの遵守に重点を置いてきました。フランスのプライバシー規制当局であるCNILが明らかにしたように、これだけでは不十分です。特に、 ATTを遵守することは、プライバシー法の遵守と同じではありません。
しかし、それはなぜでしょうか?
ATTによると、ユーザーが追跡をオプトアウトした場合でも、IDFVにアクセスして好きなことを行うことができます(Appleの他のポリシーに違反していないと仮定します)。ATT オプトアウトによって保護されるのはユーザーの IDFA だけです。一方、GDPRとフランスのDPAは、以下のことを明確にしています。 オプトインしないとそのIDFVでは何もできません そうでない限り:
- 明らかに契約上のもの(例えば、ユーザーが追跡されることに既に契約上同意している)または
- 広告主の正当な利益のため(たとえば、広告主は、ユーザーが製品に期待する基本機能を提供するために、トラッキングにお客様のIDFVを使用する必要があります)。
上記の主張を裏付ける詳細については、Ericの投稿を参照してください。
さて、測定という観点から見ると、これはモバイル業界にとって何を意味するのでしょうか?
- ほとんどのアプリでは、測定に MMP SDK を使用します。
- MMP SDKは、測定するためにデバイスデータを収集する必要があります(そのデータがフィンガープリント用のIPアドレスなどであり、Appleのポリシーに違反しているが、iOSとAndroidの両方で一般的に規制されていないか、iOSではIDFAやAndroidではGAIDなどのクロスパブリッシャーデバイスIDであるか)。
- GDPRとフランスのDPAでは、企業が他の5つの法的根拠のいずれかを満たしていない限り、デバイスデータはユーザーの明確な同意がない限り収集できないと定められています。最も一般的なものは次のとおりです。
a. 会社には、その特定のデータを収集する契約上の義務(契約上の根拠)があります。または
b. 製品またはサービスに期待される機能を提供するために、その特定のデータを収集する必要があります(正当な利益に基づく) - クロスパブリッシャーデバイスID(IDFA)を収集する前にユーザーの同意を求めるMMP SDKがあるのはiOSのみですが、Androidでは、ユーザーが特にオプトアウトしない限り、クロスパブリッシャーデバイスID(GAID)が収集されます。これは設定に埋め込まれているオプションです。どちらのプラットフォームでも、ほとんどの広告主は、デバイスIDにアクセスできない場合にフィンガープリント用のIPアドレスなどの他のデータを収集するようにMMP SDKを設定しています。
- 最近のGDPRの判決では、IDFV(ATTに基づいており、iOSではユーザーの同意を必要としない)などのファーストパーティデータのみを使用して広告をターゲットにする場合でも(欧州データ保護委員会はMetaの場合は契約上の根拠は適用されないと裁定しました)、製品を使用するためには基本的に契約条件に同意する必要があったため、契約上の根拠は適用されないことが示唆されています。これは明示的に禁止されているためです。
- 最近の規制当局の助言によると、広告のターゲティングにIDFVなどのファーストパーティデータのみを使用する場合でも、正当な利益基準は適用されないことが示唆されています(アイルランドのDPCは、TikTokに対し、ファーストパーティデータを含む広告のターゲティングに正当な利益基準を使用する計画を断念するよう助言しました)。広告のターゲティングは表面上は正当なビジネス上の利益にはならないからです。
- 測定値が異なって解釈されることはまずありません 契約上または正当な利益基盤の適用性という観点から、重要な方法で広告ターゲティングを行った場合(たとえば、マーケティングのパフォーマンスを測定することは、ユーザーとの契約上の義務を果たすために必要ではなく、製品の期待される機能の一部でもありません)。
このことから何を結論付けることができますか?
- 以下の場合、すべてのアプリがGDPR/フランスのDPAに違反することになります。
a. ヨーロッパのユーザーがいる
b. MMP SDK を使用する
c. 次のいずれか:
i. ATT(オプトアウト後のデータ収集)に同意しないユーザーのiOSでのフィンガープリントは行われているか
ii。Android ユーザーがいる (Android には ATT に相当するものがないため、同意の枠組みがまったく存在しない) - 企業が同意したユーザーからのみデータを収集する場合でも(プラットフォームにはiOSのATTのようなフレームワークが組み込まれていないため、Androidでは同意ダイアログを作成する必要があります)。
a. 企業はすでにクロスパブリッシャーのデバイス ID を収集できるため、フィンガープリントは不要になる
同意を得た場合(フィンガープリンティングよりもはるかに正確です)(現在、ユーザーが同意を拒否した場合の悪質なバックアップとして使用されています)
b. 可視性の問題がたくさんあるSKANは、iOSでのラストタッチを測定する唯一の実行可能な方法です
c. さらに悪いことに、MMPはパブリッシャーアプリの各ユーザーの同意を必要とするため、Androidでのラストタッチ測定はほとんど不可能です。
(広告を表示するアプリ)と広告主アプリ(広告を購入するアプリ)で、すべてのユーザーをアトリビューションする(ダブルオプトイン問題と呼ばれることが多い)。
ATTがiOSでリリースされた後に見てきたように、これは非常にまれです。
あなたには何ができる?
モバイル業界は新たな転換期を迎えています。成功するための正しい基準はありますか?幸いなことに、 北極星 MetricWorksは、ターンキー方式のプライバシー重視のインクリメンタリティMMPです。Polaris はデバイス ID、面倒な移行、手間のかかる移行、SDK、その他のスキルを必要としません。最も重要なのは、Polaris はユーザーのプライバシーを尊重しているため、プライバシー規制当局との問題を回避できることです。
要約すると、ほとんどのアプリ会社にとって、同様の巨額の罰金を回避するための唯一の現実的な選択肢は次のとおりです。
- ヨーロッパのユーザーへのアクセスを完全にブロックします(ヨーロッパの規制当局の管轄を避けてください)。
- すべてのアプリからMMP SDKを削除し、測定アクティビティを完全に停止します。
- MMP SDKを引き続き使用しますが、同意が得られない限り(フィンガープリントを無効にするなど)、デバイスデータが収集されないようにしてください。つまり、決定論的なラストタッチのみが利用可能で、MMPがダブルオプトインしている少数のユーザーのみが利用できます(これは現時点では多くのMMPでは不可能な場合があり、ATTに相当するものがないため、Androidにはカスタム同意ダイアログが必要です)。
- SKAN(iOSのみ)、MMM、ジオリフトテストなど、デバイスデータの収集を必要としないプライバシー保護の測定方法に完全に移行してください(測定目的でデバイスデータを収集することは完全に避けてください)。
- このトピックについてさらに話し合いたい場合は、お気軽に 時間を予約する または お問い合わせ。
