プライバシーとデータ保護規制
EU 一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)およびその他の国際的なプライバシー要件に関する情報です。 これらの規制が自社とAdobe Targetにどのような影響を与えるかをご確認ください。
プライバシーと一般データ保護規則(GDPR)の概要
2018年5月25日(PT)に、欧州連合の GDPR が発効されました。 この規制にはどのような意味があるのか、詳細は、GDPR とビジネスを参照してください。
アドビが企業に対してソフトウェアやサービスを提供する場合、アドビはサービス提供の一環として同社が処理または保管する個人データのデータ処理事業者に該当します。 アドビはデータ処理者として、お客様の許可と指示(お客様とアドビとの間で締結された契約の内容など)に従って個人データを処理します。
データ管理者であるお客様は、アドビに処理および保管を委任する個人データを決めます。 Adobe Experience Cloud ソリューションをご利用のお客様の場合は、お客様が使用しているソリューションと、お客様が Adobe Experience Cloud アカウントに送信するよう設定した情報に基づいて、アドビは個人データをホストします。 詳細な例については、Adobe Experience Cloud のプライバシーを参照してください。
Adobe Experience Cloudには、データコントローラー用にGDPR対応APIが用意されており、次のタスクを実行できます。
- Target に保存されているデータサブジェクト情報へのアクセス
- Target に保存されているデータサブジェクト情報の削除
詳しくは、次を参照してください。
カリフォルニア州消費者プライバシー法(CCPA)の概要
カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州の消費者に個人情報に関する新しい権利を提供し、カリフォルニア州でビジネスを行う特定の事業者に対してデータ保護の責任を課します。 CCPA は 2020年1月1日(PT)に施行されました。
概要としては、この法律は、カリフォルニアの人々に次の権利を含む、いくつかの主要な権利を提供します。
- 要求情報(データアクセス)
- 個人情報の販売のオプトアウト(サードパーティとの情報の共有をオプトアウトするために広く定義された権利)
- 個人情報を削除させる
- 個人情報が公開または販売されたことを知る
昨年のヨーロッパのプライバシー法(GDPR)の準備に忙しかったのであれば、これらの権利のいくつかは身近なものであり、行った作業の多くは再利用できます。
Adobe TargetとAdobe Experience Platformのオプトイン
Adobe Targetは、Adobe Experience Platformのタグを介して、オプトイン機能をサポートし、同意管理戦略をサポートします。 オプトイン機能を使用すると、Target タグを実行する方法とタイミングを制御できます。 Adobe Experience Platformでは、Target タグを事前承認するオプションもあります。 Target at.js ライブラリでオプトインを使用できるようにするには、targetGlobalSettingsを使用してoptinEnabled=true設定を追加する必要があります。 Adobe Experience Platformで、拡張機能のインストールビューのGDPR オプトインドロップダウンリストから「有効」を選択します。 詳しくは、Adobe Experience Platformを使用したTargetの実装を参照してください。
次のコードスニペットに、optinEnabled=true 設定を有効にする方法を示します。
window.targetGlobalSettings = {
optinEnabled: true
};
Adobe Experience Platformを使用してオプトインを管理する方法をお勧めします。 Adobe Experience Platformでは、Targetを実行する前に選択した要素を非表示にするための詳細な制御が可能です。この制御は、同意管理の一部として利用すると便利です。
オプトインを使用する場合に検討すべきシナリオには、以下の 3 つがあります。
-
Target タグはAdobe Experience Platform(または以前に承認されたデータ主体)を介して事前承認されています: Target タグは同意のために保持されず、期待どおりに機能しません。
-
Target タグが事前に承認されていない状態で、
bodyHidingEnabledが FALSE に設定されている: Target タグは、お客様から同意が得られるまで実行されません。 同意が得られるまでは、デフォルトコンテンツのみを使用できます。 同意が得られると Target が呼び出されて、パーソナライズされたコンテンツがデータ主体(訪問者)に対して提供されるようになります。 同意が得られるまではデフォルトコンテンツしか使用できないので、適切な戦略を採用することが重要です。例えば、スプラッシュページを使用してページの一部やパーソナライズされる可能性があるコンテンツを覆い隠すことなどを検討してください。 これにより、データ主体(訪問者)のエクスペリエンスの一貫性を維持することができます。 -
Target タグが事前に承認されていない状態で、
bodyHidingEnabledが TRUE に設定されている: Target タグは、お客様から同意が得られるまで実行されません。 同意が得られるまでは、デフォルトコンテンツのみを使用できます。 ただし、bodyHidingEnabledが true に設定されているので、Target タグが実行されるまで(またはデータ主体がオプトインを拒否するまで)ページ上で非表示になるコンテンツはbodyHiddenStyleによって決定されます。データ主体がオプトインを拒否した場合は、デフォルトコンテンツが表示されます。 デフォルトでは、bodyHiddenStyleがbody { opacity:0;}に設定されているので、HTML body タグは非表示になります。 以下に、アドビが推奨するページ設定を示します。この設定では、ページのコンテンツを 1 つのコンテナに配置し、同意管理ダイアログを別のコンテナに配置することで、同意管理ダイアログ以外のページ本文全体を非表示にしています。 このように Target を設定すると、ページコンテンツのコンテナのみが非表示になります。 詳しくは、Privacy Service の概要を参照してください。次に、3 つ目のシナリオで推奨されるページ設定を示します。
code language-none <html> <head> //visitor, at.js </head> <body> <div id = "consentManagerDialog"> //consent manager html dialog goes here </div> <div id="pageContent"> // page content goes here </div> </body> </html>bodyHiddenStyleは次のように設定されているものとします。code language-none #pageContent { opacity:0;}
プライバシーとデータ保護規制 FAQ
欧州連合(EU)の一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)および Target に特有のその他の国際的なプライバシー要件に関するよくある質問です。
これらの規制に対するAdobeのポリシーは何ですか?
Adobeは、データ処理者としての義務を既に果たしているか、現在履行しています。 アドビでは、認定済みのセキュリティとプライバシー制御の強固な基盤を計画的に保持しており、2018年5月の期限に先立って、製品の機能強化を行いました。 大規模法人のお客様には、これらの機能強化を実装し、必要な方針や手順を更新するという責任があります。
使用する各Adobe Experience Cloud ソリューションに対して、GDPRまたはCCPA リクエストを送信する必要がありますか?
いいえ、Adobeは、データ管理者がGDPRとCCPAの要件を満たすのに役立つ一元的な方法を提供します。 データ管理者は、各ソリューションで直接作業する必要はありません。
Adobe Targetを含むExperience Cloudソリューション全体でのGDPRおよびCCPAのリクエストはすべて、Adobeの一元的なAPI (現在はGDPR APIと呼ばれる)を介して行われます。 その後、APIはData ControllerのExperience Cloud ソリューションスイート全体でリクエストを処理します。
Adobeでは、お客様がデータ主体/ユーザーのリクエストに応じて削除できる情報は何ですか?
個々の訪問者に関する Target 内の情報は、Target 訪問者プロファイルに格納されています。 Targetを使用すると、顧客は訪問者プロファイルのIDに関連付けられたすべてのデータを削除できます。 プロファイルデータターゲットストアの例については、訪問者プロファイル を参照してください。
個人を特定しない集約化されたあるいは匿名化されたデータ(レポートデータなど)または特定の個人に関連しないデータ(コンテンツデータなど)は、ユーザーからの削除要請の範疇外となります。
90 日間非アクティブであった Target の訪問者プロファイルは、特に作業をおこなわなくてもデフォルト設定で削除されます。
お客様がTargetに対するGDPRまたはCCPAのアクセスおよび削除リクエストを完了するのに役立つIDは何ですか?
顧客プロファイルを見つけるために Target がサポートするのは次の ID タイプです。
Targetは同意管理にどのように対応していますか?
GDPR および CCPA では、いつ同意の取得が必要となるかに関する変更はありませんが、同意を得る方法が変更されます。 それぞれのお客様の同意戦略は、データ収集と利用の手法およびプライバシーポリシーに左右されます。 同意管理は、GDPRおよびCCPAのTargetではサポートされていないため、Adobe Targetを介して達成しないでください。
アドビは現在、同意管理ソリューションは提供していませんが、市場では新たな要件のいくつかに対処するための様々なツールが開発されています。 同意管理者を含む、プライバシーツール全般について詳しくは、International Association of Privacy Professionals(iapp)Web サイトの 2017 Privacy Tech Vendor Report を参照してください。
Adobe Targetでは、Adobe Experience Platformを通じてオプトイン機能をサポートし、同意管理戦略をサポートします。 オプトイン機能を使用すると、Target タグを実行する方法とタイミングを制御できます。 Adobe Experience Platformでは、Target タグを事前承認するオプションもあります。 Adobe Experience Platformを使用してオプトインを管理する方法をお勧めします。 Adobe Experience Platformでは、Targetを実行する前にページの一部の要素を非表示にするための詳細な制御が可能です。これは、同意戦略の一部として使用すると便利です。
GDPR、CCPA、Adobe Experience Platformについて詳しくは、Adobe Privacy JavaScript LibraryおよびGDPRを参照してください。 また、前述の Adobe Target と Adobe Experience Platform のオプトインの節も参照してください。
AdobePrivacy.js は情報を GDPR API に送信しますか?
AdobePrivacy.jsは not がこの情報をAPIに送信します。 これは、お客様が行う必要があります。 このライブラリは、特定の訪問者のブラウザーに保存されている ID のみを提供します。
removeIdentities は何を削除するのですか?
removeIdentities が削除するのは、ブラウザーからの識別子 のみ で、Adobe ソリューションが実装したものかどうかによって決まります。
例えば、TargetはIDを保存するCookieを削除しますが、Adobe Audience Manager(AAM)は、サードパーティのCookieに保存されているDemdex IDを削除しません。
TargetのGDPRまたはCCPAのリクエストにはどのような情報を含める必要がありますか?
Central Privacy Serviceの要件に加えて、Targetの有効なGDPRまたはCCPA メッセージには次のものが含まれます。
{
"jobId":"12345AD43E",
...
"products":["Target",...],
"companyContexts":[
{
"namespace":"imsOrgID",
"value":"123456789@AdobeOrg"
},
...
],
"userContexts":[
{
"namespace":"ECID",
"namespaceId":4,
"type":"standard",
"value":"53792210477379708453829363835595041181"
}
And/OR:
{
"namespace":"TNTID",
"namespaceId":9,
"type":"standard",
"value":"1234567890"
}
And/OR:
{
"namespace":"THIRDPARTYID",
"type":"target",
"value":"thirdPartyIdName"
},
...
]
}
GDPR API を介した Target からの想定される応答には、どのような種類がありますか?
一部の会社は複数の IMS ID を持っています。 TargetがプロビジョニングされているIMS IDを送信します。
この結果は、Targetでサポートされていない名前空間ID タイプを送信しようとした場合にも返されます(サポートされているIDについては上記を参照)。
アクセス要求のために Azure にアップロード中にエラーが発生しました。
Target は、アクセスの要請に対して GDPR API にどのような応答を送信しますか?
データアクセスの要請への応答には、該当する訪問者の Target プロファイルの概要が含まれます。 このリターンはExperience Cloud GDPR APIに送信され、その後、データコントローラーに応答が送信されます。
Target のアクセス API 応答は次の例のようになります。
{
"jobId":"12345AD43E",
...
"products":["Target",...],
"companyContexts":[
{
"namespace":"imsOrgID",
"value":"123456789@AdobeOrg"
},
...
],
"userContexts":[
{
~"namespace":"ECID",
"namespaceId":4,
"type":"standard",
"value":"53792210477379708453829363835595041181"
}
And/OR:
{
~"namespace":"tntId",
"namespaceId":9,
"type":"standard",
"value":"1234567890"
}
And/OR:
{
"namespace":"thirdPartyId",
"type":"target",
"value":"thirdPartyIdName"
},
...
]
}
プロファイルを識別するために複数の値が提示される場合、有効な識別子それぞれに 1 つのプロファイルのファイルがあるということです。 1つ以上のプロファイルファイルは、GDPR Central APIを介して、Target Profile JSON応答のフォーマットで中央GDPR Azure Blobに送信されます。
サンプルの Target プロファイル JSON は次の例のようになります。
{"profileAttributes":
"Sample_Parameter":{"value":"Gold Loyalty Status","modifiedAt":"2018-04-11T21:44:14.000-04:00"},
"user.ReturnTimeOfDay":{"value":"44.0","modifiedAt":"2018-04-11T21:44:14.000-04:00"},
"firstSessionStart":{"value":"1523497450602","modifiedAt":"2018-04-11T21:44:10.000-04:00"},
"user.sessionCountScript":{"value":"1","modifiedAt":"2018-04-11T21:44:14.000-04:00"}
}
}
下の表は、上の例のプロファイル JSON フィールドの説明を含みます。
Target は IP の不明化に対応していますか?
GDPRまたはCCPAの実装戦略の一部として使用することを選択した場合、TargetはIP難読化をサポートします。 詳しくは、プライバシーを参照してください。
データがサードパーティに共有または販売されるのを防ぐために何らかの処理を行う必要がありますか?
Targetでは、顧客がTargetからサードパーティに直接データを共有または販売することはできないため、Targetに対する販売のオプトアウトはありません。