ビジネスディベロップメントチームの山森 康平です。
本記事では前回に続いて、3rd Party Cookieが利用できなくなる中で、どのような対策が有効かをご説明しきたいと思います。今回のテーマは改正個人情報保護法やGDPRといったデータ保護法の文脈でよく言及される「コンセント・マネジメント」です。
コンプライアンスの文脈のみで捉えると、制約事項が増えるだけのように感じられる方も多いと思いますが、逆にコンセント・マネジメント=同意データの適切な管理を行うことで、データ利活用をそのように促進できるのか、ビジネスの効率化にどう役立つのか、ポジティブな側面に焦点を当ててご説明をします。なお、法律の詳細な解説は本記事では行いません。実際のご対応については、企業毎の規約や各種法令への対応方針とも関連するため、必ず法務部門や外部の専門家にご相談の上、進めるようにお願いいたします。
コンセント・マネジメントとは?
コンセント・マネジメントは同意データの管理のことを意味します。ユーザーからの同意情報は同意の撤回も含めて様々なチャネルから集まってきます。アプリやウェブフォームだけでなく、コールセンターやEメール、ハガキ等の形で何かしらのリクエストを受け取ることがあります。
同意データの適切な管理と利用はコンプライアンスにも関わりますので、同意データに基づいたCRMや広告配信が必要ではありますが、昨今はユーザーとの接点が前述の通り多岐に渡りますので、データの管理の複雑になってきており、システム基盤側で効率的な設計や基盤構築を行い、業務オペレーションをなるべくシンプルにしておく必要があります。
そうした状況の中で、同意データの管理についてもCDPを用いることで、様々な問題を解決することが出来ます。同意データを、セグメント情報=セグメント抽出の条件、と捉えるとわかりやすくと思います。
- サービスAのメルマガは購読している(同意あり)だが、サービスBのメルマガは不要(同意なし)。
- アプリのプッシュ通知は受け取る(同意あり)が、DM(ハガキ)は不要(同意なし)
といったユーザーがいるといったことであれば想像しやすいのではないでしょうか?
こうした同意データに基づく、MA配信(CRM)、BI活用、広告配信等がコンセント・マネジメントの実務になります。
コンセント・マネジメントによる業務効率化
本記事のテーマであるコンセント・マネジメントによるデータ利活用の促進の中には、業務効率化があります。消費者には法律によって開示請求や削除請求といった企業が保有する個人情報に関連した権利があり、企業はそうした請求に対応しなければなりません。まず開示請求から見ていきましょう。
上の図で示したのは、開示請求の対象となりえるデータの例です。実際にはこれを全てを開示する必要があるかは、請求を行ったユーザーの方次第ではありますので、完璧に網羅できているわけではないのですが、こうしたデータを求められることがあります。仮に上記に関連するデータがデータベース内で参照しやすいように管理されていないとすると、請求がある度にシステム部門や担当者がデータ抽出を行い、手作業で対応を行うことになります。
逆に同意データと保有個人データが紐付けられた状態で管理をされていれば、ある顧客に関連するデータを全てダッシュボード形式で提供することも可能です。コンプライアンスのためのデータ基盤整備を、開示請求の対応の汎用化に活かすという考え方をしてもよいのではないかと弊社では考えています。
代表的な事例としてはNTTドコモ社が提供する「パーソナル・データダッシュボード」が挙げられます。dアカウントを持っているユーザーに対して発行される機能で、登録しているサービスやメールマガジン、第三者提供や広告配信の同意管理やステータス参照を行うことができますので、自社での導入・構築を検討される方はぜひ一度御覧ください。
削除請求は日本においては違法性や情報漏えい等があった際に認められる個人の権利です。またプライバシーマーク事業者の場合は削除請求への対応を行うことになっています。削除請求の対応についても、個別に対応を検討するのではなく、予め削除請求への対応時にデータを削除する対象データベースや該当データのコピーがある場所を把握し、データが散財しないようにすることで、削除要求がったユーザーに対して販促メールを送信してしまうなどの事故を防ぐことができます。
またデータ削除のオペレーションを仕組み化することで、個別のデータ抽出や削除といったバックエンド側の作業を効率化できることができるため、同意データと保有個人データを紐付けた状態で管理することをおすすめしています。
会員データ等と外部データとの紐付け
改正個人情報保護法のもとでは、提供元では個人情報に当たらないデータであっても、提供先で個人情報と紐付けられる場合には本人同意が取れていることの確認が義務付けられることになりました。このパターンの典型的な事例はパブリックDMPによる顧客データのエンリッチメントです。
本人同意取得の主たる対応パターンとしては、提供先(広告主の立場の企業が多い)が会員登録や資料請求、サービス予約の際等、個人情報を入力タイミングで一緒に外部データの紐付けに関する同意を取る、ということを想定しています。
逆にこの同意さえ今からしっかりと取る運用を開始していれば、改正個人情報保護法の施行(2022年)後も、外部データの紐付けを行うことが出来ますので、弊社では極力早くこちらの対応をすることを皆さまに強く推奨しております。
メディア向け:広告主とのタイアップキャンペーン
「3. 会員データ等と外部データとの紐付け」では主に広告主の立場で、提供先が会員登録時等のタイミングで外部データとの紐付けについて同意取得をすることについてお話をしました。改正個人情報保護法では提供先での同意取得が前提とされていますが、一方で例外も認められています。それは提供元での同意取得の代行です。
こちらはTDユーザーの方にとっては、広告やウェブログを販売するメディア企業が広告主にかわってかかる同意をとりつけることができると考えるとわかりやいかと思います。
広告主とのタイアップキャンペーンを行う際に
- 同意取得をメディアと広告主が行うキャンペーンや特定施策に紐付けて行う
- 広告主側の規約改定の負担を軽減するとともに、同意取得を行いやすい導線をつくることで広告主への付加価値提供も同時に行う
といった対応(例外の使い方)がありますから、メディア企業の方には積極的に検討していただきたいと考えています。
日本におけるCookie関連のコンセント・マネジメント〜3つの視点
日本のプライバシー関連の法制度はGDPR等厳格な管理が要求される地域とは異なり、世界的には規制の程度が弱く、GDPR/e Privacy Regulation等で求められるCookie利用時のオプトイン同意(事前の同意)は法令上必須ではありません。しかしながら、いくつかの理由から弊社ではCookie利用のオプトアウトを消費者が用意に選択できるような実装を日本でも推奨しております。大きく3つの視点から論点について検討をしております。
1つ目はコンプラインス(法令遵守)。2つ目は風評リスクマネジメント=炎上対策、3つ目がUX=消費者からのブランドに対する信頼を醸成することができる安心のある対応、です。特に2つ目の風評リスクマネジメント=炎上対策の文脈では、同意の撤回ができることが重要なポイントになっていると考えています。
メディア企業のように匿名ユーザーのデータ=日本では個人情報扱いにならないデータ、を販売する企業でもデータ販売を実質的に停止できるような機能の実装は必要であると考えており、CMP等を活用したオプトアウト方法の提供を検討することをおすすめしております。
実装上のポイントとしては、顧客ID単位で管理する同意データとCookie(ブラウザ)単位で管理する同意データを分けておくことです。一つの顧客IDに複数のブラウザが紐づくことを考慮すると、顧客ID単位でCookieに関連する同意を全て管理するのは現実的ではなく、第三者提供等の場合のみを顧客IDに紐づけておくのが実装上の負荷が低い無難な対応だと思います。
顧客ID / Cookie 別の同意管理(案)
まとめ
以上が、コンセント・マネジメントをデータ利活用を止めない、実装上の負荷を軽くしてオペレーション効率を上げる、データ連携を行う、といった観点から捉えたご説明でした。繰り返しにはなります、本記事は細かい法律的な説明を割愛し、CRMやマーケティングご担当者向けにポイントを解説したものです。実際の対応につきましては、企業毎の規約や各種法令への対応方針とも関連するため、必ず法務部門や外部の専門家にご相談の上、進めるようにお願いいたします。
記事でご紹介した内容の詳細については弊社担当、カスタマーサクセスメンバー等へお問い合わせください。
