2022.04.28 コラム
今、CMPは導入するべきか?
●はじめに
2022年4月より個人情報保護法が改正された今、CMPを導入するべきかを検討している企業が多くなってきています。
今回は改正個人情報保護法対策としてCMPを導入する必要があるかについて説明いたします。
※2022年4月時点の情報を元に作成しています
●CMP(同意管理プラットフォーム)とは
CMP(Consent Management Platform)とは、日本語だと同意管理プラットフォームと呼ばれており、
Webサイト運営者が、サイト利用者のCookieを取得する際に同意を得るためのツールです。
拒否された場合はCookie取得を制御します。
●改正個人情報においてCMPは必須なのか?
以前の記事でもお伝えしていますが改正個人情報におけるポイントは以下の通りです。
<3つのポイント> |
- Cookie単体では個人関連情報となり同意の対象外
- 自社内で取得した個人関連情報(Cookie等)と個人情報を紐づける際は、個人情報になるため通知や公表は必要になる。そして個人データ情報を第三者提供する場合は同意取得が必要
- 個人関連情報を第三者に提供する場合、提供先で個人データとして取得することが想定されるのであれば、提供元は提供先において本人から同意を得られていることを確認しなければならない。
上記個人情報保護法のポイントで並べた内容を見ると
②の【自社内で取得した個人関連情報(Cookie等)と個人情報を紐づける際は、個人情報になるため通知や公表は必要になる。そして個人データ情報を第三者提供する場合は同意取得が必要】
については自社サーバーで取得したCookieと自社の個人データを紐づけてる場合はプライバシーポリシー等に取得内容と利用目的を記載して通知・公表する必要があり、個人データを第三者提供する場合は同意が必要と書いてありますが、これは規約に記載して会員登録等のタイミングで同意を取得していれば、CMPが必須という訳ではありません。
③の【個人関連情報を第三者に提供する場合、提供先で個人データとして取得することが想定されるのであれば、提供元は提供先において本人から同意を得られていることを確認しなければならない。】
については自社が提供先になる場合、データ主体から同意を取る必要がありますが
これは先ほど同様、会員登録をする際の規約にその旨を記載して同意を取得しているのであればCMPが必要にならないケースがございます。
これから規約を改定して再同意を取得する場合でも、CMPを使わずに再同意を取る仕組みがあるのであれば特段必須ではない、ということになります。
●どんな時にCMPは必要になるのか?
改正個人情報保護法対策では必須ではない場合があるとお伝えしましたが、GDPRにおいてはCookie単体でも個人情報に値します。
そのためCookie取得しているのであれば同意は必要になります。
例えば自社サイトでグローバルサイトがある場合、GDPR適応地域の人が訪れる可能性があるのであれば、GDPRに準拠する必要があるため同意を取る仕組み=CMPの導入が必要となります。
他にも必須ではないもののデータ活用を積極的に行っていくことを検討している企業や企業ブランドを大切にされている企業がCMPを導入していることが多いのですが、その理由は企業として利用者のデータ利用についてキチンと説明し同意を取得して、利用者の安心や信頼に繋げていきたいという考えから導入しているケースがほとんどです。
●最後に
今回はCMP導入を検討されている企業に向けて、CMPの必要性について説明させて頂きました。
上記の内容からCMPを導入するかしないかを悩まれる企業様も多いと思います。
弊社はCMPの導入支援やプライバシーコンサルティングなどのサービスを提供しており、こういったお悩みについてアドバイスやご支援することが可能です。
プライバシ―周りやCMP導入でお悩みの場合は、お気軽にご相談頂ければ幸いです。
●関連サービス資料
本記事に関するお問い合わせは下記にて承ります。
株式会社DataCurrent
info@datacurrent.co.jp