つぶやく【ACADEMY】モバイルゲームデベロッパのためのGDPR要求事項ガイド
 |
モバイルゲームのデベロッパやQAテスターは,競争の激しい市場でゲームが成功するかどうかを把握するために,膨大な時間をかけて調査や厳密なテストを行っている。
2018年5月に一般データ保護規則(GDPR:EU諸国における個人情報の取扱規則)が開始されたことで(関連英文記事),この規則へのコンプライアンスが,テストと調査にさらに別のレイヤーとして追加された。しかし,GDPRとは何を意味するのだろうか? そして,なぜデベロッパやQAテスターはそれを気にする必要があるのだろうか?
基本的に,ゲームスタジオはGDPRの下で,自分たちとそのパートナーがどのようなユーザーデータを収集しているのか,そしてその理由を知ることが求められている。
ソフトウェア開発キットを通じてパートナーが収集しているものを知ることは,失敗することもある
ファーストパーティ(ゲームデベロッパ)が収集しているユーザーデータを把握することは,ゲームスタジオにとってそれほど大きな問題ではない(ゲームデベロッパは自社のソースコードにアクセスできるので)。しかし,パートナーがソフトウェア開発キット(SDK)を通じて何を収集しているのかを知ることは難しく,どのようなデータがどのような目的で収集され,共有されているのかについて,不正確な報告につながる可能性がある。
AppleがiOS 14.5をリリースし,App Tracking Transparency(ATT)と呼ばれる新機能を導入しようとしていることから,この問題はさらに重要になっている。ゲームスタジオは,iOS用ゲームにおいて,異なるアプリやWebサイトでトラッキングを行う際に,ユーザーにIDFA(Identifier for Advertisers)の使用許可を求めるようにする必要がある(関連英文記事)。
それではまず,ゲームスタジオにとってのGDPRを簡単に説明しよう。法律の専門用語は解釈が難しいものだ。
 |
守らなければならないルールとその理由
GDPRには序文と99の条文がある。そのすべてがモバイルゲームの開発やパブリッシングに当てはまるわけではない。
ここでは,モバイルゲームを開発・公開する際に注意しなければならない主な条文を紹介する。GDPRに準拠しつつ,プレイヤーコミュニティに透明性を提供するために必要となるものだ。
GDPRでは,子ども(16歳未満)の同意に焦点を当てて,第7条と第8条に準拠しなければならないことを理解することが重要だ。これを実現するには,ゲーム内の同意通知やデータプライバシーラベルを追加する必要がある。
モバイルゲームのデザインにデータ保護を組み込むのは,第5条および第25条に沿ったものだ。これには時間とコストがかかるが,デベロッパとQAチームは,何がなぜ収集されているかをプレイヤーが理解できるように,詳細なデータ管理を行う必要がある。これは,プライバシーポリシーやゲーム内の同意通知で強調できる。
- 第15条に基づき,収集されたデータにアクセスするユーザーの権利を考慮すること。これは,あなたのプライバシーポリシーに含まれるべきであり,あなたやあなたの第三者のパートナーによって処理されている自分の個人情報のコピーを取得する権利があることをプレイヤーに伝える。
プレイヤーが何がなぜ収集されているのかを知ることができるように,デベロッパおよびQAチームは詳細なデータ管理を行う必要がある
- プレイヤーが第17条(忘れられる権利)に基づいてプレイヤー情報を消去する権利を通知する際には,プライバシーポリシーは透明性のあるものでなければならない。これにはモバイルゲームの使用データや診断も含まれる。
- パートナー企業が収集するユーザーおよびデバイスを特定するデータは,デバイスおよび自社のサーバーに暗号化して保存されるべきだ。これは,第32条「処理の安全性」に該当し,ユーザーやデバイスを特定する可能性のあるクラッシュレポートやアナリティクスレポートなどのアプリのログが含まれる。
- 最後に,重要なことだが,第5条に該当するデータ漏洩の際のプライバシーの問題についても考慮する必要がある。パートナー企業は,プレイヤーのデータを安全に取り扱う必要がある。これには,モバイルゲームの位置情報や特定の使用状況に関するデータなど,特定の種類のデータを収集する必要があるかどうかを検討することも含まれる。
デベロッパとパブリッシャのためのGDPR準拠のヒント
この時点で,モバイルゲームの法的要件についての理解が深まったと思う。あとは,それを実践するだけだ。
では,アプリをGDPRに準拠させ,かつAppleのiOS 14.5のリリースに準拠させるには,具体的にどうすればよいのだろうか? 以下にそのヒントを紹介する。
●AndroidとiOSの両方で対応
- プレイヤーのサインアップ時に,アカウントベースのパーソナライズツールを開発する。これは,デベロッパがゲーム体験を向上させるのに役立つだけでなく,データを共有したり,アカウントを登録したりすることで,ゲーム内で特典を提供できるようになる。
- ユーザーやデバイスを特定するデータを収集するコードを確認する際は,最新のサードパーティ製SDKがゲームにインストールされていることを確認する。
- サードパーティのSDKベンダーのプライバシーポリシーやドキュメントを読み,EU市民が使用する際にSDKがエンドユーザーの同意を得られるかどうかを理解する。
- メールアドレス,電話番号,物理的な住所,デバイスの位置情報,プレイヤーにリンクできる購入情報,広告ID,IMEI(International Mobile Equipment Identity)やIMSI(International Mobile Subscriber Identity)などのネットワークID,ユーザーやデバイスにリンクできるアナリティクスやCrashlyticsのデバイスロギングデータなどの情報を自社やパートナーが収集する場合は,エンドユーザーの同意を得ること。
- サードパーティ製のSDKの中には,ユーザーがEUに居住していることを示すフラグを立て,データ収集を無効にするオプションを提供しているものがあるため,SDKのドキュメントを確認する。非推奨のSDKコードを使用していないか確認することを忘れないでほしい。
ゲームスタジオは,完全に透明性を保ち,信頼を築くことを考えるべきである
●Androidのみ
- Google EU User Consent Policyに基づき,欧州連合(EU)内のプレイヤーに,どのような個人情報やデバイスを特定するデータを収集しているのか,またその理由を認識させる。
●iOSのみ
- 確率的照合データ(iOSデバイスのIPアドレスと自社のユーザーに関する情報を相互に参照し,ユーザーを特定して追跡する)を使用しても効果はない。この2週間で,Appleはこの機能を使用している企業に手紙を送り始め,この機能をサポートするコードを削除するように指示した(次項を参照)。
- ユーザーのデバイスが広告トラッキングを無効にしている(IDFA)ため,ゲームを開く際に同意通知オプションを追加することで,収集するデータタイプとその理由について明確で透明性のある情報を提供できる。また,とくに広告SDKがゲーム体験を向上させるものであることをユーザーに啓蒙することにもつながる。
プライバシーについては,主にここ12か月の間に主流メディアに登場し始めた。これは,プライバシーが基本的な人権であると考えるAppleが主に主導していたものだ。
Appleは昨年,App Storeでアプリが収集するデータの種類を表示する「プライバシーラベル」を発表した(関連英文記事)。
また,Appleは今月末にiOS 14.5でApp Tracking Transparency(ATT)を開始しようとしており,ゲームのインストール率や,スタジオやサードパーティパートナーの収益に影響を与えると予測されている(関連英文記事)。
ゲームスタジオは,完全な透明性を保ち,信頼を築くことで,中長期的なプレイヤーの保持価値を高め,収益を増加させることを考えるべきだ。
1つ確かなことがある。GDPRと個人情報保護は,今やすべての人の考え方に深く浸透しており,今後も存在し続けるだろうということだ。
Julian Evans氏は,パブリッシャがモバイルゲームのデータ品質を管理し,新たなプライバシーコントロールを特定し,より良いユーザーインタラクションを促進するソリューションであるASAnalyzer(参考URL)を開発した英国のAppSecTestのCEOだ。2018年5月にJulian Evans氏,Matthew Johnston氏(COO),Adam Jennings氏(CTO),Jake Kiermasz氏(ソリューションアーキテクト)によって設立されたAppSecTestは,現在Keywords Ventures(参考URL)傘下の会社だ。
GamesIndustry.biz ACADEMY関連翻訳記事一覧
※本記事はGamesIndustry.bizとのライセンス契約のもとで翻訳されています(元記事はこちら)
