Prebid.jsが同意管理モジュールを必要とする理由

Prebid.jsのオークションが実行されると、ラッパーは設定されたすべての入札アダプターに対して並行してリクエストを行います。各アダプターは入札リクエストにユーザーの同意文字列を含める必要があります — tcfeu（EU/UK向けのTCF v2.2）、usp（CCPA/CPRA）、そして増加しつつあるgpp（複数の米国州をカバーするIAB Global Privacy Platform文字列）。これらのシグナルがない場合、下流のSSPとDSPはユーザーをオプトアウトとして扱うか、入札を完全に削除するか、最悪の場合には違法にデータを処理することを余儀なくされます。

Prebidの同意管理モジュールは、CMPと入札リクエストのパイプラインの間に位置します。標準のCMP API（__tcfapi、__uspapi、__gppapi）を呼び出し、同意文字列を待ち、それを各アダプターの入札リクエストペイロードに自動的に注入します。また、GDPR適用を有効にすると目的ベースのゲーティングを適用し、関連するTCF目的を許可していないユーザーに対してストレージアクセスと入札者の実行をブロックします。

コアモジュールのインストールと設定

Prebid.jsはdocs.prebid.org/download.htmlからパブリッシャーごとにビルドされます。カスタムビルドを生成する際、「同意管理」の下にある3つのモジュールが重要です：

• consentManagementTcf — EU、UK、スイスのトラフィック向けのTCF v2.2文字列を処理します。
• consentManagementUsp — 古いCCPA/CPRA US Privacy String（多くのDSPがまだ必要とします）を処理します。
• consentManagementGpp — Google、TTD、主要SSPが現在義務付けているIAB GPP文字列（将来を見据えた標準）を処理します。

グローバルトラフィックを提供する場合は3つすべてを含めてください。ビルドがCDNに配置されたら、Prebid設定スクリプトでモジュールを設定します：

TCF v2.2の設定

TCFブロックは、どのCMP APIを呼び出すか、文字列をどれくらい待つか、タイムアウト時に何をするかをPrebidに伝えます。典型的な本番設定ではcmpApi: 'iab'、timeout: 8000（8秒 — CMPバナーの読み込みが遅い場合でも十分な長さ）、defaultGdprScope: trueを設定し、不明な管轄区域のユーザーを別段の証明がない限りスコープ内として扱います。actionTimeoutを別途設定することで、ユーザーがまだバナーと対話していない場合にPrebidが待機する時間を制御できます — 適度な値に保つことで、訪問者がバナーを無視した場合に広告スロットが空白になることを避けられます。

US PrivacyとGPP

USPはシンプルです：モジュールを有効にすると、Prebidは__uspapiから4文字の文字列を読み取ります。GPPはより複雑で、GPP文字列は複数のセクションID（TCF EU、US国内、USカリフォルニア、USコロラド、USバージニアなど）を持つことができます。Prebidはフル文字列を自動的に転送しますが、入札者は特定のセクションを検査します。CMPがユーザーの管轄区域に対して正しいGPPセクションを発行することを確認してください — カリフォルニアのユーザーにUS国内セクションのみを発行するように誤って設定されたCMPは、CPRAに準拠したDSPが入札を破棄する原因となります。

GDPR適用の有効化（目的ベースのゲーティング）

デフォルトでは、同意モジュールはTCF文字列を渡すだけで何もブロックしません。PrebidにTCFの目的を実際に適用させるには、gdprEnforcementルールセットを有効にします。ここで最も多くの設定ミスが発生します — そして準拠したヘッダービディングスタックと非準拠スタックの違いが生まれるところです。

標準のルールセットは、関連する目的に同意がない場合に4つのアクティビティをブロックします：

• storage — 目的1（ストレージとアクセス）でゲート管理。拒否された場合、Prebidは入札者がクッキーとlocalStorageの読み書きをするのを防ぎます。
• basicAds — 目的2（基本広告）でゲート管理。拒否された場合、入札者はオークションから完全に除外されます。
• measurement — 目的7でゲート管理。分析アダプターに影響します。
• transmitPreciseGeo — 特別機能1でゲート管理。拒否された場合、Prebidは入札リクエストから正確な位置情報を除去します。

各ルールに対してenforcePurpose: true、enforceVendor: true、およびvendorExceptionsのリストを設定します。ベンダー例外リストは重要です：リストに記載された入札者は、明示的なTCFベンダー同意がなくても参加が許可されます。これは、別の法的根拠（例：契約上のフローと組み合わせた正当な利益）があることを理由としています。これは控えめに使用してください — 広すぎる例外は、まさに規制当局がパブリッシャーに罰金を課し始めているパターンです。

パブリッシャーの収益またはコンプライアンスに影響する一般的な落とし穴

タイムアウトが低く設定されすぎている

CMPのバナーレンダリング時間よりもtimeoutが短い場合、Prebidは同意文字列なしで先に進みます。入札者はこれを同意なしとして扱い、入札を削除します。CMPのtcfapi('addEventListener')の最初の呼び出しのレイテンシを95パーセンタイルで測定し、Prebidのタイムアウトをその上に設定してください。8000ミリ秒は安全なデフォルト値です；バナーのローカライズに時間がかかる市場に対応する場合、3000ミリ秒はリスクが高いです。

米国トラフィックでのGPP統合の欠如

主要なSSPとDSP（Google AdX、TTD、Magnite、PubMatic）は現在、米国のオプトアウト適用のためにGPP文字列を必要としています。従来のUSP文字列のみを発行している場合、これらのDSPはあなたのインベントリをますます格下げまたはスキップするようになります。入札レスポンスを監査してください：2026年の米国トラフィックのCPMの急激な落ち込みは、多くの場合GPPシグナルの欠如です。

SPAナビゲーションでの古い同意文字列

ルート変更時にPrebidオークションを再トリガーするシングルページアプリは、pbjs.refreshUserIds()を呼び出し、最新のTCF文字列が取得されることを確認する必要があります。サイトが共有セッションを使用している場合、30分前にキャッシュされた文字列が前のユーザーの設定を持つ可能性があります。

分析のためのvendorExceptionsの欠如

パブリッシャーはしばしば、PrebidのAnalyticsアダプター（Google Analytics、サーバーサイドレポーティング）もTCF目的7の下のmeasurementゲーティングの対象であることを忘れます。これらを収益報告に使用している場合は、測定ルールのベンダー例外の下に明示的にリストするか、同意なしのトラフィックのデータギャップを受け入れてください。

本番環境前の設定テスト

Prebid.jsはブラウザのコンソールでpbjs.getConfig('consentManagement')を公開します。アクティブな設定が意図と一致していることを確認してください。次に、Chrome拡張機能Prebid.js Professorまたはpbjs.getEvents()を使用して、各入札リクエストに付加された同意文字列を検査します。3つのシナリオをスポットチェックしてください：完全に同意したユーザー、「すべて拒否」をクリックしたユーザー、インタラクションなしにバナーを閉じたユーザー。それぞれが入札リクエストペイロードで異なる観察可能な動作を生成するはずです。

VPNまたはCMPの位置情報オーバーライドフラグを使用して、さまざまな地域で同じチェックを実行してください。EUトラフィックはTCF文字列を生成してgdprEnforcementをトリガーするはずです；カリフォルニアのトラフィックはUSPとGPP文字列を生成するはずです；管轄区域が不明なトラフィックはdefaultGdprScopeの設定を尊重するはずです。

まとめ

正しく設定されたPrebid同意管理スタックは、同時に3つのことを行います：入札者に有効な同意シグナルを供給し続ける（CPMを維持）、ラッパーレベルでTCFおよび米国のオプトアウトルールを適用する（規制上のリスクを軽減）、そして規制当局がヘッダービディング設定がユーザーの選択をどのように尊重するかを尋ねた際の単一の監査ポイントを提供します。タイムアウトを意図的に設定する時間を取り、米国トラフィックにはUSPと並行してGPPを有効にし、vendorExceptionsリストを四半期ごとに見直してください — これを誤った場合のコストは、罰金と失われたプログラマティック収益の両方で測られます。