MSPAとは何か——そして何ではないか

MSPAはIABが発行した、契約ベースの民間フレームワークです。法律ではなく、州法を置き換えるものでもありません。その代わり、参加者——パブリッシャー、エージェンシー、広告ネットワーク、SSP、DSP、データプロバイダー——が署名する多者間協定であり、プログラマティック広告を通じた個人情報の流れについて一貫した法的主張を行えるようにするものです。チェーン内の全員が同じ契約に署名すれば、下流のベンダーは1つのビッドリクエストを処理するために50種類もの二者間データ処理契約を交渉する必要がなくなります。

MSPAは同時に3つのものと考えることができます：

• 契約——署名者がデータを別の署名者に渡す際に自動的に下流に流れます。
• 語彙——GPPでエンコードされた文字列を使って、販売・共有・ターゲット広告・センシティブデータ処理へのオプトアウトを含むユーザーの選択を表現します。
• リスク配分フレームワーク——各署名者をCovered Business、Service Provider/Processor、Third Partyの3つの役割のいずれかに割り当て、それぞれに付随する義務を定めます。

MSPAがではないもの：プライバシーポリシーの代替、直接的なユーザー同意が必要な場合の代替、または特定の州法への準拠保証。正しく使用すれば、複数の州法への準拠を運用上実現可能にするツールです。誤って使用した場合——たとえばオプトアウト後もデータ共有を続けながら参加を示すシグナルを送る場合——責任を軽減するどころか拡大させます。

誰が気にすべきか：3つのMSPA役割

何かに署名する前に、実際にどの役割を担っているかを確認してください。ほとんどのパブリッシャーは、データフローによって複数の帽子をかぶっていることに驚かされます。

Covered Business

ユーザーに関する個人情報の処理目的と手段を決定している場合——通常はユーザーが訪れるウェブサイトやアプリを運営するパブリッシャー——あなたはCovered Businessです。Covered Businessとして、同意の収集、通知の表示、オプトアウトの遵守、下流ベンダーが依存するGPPシグナルの設定に責任を負います。ユーザー向けの負担はあなたにあります。

Service ProviderまたはProcessor

契約に基づいてCovered Businessのために、限られた許可された目的のためにのみ個人情報を処理する場合、あなたはService Providerです。ほとんどの分析ベンダー、ホスティングプロバイダー、コンセント管理プラットフォームはこのカテゴリで運営されています。MSPAは制限を課します：販売禁止、自己のためのクロスコンテキスト行動広告禁止、厳密に定義された保持・削除ルール。

Third Party

Covered Businessから個人情報を受け取り、自分自身の目的に使用する場合、あなたはThird Partyです——ほとんどのSSP、DSP、ID ベンダー、データブローカーがここに該当します。Third Partyには最も重い契約上の義務があり、ユーザー権利の直接的な処理や、自社パートナーとデータを共有する際の下流フロースルー義務が含まれます。

MSPAとGlobal Privacy Platform（GPP）

MSPAは真空の中に存在しているわけではありません。これは契約層であり、GPPは技術的なシグナリング層です。IAB Tech LabのGlobal Privacy Platformは、ユーザーの選択をOpenRTBプロトコルを通じてビッドリクエストとともに伝わる単一の文字列にエンコードします。米国のシグナリングでは、GPPは包括的なプライバシー法を持つ各州のセクション文字列を運搬します——たとえばUSCA（カリフォルニア）、USCO（コロラド）、USVA（バージニア）、USCT（コネチカット）、USUT（ユタ）、そして専用セクションのない州向けのUS National文字列です。

MSPAは、カバレッジを主張するためにそれらのGPPセクション内でどのフィールドを設定するかをCMPに指示します。パブリッシャーが確認・設定する最も重要なフィールドには以下が含まれます：

• MspaCoveredTransaction ——パブリッシャーがビッドリクエストがMSPAフレームワークの対象であると主張する場合、Yesに設定します。
• MspaOptOutOptionMode ——MSPAの透明性ルールに従って、ユーザーに明確なオプトアウト選択肢が提供されたかどうかを示します。
• MspaServiceProviderMode ——下流ベンダーがデータをサービスプロバイダー専用として扱わなければならない場合に設定します。
• SaleOptOut、SharingOptOut、TargetedAdvertisingOptOut ——ビッダーがインプレッションに対して何ができるかを決定するために読む細粒度の同意フラグ。
• SensitiveDataProcessing ——人種的出自、宗教的信仰、健康、性的指向、市民権、精確な位置情報、その他州法で定義されたセンシティブカテゴリに関するユーザーの選択を示す多要素配列。

CMPがMspaCoveredTransaction = Yesを設定しても、パブリッシャーが実際にMSPA契約に署名していない場合、下流の署名者が依存することになる虚偽の主張をしたことになります。これは契約紛争への、そして州によっては規制当局への申し立てへの近道です。

センシティブデータ：ほとんどのパブリッシャーが見落とす落とし穴

カリフォルニア以降に制定されたすべての包括的な米国州プライバシー法はセンシティブ個人情報の定義を拡大しており、MSPAはこれらを統一されたGPPフィールドに組み込んでいます。カテゴリには通常以下が含まれます：

• 政府発行の識別子（社会保障番号、運転免許証、パスポート）。
• アカウント認証情報と財務情報。
• 精確な位置情報——一般的に533メートル未満。
• 人種的または民族的出自、宗教的信仰、精神的または身体的健康診断。
• 性的生活と性的指向。
• 市民権と移民ステータス。
• 個人を特定するために使用される遺伝的・生体認証データ。
• 13歳未満の既知の子どもに関するデータ——州によっては16歳未満に追加の保護が適用。

一部の州はセンシティブデータの処理に対してオプトイン同意を求め、他の州はオプトアウト権付きの処理を認めています。MSPAのGPPエンコーディングはいずれも表現できますが、CMPはユーザーの州に基づいてどちらを求めるべきかを知る必要があります。センシティブデータの誤分類——たとえば健康コンテンツの閲覧を通常の行動データとして扱うこと——は、2024〜2025年の執行措置において州司法長官が指摘した最も一般的な失敗パターンです。

MSPA対応のコンセントフローの構築

サイトやアプリへのMSPAの実装は、法務、エンジニアリング、広告運用にまたがる調整問題です。作業は大まかに5つのワークストリームに分かれます。

1. MSPAに署名し、署名者ステータスを維持する

MSPAは法律顧問がレビューし、締結する必要がある実際の契約書です。担う役割、事業を行う米国の州、処理するデータのカテゴリを宣言します。毎年更新し、役割や管轄区域が変わるたびにIAB Tech Labの署名者ポータルを更新してください。

2. 多州間ロジックのためにCMPを設定する

単一のCCPA専用バナーはもはや不十分です。CMPはユーザーの州を検出し——通常はプライバシーフォールバックを備えたIP位置情報で——その管轄区域に適した通知、リンク、オプトアウトコントロールを表示する必要があります。FlexyConsentやその他のGoogleが認定した最新CMPは、州ごとに正しいGPPセクション文字列にマッピングする多州間テンプレートを搭載しています。

3. GPP文字列を広告スタックに組み込む

GPP文字列は、米国ユーザーから発信されるすべてのOpenRTBビッドリクエストに挿入する必要があります。Google Ad Managerユーザーにとっては、ネットワーク設定でGPPサポートを有効にすることを意味します。Prebidユーザーにとっては、gppControl_usnatと州別モジュールをインストールし、consentManagementアダプターがエンコードされた文字列を転送していることを確認することを意味します。IAB Tech LabのGPPデコーダーを使用して、CMPからビッドリクエストまでのラウンドトリップを検証してください。

4. Global Privacy Control（GPC）シグナルを遵守する

ほとんどの州法——カリフォルニア、コロラド、コネチカット、および増え続けるリスト——は、ブラウザレベルのGPCシグナルを有効なオプトアウトとして遵守することを要求しています。MSPAは署名者がGPCを検出し、ユーザーがバナーに触れる前でも、それに応じてSaleOptOut、SharingOptOut、TargetedAdvertisingOptOutフィールドを事前設定することを期待しています。CMPがGPCを検出して対応できない場合、MSPA加入に関わらず準拠していないことになります。

5. 下流ベンダーを監査する

MSPAの下流フローロジックは、ベンダーも署名者である場合にのみ機能します。SSP、DSP、またはデータパートナーにデータを送信する前に、IAB Tech Labポータルで署名者ステータスを確認してください。署名者でないベンダーは、米国トラフィックに対して広告スタックから削除するか、MSPAの条件を反映した別の二者間DPAでカバーする必要があります。

よくある実装の落とし穴

パブリッシャー監査でいくつかの失敗パターンが繰り返し見受けられます：

• 署名なしでMSPAカバレッジをシグナリングする。 パブリッシャーの法的主体がMSPAを締結していない状態でGPP文字列にMspaCoveredTransaction = Yesを設定することで、シグナルに依存した下流署名者からの虚偽表示請求にパブリッシャーをさらすことになります。
• テキサス、オレゴン、モンタナを忘れる。 元の5州の状況向けに設定されたパブリッシャーは、2024年と2025年に施行された法律を見落とします。それぞれに独自のオプトアウトトリガーがあります。MSPAはそれらをカバーしますが、CMPの州検出ロジックにそれらが含まれている場合のみです。
• ニュースやライフスタイルコンテンツにおけるセンシティブデータシグナルを無視する。 健康、宗教、またはLGBTQ関連の記事の読者は、暗黙的にセンシティブデータを処理している可能性があります。コンテンツ監査を実施し、CMPでカテゴリレベルのオーバーライドを設定してください。
• GPCを任意のものとして扱う。 カリフォルニアの規制当局は2024年に、GPCを無視することは違反ごとの侵害であると明確にしました。MSPAはこれからあなたを守りません——GPCを遵守するかどうかはあなた次第です。
• エッジにキャッシュされた古いGPP文字列。 ページのCDNまたはサービスワーカーキャッシュにより、以前のセッションの古いGPP文字列がユーザーに提供されることがあります。コンセントエンドポイントのキャッシュを無効にし、コンセントが変更された際の新規取得ステップを追加してください。

MSPAが広告収益に与える影響

MSPAを正しく実装したパブリッシャーは、通常、わずかな短期収益の落ち込みに続いて安定化を経験します。一方、杜撰な実装はビッドを過度に制限するか、パブリッシャーを執行リスクにさらします。収益に影響を与える変数：

• オプトアウト率 ——目立つオプトアウトリンクがある州では、通常5〜15%のユーザーが販売または共有からオプトアウトします。オプトアウトされたインプレッションのビッド価格は、行動ターゲティングが利用できないため、通常30〜60%低下します。
• センシティブコンテンツの分類 ——通常のコンテンツをセンシティブとして誤分類すると需要が崩壊します。保守的かつカテゴリ精密に行ってください。
• ヘッダービディングパートナーミックス ——米国トラフィックに対して無効にしなければならない非MSPA署名者パートナーはオークションを縮小します。薄い需要で運営するのではなく、署名者に置き換えてください。
• サーバーサイドタギング ——GPP文字列を読んでタグを条件付きで発火するサーバーサイドコンテナは、アナリティクスとコンセントを同期させる最もクリーンな方法です。

次に来るもの：2026年以降

MSPAは生きた協定です。新しい州法、州司法長官のガイダンス、連邦レベルの提案が状況を再形成するにつれて、IABは1〜2年ごとに更新します。2026年に注目すべきテーマ：

• 州制度を部分的に優先する可能性のある連邦プライバシー法——MSPAは優先適用のフォールバックロジックを含んでいるため、署名者が取り残されることはありません。
• ワシントン州My Health My Data Actおよび類似の法律の下での健康固有のシグナリングをカバーするGPPの拡張。
• California Privacy Protection AgencyとテキサスAttorney Generalによるオプトアウトフローにおけるダークパターンルールのより厳しい執行。
• 複数の州議会が議論しているAIと大規模言語モデルのトレーニング開示との統合。

MSPAの実装を一度限りのプロジェクトとして扱うパブリッシャーは遅れをとります。法務、広告運用、プロダクトエンジニアリングが共同所有し、四半期ごとにレビューする継続的な運用上の衛生管理として扱ってください。米国多州間準拠で勝っているパブリッシャーは最も多くの弁護士を抱えているわけではありません——規制当局が尋ねたときに、CMP、広告スタック、監査ログがすべて同じ話をしているパブリッシャーです。

結論

MSPAは、断片化した米国プライバシー状況に対する実践的な答えです。法律を代わりに通過させることはできませんが、ビッドストリーム、ベンダー、法務チームにオプトアウト、センシティブデータ、下流義務のための共通言語を提供します。州対応CMP、正確なGPPシグナリング、規律ある vendor管理と組み合わせれば、管轄区域について議論する時間が減り、許可されているインプレッションを収益化する時間が増えます。それが2026年と、その後に控えている州法の波を乗り越える唯一の持続可能な道筋です。