DSAが対象とする範囲と適用対象者

DSAは指令ではなく規則であり、国内法への転換を必要とせず、すべてのEU加盟国において直接効力を持ちます。2023年8月には超大規模オンラインプラットフォームおよび検索エンジンに対して完全に発効し、2024年2月にはその他すべての事業者に対して発効しました。つまり、パブリッシャーはすでに2年間の運営経験を積んでいます。同法は規模とプラットフォームの種類に基づいて段階的な義務を設けています：零細・小規模企業はほぼ免除、仲介サービスには基本的義務、ホスティングプロバイダーにはコンテンツモデレーション義務、オンラインプラットフォームには追加的な透明性規則、そして超大規模オンラインプラットフォーム（EU月間アクティブユーザー4,500万人超）には最も厳格な義務（システミックリスク評価と外部監査を含む）が課されます。

大多数のパブリッシャーの位置づけ

パブリッシャーの大多数はオンラインプラットフォームのカテゴリに該当します—ユーザー生成コンテンツ（コメント、フォーラム投稿、読者の寄稿）をホスティングし、広告を配信し、アルゴリズムフィードや関連記事モジュールを通じてコンテンツを推薦しています。オンラインプラットフォーム層こそ、DSAが運営上重要となる場所です：未成年者向けターゲティング広告の制限、広告配信とターゲティングパラメータに関する透明性義務、レコメンダーシステムの説明とオプトアウト、違法コンテンツに対する通知・対処制度。超大規模オンラインプラットフォームの閾値を超えるパブリッシャーには、システミックリスク評価、外部監査人の義務、そしてCommissionが承認した研究者へのプラットフォームデータへのアクセス提供要件が加わります。

地理的テスト

DSAは域外に適用されます。欧州のビジターを持つ米国のパブリッシャーは、EUユーザーがサービスと対話できる時点で適用範囲に入ります—これは実質的にすべての公開ウェブサイトを対象とします。テストはパブリッシャーの所在地ではなく、サービスがEU受信者に提供されているかどうかです。GDPRと同様に、これはデフォルトでグローバルな出版業界のほとんどを対象とします。

ターゲティング広告の制限

クッキー同意と広告運用において最も重要なDSA層はArticle 26であり、パブリッシャーが設計上配慮しなければならない2つの具体的な方法でターゲティング広告を制限しています。

未成年者へのターゲティング禁止

DSAは、個人データを使用したプロファイリングに基づく未成年者へのターゲティング広告を禁止しています。この禁止は、パブリッシャーが受信者が未成年者であることを知っている、または合理的に知るべき場合に適用されます—実際には、パブリッシャーが合理的に行動できるあらゆるシグナル（自己申告した年齢、ペアレンタルコントロールシグナル、若い視聴者を強く示すコンテンツカテゴリ、パブリッシャー自身のユーザーシステムからのアカウントフラグ）が対象となります。CMPはこの制限をコード化する必要があります：未成年ユーザーがマーケティングクッキーに同意しても、ターゲティング広告パスはデフォルトでオフにしなければなりません。代替手段はコンテキスト広告—ユーザープロファイルではなくページコンテンツに基づく広告選択—であり、現在ほとんどの主要SSPおよび広告サーバーがファーストクラスの配信モードとして提供しています。

機密データの禁止

DSAはまた、GDPR Article 9で定義された個人データの特別カテゴリ（人種、宗教、政治的見解、労働組合の加盟、健康、性生活、性的指向、生体認証データ、遺伝的データ）を使用したプロファイリングに基づくターゲティング広告も禁止しています。この禁止は絶対的です：同意があってもこれを解除することはできません。これらの分野に触れるコンテンツカテゴリを運営するパブリッシャー—健康系パブリッシャー、宗教系メディア、政治ニュースサイト、LGBTQ+出版物—は、ユーザーがすべてのマーケティングカテゴリに同意している場合でも、広告テックスタックがこのデータから導出されたプロファイルシグナルを広告主に渡さないよう確保しなければなりません。

CMPへの運営上の影響

CMPはDSAの制限を、同意状態の切り替えではなく、ハードゲートとしてコード化する必要があります。「すべてのカテゴリが承認されました」と記載された同意受領書は、未成年者またはArticle 9データに基づくターゲティング広告を許可するものではありません。最も明確な実装は、同意状態、未成年シグナル、ページの機密コンテンツ分類を、CMPと広告テックベンダーの間に配置された単一の決定関数に通すものであり、DSAゲートのいずれかが作動するたびにコンテキスト配信にデフォルト設定されます。

レコメンダーシステムのオプトアウト

DSAのArticle 38は、レコメンダーシステムを使用するオンラインプラットフォーム—フィードにおけるアルゴリズムコンテンツランキング、関連記事モジュール、動画の次のキュー—に対し、これらのシステムの主なパラメータを説明し、プロファイリングに基づかない少なくとも1つのオプションをユーザーに提供することを義務付けています。パーソナライズされたコンテンツ発見を運営するパブリッシャーは、プロファイリングを唯一利用可能なモードにすることはできません。

プロファイリングなしモードの外観

プロファイリングなしモードは通常、時系列フィード、人気ランクフィード、または個々のユーザーの行動に基づいてパーソナライズしない編集キュレーションフィードです。ユーザーは、アカウント設定の奥深くに埋もれたものではなく、明確に見えるコントロールを通じて切り替えられなければなりません。選択は将来のセッションのために記憶される必要があります。パブリッシャーはレコメンダーシステムコントロールをファーストクラスの同意UXの一部として扱うべきであり、多くの場合、クッキー設定を処理するのと同じCMPインターフェイスを通じて提供されます。

ランキングパラメータの透明性

プラットフォームは、レコメンダーシステムが使用する主なパラメータ—新鮮さ、人気、過去の行動との類似性、編集上のウェイト、広告の関連性—を平易な言葉で公開しなければなりません。通常、プライバシーポリシーのセクションまたは専用の透明性ページとして公開され、規制当局がその説明を実際のプラットフォームの動作に照らして検証できる程度に具体的である必要があります。「あなたが気に入りそうなコンテンツを推薦するために機械学習を使用しています」のような曖昧な表現は基準を満たしません。

DSAがGDPRおよびePrivacyの上に重なる方法

DSAはGDPRやePrivacyを置き換えるものではなく、その上にプラットフォームレベルのルールを追加するものです。相互作用はほとんどが付加的ですが、2つの特定の箇所では同意だけが許可できるものを制限します。

同意はDSAの禁止を覆すことができない

未成年者ターゲティング禁止とArticle 9機密データ禁止は絶対的です。ユーザーはどちらの場合もターゲティング広告の受信に同意することはできません。これは、歴史的に同意を普遍的な解除鍵として扱ってきたCMPにとって重要な設計上の制約です—DSAの下では、同意状態は必要条件ですが十分条件ではなく、CMPアーキテクチャはそれを反映しなければなりません。

透明性義務はGDPRの義務の上に重なる

DSAの広告透明性義務—広告を明確に識別すること、広告主を明示すること、特定の広告配信に使用された主なターゲティングパラメータを説明すること—はGDPRの透明性要件とは独立しており、広告クリエイティブ自体で満たされなければなりません。ほとんどのパブリッシャーは、配信されたクリエイティブにDSA広告マーカーブロックを自動的に挿入する広告サーバーテンプレートを通じてこれを処理しています。

実践的なCMPおよび広告スタックの変更

DSA対応のCMPと広告スタックには、2026年までに主要な商業プラットフォーム全体で定着した少数の反復可能な要素があります。

未成年シグナルの配管

CMPはパブリッシャーのユーザーアカウントシステム、ページのコンテンツ分類、またはペアレンタルコントロール層からの未成年シグナルを受け入れ、そのシグナルを同意決定に伝播させる必要があります。ほとんどのCMPは現在、広告スタックが同意状態とともに読み取る同意受領書の「minor」属性としてこれを提供しています。シグナルはGoogle Consent Mode v2、IAB TCF v2.3文字列、それをサポートするベンダー固有の統合を通じてダウンストリームに流れます。

機密コンテンツの分類

パブリッシャーはすべてのページでコンテンツ分類パスを実行し、DSAの機密データカテゴリにマッピングする必要があります。分類は、構造化された分類法を持つ編集サイトでは手動で、NLPベースのコンテンツタグ付けを持つ大量サイトでは自動化することができます。分類は広告スタックのコンテキストフォールバック決定に情報を提供します：機密カテゴリでタグ付けされたページは、同意状態に関係なく、コンテキスト広告のみにルーティングされます。

レコメンダーシステムトグル

レコメンダーシステムのオプトアウトは、同意バナーの設定ビューと同じ場所にある必要があります—ほとんどのCMPはこの目的のために汎用的な「プラットフォームコントロール」モジュールを提供しています。トグルはユーザーのセッションレベルの設定を変更し、ユーザーが認証されている場合はアカウントレベルの設定も変更します。ダウンストリームのレコメンダーサービスはすべてのランキング呼び出しで設定を読み取ります。

調査結果を引き起こす一般的なDSAの誤り

2024年と2025年を通じたDSAの執行決定は、Commissionの調査につながるパターンの明確なリストを生み出しました。CMPはパブリッシャー自身の年齢シグナルを確認することなく、すべてのユーザーに対してデフォルトで未成年ターゲティングフラグをfalseに設定しています。レコメンダーシステムのオプトアウトは、同意バナーの近くに表示されるのではなく、アカウント設定の3クリック深くに埋もれています。広告クリエイティブの広告マーカーブロックはディスプレイ広告に追加されていますが、動画クリエイティブでは見落とされています。機密コンテンツの分類は健康や宗教などの明らかなカテゴリをカバーしていますが、それでもArticle 9の政治的見解の保護の下で資格を持つ政治ニュースサイトを見落としています。超大規模オンラインプラットフォーム層はシステミックリスク評価を公表していますが、DSAが要求する年次の生きた文書ではなく、一度限りの演習として扱っています。

結論

DSAはGDPR以来、パブリッシャーがすでに同意を収集した視聴者の注目で何ができるかを実質的に再形成する最初の主要なEU規制です。未成年者ターゲティングとArticle 9の禁止は絶対的な設計上の制約であり、同意オプションではありません。レコメンダーシステムのオプトアウトは、クッキーバナーの隣に位置するファーストクラスのユーザーコントロールです。広告配信の透明性義務には、配信されるすべてのクリエイティブに適切なマーカーを自動的に挿入する広告サーバーテンプレートが必要です。これらはいずれもオプションではなく、執行書が届いてから急いで実装することもできません。2023〜2024年のフェーズイン期間中にCMPと広告スタックにDSAゲートを組み込んだパブリッシャーは現在クリーンに運営しています；DSAを文書化演習として扱ったパブリッシャーは2026年をCommissionの執行キューで過ごしています。作業は中程度であり、アーキテクチャは確立されており、省略の結果はもはや仮説ではありません。