これから欧州を含む全世界にゲームアプリを配信するという、日本の大手アプリパブリッシャーさんから相談を受けました。

いわく「プロモーションの方針を立てるにあたり、GDPR 対象国にはどういう対処が必要かを知りたい」のですが、いろんな会社にヒアリングをしても、明確な回答が得られなかったらしく。

まぁ実際、ヨーロッパに C 向けプロダクトを展開している会社や、そのプロモーションを支援している事業者って、日本にはあまりいないですもんね。

幸い自分は前職でゲームアプリのパブリッシャーにいて、デベロッパーに GDPR 対応について指示する立場だったので、その知見から「やらないといけないこと」「やらなくてもいいこと」およびその理由をお伝えすることが出来ました。(あと今の勤務先 Smartly.io もヨーロッパ企業ですし)

これから同じ課題に直面する方のために、極力平易な文章で解説するのがこの note です。(ただ分量は 5,000 字弱となかなかのボリュームになってしまいました)

【免責】こちらの内容は 2020 年 1 月時点での筆者の知識に基づいて書かれており、今後内容が変わる可能性があります。また、こちらの内容に齟齬があったせいで生じた損害等については一切補償できかねますので、at your own risk で参考にしていただけると幸いです。

そもそも GDPR とは

General Data Protection Regulation (日本語では「EU一般データ保護規則」) が正式名称です。

欧州議会・欧州理事会および欧州委員会が制定していて、欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している規則です。欧州連合域外への個人情報の輸出も対象です。

2018 年から適用されており、違反した企業には「2000 万ユーロ（約 26 億円）またはグローバル売上高の 4% のいずれか大きい方」という巨額の制裁金が科されます。なので、これを無視してビジネス展開すると、むちゃくちゃデカいリスクを抱えることになります。

侵害が発見された場合、その組織は、侵害されたデータの種類・影響を受けたユーザー・現在行っている対応措置などを含め侵害の状況を 72 時間以内に監督機関へ詳細に報告しなければなりません。

細かい内容について解説すると日が暮れるので、wikipedia でも見ておいてください。

一番大きな目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと。

大きな流れとして、GAFA をはじめとする (主に US の) グローバル巨大プラットフォーマーが個人データを牛耳っていることに対するヨーロッパサイドの問題意識があり、「EU 市民のデータは米国企業のものではなく個人のもの」という "データ主権" を取り戻す動き、と見ることもできます。

参考記事↓

参考までに、Google が 2020/1/14 に発表した、今後 2 年以内に Chrome でのサードパーティ製 Cookie のサポートを段階的に廃止する計画も、「個人データは本人のもので、本人がコントロール出来るべき」という文脈の中から生まれてきたものです。

余談ですが、日本の法律との比較でいうと、日本の個人情報保護法では Cookie が個人情報であるかどうかは「極めて微妙」とのこと。GDPR  では、"個人情報" として認識されるものが意外と厳しくて、通常のサービスや、日本の個人情報保護法の感覚で OK なものが NG だったりするので、気をつけましょう。こちらの記事あたり参考になると思います。

アプリをヨーロッパで配信する際に何故 GDPR が問題になるのか

アプリが、ユーザーの氏名やメールアドレスを取得していれば、当然 GDPR 対応は必要になります。

今回相談されたのはゲームアプリ。アプリの UI では氏名や住所やデモグラなど、ユーザー個人に関するデータは取得していません。この場合でも GDPR の対応は必要になるのか？

答えは YES です。何故なら、広告によるマネタイズやプロモーションを行う際に、広告ネットワークやトラッキングツールの SDK を通じて「広告 ID (IDFA/GAID)」「IP アドレス」などのデータを取得し、サーバーに送信・保存しているからです。(日本では IP アドレスは個人データにカテゴライズされていないので要注意)

これらのデータを、【ユーザーが明示的に許可した場合にだけ】取得すること、ユーザーがあとから希望した場合はそのデータを消去すること、などが求められるわけです。

アプリ側での GDPR 対応

じゃあ具体的にどう対応すればいいのか？

自分が以前関わっていたアプリでは、初回起動時に、ユーザーの許諾を得るための全画面ポップアップを出していました。

それに何らかの回答をしないと、メインコンテンツには進めず、また、広告 ID や IP などを取得する広告系 SDK の initialize (初期化) プロセスも開始しない設定になっていました。

「いつでも設定画面から OFF に出来る」ような設計にしておくことが必要で、加えて、ユーザーの明示的な同意をとらずに上記情報を取得するのはアウトです。

ご覧の通り、ユーザーの「明示的な同意をとる」導線は非常にスムーズ (いずれかの画面で "OK" を押させれば良いだけ)。逆に、オプトアウトする場所はとても深いところにあります。

※そのことの良し悪し・是非は本記事の論点とはしません。

オプトアウトされてしまったとき

さて、設定画面でユーザーが SNS ログインまたは分析・広告等のためのデータ取得を "OFF" にした状態で確認ボタンを押した場合はどうなるでしょうか？

アプリの側では、該当する情報を取得しないようにする処理が必要になります。SDK で取得している場合は、各 SDK の技術ドキュメントに対応方法が書いてあるはずです。見つからなかったら問い合わせましょう。

マネタイズで複数アドネットワークを使っている際は、メディエーションレイヤーが "ユーザー同意の有無" のパラメータを、接続している各アドネットワークに引き渡してくれる機構があることが多いです。(日本の SSP とかは対応してるのか謎ですが)

これらのデータがとれないユーザーはビジネス的に見て非常に価値が低く、また、何か問題が起きた場合のサポートが難しいです (例えばゲームでいうと、達しているレベルとユーザーとを紐づけることが出来ないため)。

なので、自分が過去関わっていたアプリでは、設定画面でユーザーがいずれかの項目を "OFF" にして進めようとした場合は警告画面を出し、そのままゲームに進んだ場合にも、ゲーム内の分かりやすい箇所に警告マークを出すようにしていました。

ゲームやってる間じゅう警告マークが出てるなんてウザいことこの上ないし、それが原因で離脱してしまうこともあるかもしれません。が、どうせ残ってくれたとしても大した (金銭的) 価値のないユーザーなのでね...

アプリ側での対応はざっくりこんなところです。

広告を配信する (プロモーションする) 際は特別な対応が必要か？

アプリ側で対応をきちんと行っていれば、広告配信する際に特別な対応は必要ないです。

なぜなら、GDPR 対応 (ユーザー同意) は広告プラットフォーマーが行っているのが前提だからです。

例えば、広告プラットフォーム A は EU 圏のユーザーに対し、個人情報の取得・利用について同意をとっています。取得・利用を OK しているユーザーに対しては、通常通り広告が配信されます。

OK していないユーザーに対しては、広告を配信「しない」のか「する」のかを、プラットフォーム側または広告主が選択することになるでしょう。(普通に考えて、配信されにくくはなる、はず)

広告が配信された場合、媒体側でのユーザーデータが取れないので (広告 ID が取得できない)、ツールでは正確にトラッキングすることが出来ません。媒体によっては、何らかのロジックで "推計" した数字を実績として自分たちのレポートに出してたりするかもしれないですね。

このあたりの仕様は恐らく媒体によって違うので、詳しくは各媒体のドキュメントを見るなり問い合わせるなりしてください。

ちなみにこちらが、西ヨーロッパ・iOS・カジュアルゲームの Power Ranking (2019) by AppsFlyer。こちらから他の地域・OS・カテゴリについても見ることが出来ます。

また、媒体側でユーザーが個人情報利用を "ON" にしていても、アプリ側で "OFF" にしていたら、計測ツールでは計上できません。

つまり、メディア・アプリともに "ON" になっていないと、計測ツールで計上できないということです。

「忘れられる権利」の対策

上記に加えて、GDPR ではエンドユーザー ("データ主体" とも呼ばれています) に4つの権利を認めています。

1. アクセス権
2. データポータビリティの権利
3. 訂正権
4. 削除権 (忘れられる権利)

つまり、個人情報をいちど合意の上取得しても、ユーザーから削除の依頼があった場合は、速やかに削除しなくてはいけないので、そのあたりも体制が必要です。

GDPR は、個人データを管理するブランドは、アクセス、移植性、修正および消去の要求を 1 ヶ月以内に対応することができなければならないと述べています。対応しないと、罰則の対象となります。

具体的には、そのユーザーが誰なのか (個人名等がわからなくても、どの広告 ID / cookie なのか) を把握して、自分たちおよび連携してるプラットフォームからそのデータを消す、ってことをする必要があります。

例えば AppsFlyer では API を使って個人データ削除のリクエストに対応でき、管理画面では受領したリクエストのログを確認できるそうです。さすが欧州系サービスはこの辺 (当然) しっかりしてる。使ってるサービスについてはきちんと確認しておくことをお勧めします。

余談ですが、とある欧州系 to C サービスの中の人いわく「問い合わせからのキーで誰かわからない時があり、それも含めて調査してちゃんと対応しないといけないのが (極論ではあるけど、法律を厳密に解釈すると) 書かれていることなので、きちぃw」そうです。

まとめ

★ EU 圏に対してアプリを配信する際には、アプリ起動時に GDPR に対応したユーザー同意をとるフローを用意する。あとから設定変更できるような設計や、申し立てがあった場合にそのユーザーの情報を削除できる体制なんかも必要。

★ それさえやっておけば、アドネットワークを使った広告配信は行ってもよろしい。少なくとも、メジャーなグローバルプラットフォームや、ヨーロッパに本社がある会社はきちんと対応しているはず (してないとマズい)。

こんなかんじです。最初に書いた通り、内容に齟齬があっても何の補償も出来かねるので、ご自身の責任で参考にしてください。間違いがある旨のご指摘は歓迎です。

最後に、ぼくが内容の正確性に若っっ干の不安を抱えていたところ、優しく記事のレビューをしてくれた以下の猛者の皆さまに厚く感謝します！(彼らも内容の保障はしませんので悪しからずw)

★YOOX (イタリア発 EC) Nami Kihara san
★AppsFlyer (イスラエル発 モバイルアプリ広告の効果測定プラットフォーム) Naoya Otsubo san
★AppLovin (シリコンバレー発 モバイルアプリ向けマーケティングプラットフォーム) Yuki Manno san

その他個別の相談やご質問は、Twitter の DM や、すでに繋がっている方は Facebook のメッセ等で受け付けています。お気軽にどうぞ！