アイデンティティ解決が実際に行うこと

アイデンティティ解決は、パブリッシャーのデータソースと、パブリッシャーの計測・パーソナライズツールとの間のレイヤーです。ファーストパーティクッキー、サーバーサイドセッションID、ログインセッションからのハッシュ化されたメールアドレス、パブリッシャーアプリからのモバイル広告ID、スマートTV端末識別子、そしてIPアドレス、ユーザーエージェント、行動的フィンガープリントなどの確率的シグナルの集合体といった入力を受け取り、パブリッシャーが運営するすべての媒体にわたって一人の消費者を表す安定した内部識別子という出力を生成します。

決定論的スティッチング

最もクリーンな方法は決定論的スティッチングです：消費者が2つの媒体でログインすると、パブリッシャーは2つのデバイスが同一人物のものであることを把握し、識別子グラフを統合します。メールマガジン購読者、登録読者、有料購読者は自然に決定論的スティッチングを生み出します。データの信頼性は高く、法的根拠は明確であり（パブリッシャーは直接的な関係を持っている）、一方の媒体で行われた同意決定は確率的な推測なしに他方へ伝播できます。

確率的スティッチング

より困難な方法は確率的スティッチングです：認証済みリンクなしに、2つのデバイスが同一人物のものであると推測することです。シグナルには、IPアドレスの共起、行動の類似性、時間帯パターン、地理的クラスタリング、そしてこれらすべてを組み合わせた独自モデルがあります。確率的スティッチングはパブリッシャーにはるかに大きなリーチを提供します——ほとんどの読者はほとんどの訪問でログアウト状態にあります——しかし法的根拠はずっと弱く、EU規制当局は明示的な同意なしに動作する確率的アイデンティティレイヤーに対してますます積極的に介入しています。

ベンダー提供のアイデンティティグラフ

3番目の方法は、ベンダーからアイデンティティグラフを購入またはライセンス取得することです——LiveRamp、ID5、The Trade DeskのUnified ID 2.0、またはその他多くの小規模プロバイダーなど。ベンダーがグラフを管理し、パブリッシャーはハッシュ化された識別子を提供し、ベンダーはパブリッシャーがダウンストリームで使用できる統合された識別子を返します。ここでの法的立場は混在しています：それはベンダー自身のデータ起源と契約条件に完全に依存しており、2025年を通じたいくつかの大手アイデンティティベンダーに対するEUの執行措置により、パブリッシャーは統合するグラフの選択においてより慎重になっています。

クロスデバイス解決が提起する同意の問題

アイデンティティ解決が提起する難しい問題は、スティッチング行為そのものが同意を必要とするかどうかです。これは、統合された識別子が供給するダウンストリームの広告やパーソナライズとは別の問題です。

スティッチング自体

GDPRの下では、アイデンティティ解決は個人データの処理です。必要な法的根拠は目的によって異なります：不正防止や基本サービス運用については、正当な利益が適用される場合がありますが、広告、パーソナライズ、またはオーディエンス拡張については同意が必要です。ePrivacyは、ユーザーのデバイスで読み取られるクッキーやデバイス識別子に対して別のレイヤーを追加しており、クッキーや識別子の読み取りには、パブリッシャーがその後結果をどう処理するかに関わらず同意が必要です。

同意の伝播

より興味深い問題は、一方のデバイスで行われた同意決定がどのようにもう一方に伝播するかということです。読者がラップトップで広告クッキーを拒否し、ラップトップの識別子が決定論的なメールマッチングによってスマートフォンの識別子にリンクされている場合、スマートフォンは次回の訪問時にラップトップの拒否を尊重しなければなりませんか？European Data Protection Boardが公表したガイダンスは、答えがイエスであることを明確にしています——同意決定はデバイスではなくデータ主体に紐付くものであり、パブリッシャーがデータ主体を識別できる統合アイデンティティグラフは、パブリッシャーがその決定を尊重することを義務付けるグラフでもあります。

撤回の経路

撤回も伝播する必要があります。ラップトップでパブリッシャーのアカウント設定にログインして「すべての広告を拒否」をクリックした読者は、スマートフォンアプリを開いたときも同じ状態が反映されていなければなりません——たとえスマートフォンのアプリセッションが匿名で異なるクッキーを使用していても。CMPとアイデンティティレイヤーは状態を共有しなければならず、その伝播はほぼリアルタイムでなければなりません——1週間後に尊重される撤回は尊重されていません。

アーキテクチャパターン

クロスデバイス対応のCMPとアイデンティティスタックは、2026年までに成熟したパブリッシャーの間で定着した少数の繰り返し可能な要素を持っています。

唯一の真実のソース

同意状態はCMPベンダーのデータベースではなく、パブリッシャー所有の同意サービスに存在します。このサービスは最新の同意決定をトリガーしたクッキーではなく、解決された識別子をキーとしており、すべての同意対応ダウンストリームサービスがこの唯一のソースから読み取ります。CMPはすべての同意変更時にサービスに書き込み、サービスは広告スタックとパーソナライズレイヤーがすべてのページロードとすべてのイベントで呼び出せるリアルタイムAPIを提供します。

アイデンティティレイヤーの同意インデックス

アイデンティティ解決レイヤーは双方向インデックスを維持します：すべてのデバイス識別子が解決されたアイデンティティにマッピングされ、すべての解決されたアイデンティティが接触したデバイス識別子のセットにマッピングされ直します。任意のデバイスで同意変更が発生すると、インデックスによりパブリッシャーは同一アイデンティティが使用した他のすべてのデバイスに、適切なクールダウンと伝播ログとともに変更を展開できます。

媒体ごとの同意UI

各デバイスに表示される同意UIは、クロスデバイスの状態を反映するべきです。ラップトップで同意した読者は、アイデンティティスティッチングが成功していれば、スマートフォンで新しいバナーを見るべきではありません。これまで見たことのない読者は、デフォルト拒否設定のバナーを見るべきです。CMPはアイデンティティレイヤーの状態を読み取り、それに応じてUIをレンダリングできる必要があります——これは実際のエンジニアリング統合ですが、一度限りの投資です。

特殊ケース

いくつかの媒体とコンテキストは、アーキテクチャが明示的に対処しなければならないエッジケースを生み出します。

コネクテッドTVとオーバー・ザ・トップアプリ

スマートTVとOTTアプリのコンテキストは、デバイスが家族内で共有されることが多いため異例です——複数の人が同じTVを使いますが、スマートフォンにパブリッシャーのアプリアカウントを持っているのはその中の一人だけです。スマートフォンからTVへの決定論的スティッチングは信頼性が低く、家族共有デバイスでの確率的スティッチングは同意の混乱を招きます。準拠したパターンは、TVアプリをデフォルトで未認証の媒体として扱い、最初の起動時に独自の同意バナーを表示し、ユーザーが明示的なリンクアクションを実行した場合にのみ既知のアカウントと連携することです。

シークレットモードとプライベートブラウジング

シークレットセッションは定義上、アイデンティティ解決を拒否します。CMPはセッションを毎回まったく新しい訪問者として扱い、デフォルト拒否のバナーをレンダリングし、たとえIPアドレスと行動パターンが確率的マッチを生成したとしても、セッションを既知の識別子に連携しようとすべきではありません。ユーザーは隔離を望むシグナルを送っており、パブリッシャーはそのシグナルを尊重します。

子ども向け媒体

未成年者が含まれる可能性のある媒体——子ども向けコンテンツセクション、家族向けアプリ、18歳未満と自己申告しているアカウント——は、デフォルトでアイデンティティ解決を一切行わず、広告とパーソナライズに対して拒否をデフォルトに設定すべきです。DSAの未成年者ターゲティング禁止と米国でのCOPPAの制限は絶対的であり、家族の大人のアカウントからのクロスデバイス伝播より優先されます。

規制指摘を引き起こす一般的なクロスデバイスの失敗

規制指摘を生み出すクロスデバイス実装は、EUの執行決定が具体的に示したパターンで失敗する傾向があります。確率的アイデンティティグラフが明示的な同意ゲートなしに動作しており、確率的マッチングはGDPRの閾値以下であるという理論に基づいています——これは最近の判決では支持されていない立場です。一方のデバイスでの撤回経路がバッチプロセスを通じてもう一方に伝播するのに1週間かかり、ユーザーの意向が尊重されない窓が生まれます。ベンダーのアイデンティティグラフ統合が、Data Protection Impact Assessmentなし、かつパブリッシャーの適法な根拠をベンダーの処理に拡張する契約条項なしで稼働します。コネクテッドTVアプリが、明示的なユーザーアクションなしに家族の主要なスマートフォンアカウントに決定論的に連携し、一人のユーザーの同意決定を別のユーザーにインポートします。CMPがクロスデバイスの状態を反映しないバナーをレンダリングし、別の媒体ですでに同意した帰還読者を苛立たせ、EDPBが2025年を通じて追求してきた同意疲労の指摘を生み出します。

まとめ

クロスデバイス同意は技術的な問題でも法的な問題でもありません——それは両者が交わる場所です。パブリッシャーがオーディエンス拡張とフリークエンシーキャッピングを機能させるために構築したアイデンティティ解決レイヤーは、同意と撤回をすべての媒体で一貫させる義務も生み出します。アーキテクチャは2026年までに確立されています：解決されたアイデンティティをキーとするパブリッシャー所有の同意サービス、アイデンティティレイヤーの双方向インデックス、ほぼリアルタイムの伝播、クロスデバイスの状態を反映した媒体ごとの同意UI、そして家族共有、シークレット、未成年のエッジケースに対する明示的な対処。これらはどれも劇的なエンジニアリングではありません。すべては運用上の具体的な事項です。サードパーティクッキーの廃止サイクル中にこれを構築したパブリッシャーは、今やスマートフォン、ラップトップ、TVにわたってクリーンに運用しています。クロスデバイスを同意レイヤーなしの計測アップグレードとして扱ったパブリッシャーは、2026年にEDPBに対して、ラップトップでの読者の撤回がスマートTVに届くまで翌週の火曜日まで何故かかったのかを説明することになっています。