2020.07.20 コラム
【データプライバシーコラム】#4.CMPを導入する前に知っておくべき10のこと
「データ保護」と「プライバシー」について、広告会社の運用担当者だった私が、出向先のDataCurrent社の法務担当になってイチから学んだことをまとめる本連載(過去の連載記事はこちら)。最後は、データ保護とプライバシーを守るための手段の一つとして注目されている「同意管理プラットフォーム」について考えてみたいと思います。
<プロフィール>
大驛 貴士(おおえき たかし)
2012年、株式会社サイバー・コミュニケーションズに入社。Facebook、Twitterをはじめとしたソーシャルメディアの広告運用、APIを活用したツール設計、開発ディレクション、データ収集から分析までを得意とする。2019年6月よりデータの利活用を推進するコンサルティング会社「株式会社DataCurrent」に出向し、データ保護とプライバシー領域を担当。
● CMPってなに?
最近、WEBサイトにアクセスした際、下部にポップアップが現れ「同意」を求めてくる機会が増えていないでしょうか。CMP(Consent Management Platform/同意管理プラットフォーム) とは、訪問者の利用目的ごとにユーザー本人の同意を取得・管理することができるツールです。言い方を変えれば同意していないユーザーのデータを”保持しない”ための機能でもあります。
英語ではConsent Management Platformを略して「CMP」と言われます。(データやデジタル業界は3文字英語が多くていつも覚えるのに苦労します。CRM、CDP、CPMに似ていますが、Consent=同意と覚えていただくと分かりやすいと思います)
●CMPが出来ること
CMPには大きく2つの機能があります。いずれもデータ保護とプライバシーを守るために必要な機能です。
●CMPの仕組み
初めてWEBサイトやアプリに訪問する際、「データを取得して良いですか?」といった同意を求める”同意ポップアップ”が表示されます。訪問者はデータの取得内容を確認した上で同意もしくは非同意の選択が可能です。 CMPは個々の訪問者の同意取得状況を管理することができます。再訪問者は同意内容の意思を変更することが可能です。また、同意しない訪問者(非同意者)のデータを記録しない機能でもあります。
●CMPの導入が進む背景
昨今CMPが話題となるのは、欧州の個人情報に関する法律「GDPR(一般データ保護規則)」や「CCPA(カリフォルニア州消費者プライバシー法)」による影響と言われています。GDPRでは、Cookieをはじめとしたパーソナルデータを取り扱うには根拠が必要とされており、Cookieの利用態様によっては同意が必要(オプトイン)とされています。また、欧州の居住者が日本のWEBサイトに訪問した場合でもGDPRが適用されることがあるので、特に外資系企業を中心に日本でも導入が進んでいます。
●CMPを導入する前に知っておくべき10のこと(技術編)
CMPベンダーによっては、WEBサイトにのみ対応しているという可能性もあります。モバイルアプリの同意管理も行いたい場合は、導入予定のCMPがアプリに対応していることを確認しておきます。
CMPを導入することで、訪問者は「同意」 or 「非同意」を単純に選択するのではなく、訪問者にとって同意しても良いと思う項目を内訳で選択することができます。例えば、アクセス解析として同意するのは良いけど、広告配信として同意したくないといったカスタマイズが可能です。
CMPには「同意設定」という機能があります。欧州のGDPRでは居住者がWEBサイトにアクセスした際に表示させる同意ポップアップを標準で「OFF(同意しない)」と設定しておく必要があります。一方で、日本の場合、個人情報の取り扱いの際には原則として同意を求められていないことから、標準で「ON(同意する)」と表示することができます。このように、地域別の「プライバシーレベル」の出し分けが出来るかどうかは重要な指針となります。
また、欧州の居住者に対して、日本語で同意ポップアップを表示して同意を得たとしても、それは正しい同意とは認められないので言語の出し分けも大事です。これらは「ドメイン」、「ブラウザ設定」、「IPアドレス」、「OSの言語設定」を識別子としていることが多いです。導入予定のCMPがどのようにして出し分けるかを把握しておく必要があります。
企業が大きくなるにつれて、例えばマーケ担当と広報担当が別々の部署でタグを設置しており、自社サイトにどんなタグが埋まっているかすべてを把握してない・・・といった問題が発生します。そんな時、「Cookieスキャン機能」があると便利です。名前の通り、WEBサイトに設置されているタグを調べてくれる機能です。CMPが特定のWEBサイトをスキャンし、現在埋まっているタグを精査し教えてくれます。「こんなタグが設定されているなんて知らなかった!」「同意内容に含まれてない!」といったトラブルを未然に防ぐことができます。このCookieスキャン機能が使用できるのはWEBサイトのみです。(モバイルアプリは対応していません)
CMPによっては、訪問者がWEBサイトやアプリにアクセスし同意する前に、すでにタグが発火してしまっている・・・という場合があります。訪問者が同意する前にタグが発火しているということは、同意 or 非同意に関わらず訪問者のデータを一度は取得していることになります。この問題はタグの設置方法を工夫することで回避することができますが、技術的な知識が必要となりますのでCMPベンダーや専門会社にお願いするほうが良いと思います。
●CMPを導入する前に知っておくべきこと(デザイン/費用/サポート編)
CMPデザインとして、大きく4つのフォーマットがあります。最も企業に採用されているのは「フッター型」です。PC閲覧の際、一般的に訪問者の目線は左上から右下に向けて目線が動くとされており、WEBサイトを閲覧してから同意ポップアップを確認する自然な誘導を行うことができます。一方で「強制視認型」は、データの取り扱いに丁寧な業種×訪問者のWEBサイトへの訪問意向が高いサービスを提供している場合に採用されることが多いです。例えば、航空会社、ホテル、政府、クレジットカード会社などです。
最後にご紹介する「控え目型」はDataSignさんが開発した国内産CMPです。「3. 地域別の表示内容の出し分けと言語設定」でご紹介した同意設定の通り、日本では個人情報の取り扱いの際、原則として同意を求められていないことから、標準で「ON(同意する)」とすることができます。デザイン面においても、あえて控え目な表現としており、CMP導入の際に課題となりがちな同意率の低下を回避できるのではと期待されています。
同意ポップアップとWEBサイト全体のデザインが大きく異なってしまうと、訪問者が違和感を感じてしまい、同意率の低下と不信感につながります。文字のフォント、大きさ、背景色、前景色、アイコンデザインが、自社サイトのデザインに酷似することができるのかについて確認が必要です。
CMPの料金体系は「ドメイン数」、「ユーザーアカウント数」、「PV数」によって変動する従量課金制が多い傾向にあります。その為、WEBサイトの規模に応じた適切なプランを選択する必要があります。ベンダーによっては「月額払い」もしくは「年間払い」に加え「初期費用」や「サポート費用」などを設定している場合があるので事前の確認が必要です。
導入の際は、自社もしくは制作会社や専門会社などの外注先で技術的な設定を行う必要があります。同意ポップアップを表示させるためのソースコードの埋め込み作業やCMPダッシュボードの管理画面の表示設定、ログインユーザーのアクセス管理なども対応する必要があります。
前提として、CMPを導入することで一般的にはCookie保有率が減少します。CMPを導入して終わりではなく、導入後の同意率や離脱率を分析し、同意率を向上させるための改善提案が重要です。また、いくらCMPを導入し同意を取っていたとしても、そもそもの同意内容やプライバシーポリシー、利用規約が不適切であれば、訪問者の同意も意味のないものとなります。
●最後に
元広告会社の運用担当者の目線から、「データ保護」、「プライバシー」、「同意管理プラットフォーム(CMP)」のテーマで連載させていただきました。データ保護とプライバシーの業務に携わるようになってから特に感じることは、インターネット、デジタル、データ領域に対する生活者の意識が急速に変化しており、世界各国で生活者のニーズに対応させるべく新しい法律を制定したり改正したりしています。これによって、これまでなんとなく許されていたことが明確に許されなくなり、違反者に対して罰(制裁金)が科せられる事例が増えています。「そういうけど、なかなか自分ゴト化できないんです。なにからはじめたらいいですか?」というお話を頂くことがあります。
私個人的には、まずは自社の保持している『データの棚卸』から始めることが良いかと思います。データの棚卸を行うことで、今まで気づいていなかった新しいデータ活用のキッカケになるかもしれません。(逆に、リスクに気づくキッカケになるかもしれません・・)
データの棚卸ができたら、次は『生活者と企業で交わす約束の見直し』を行うことが良いかと思います。つまりは、プライバシーポリシーや利用規約の見直しです。前回ご紹介した例として、プライバシーポリシーにはデータを広告活用しませんって明言しているのにWEBサイトには広告タグが埋まっていて矛盾している・・・といった企業は簡単に見つけることができます。生活者の意識は急速に変化している中で、いくら良いサービスや商品であったとしても、約束事が不明確な企業で買い物するのは怖いから避けよう・・・という風潮になってきたのではと感じます。今回ご紹介したCMPにおいても、プライバシーポリシーと利用規約が適切であるということを前提としており、いくら時間と費用をかけてCMPを導入したとしても、プラポリと利用規約が正しくなければ、CMPによる同意は意味の無いものになってしまいます。
最後は、『分かりやすさの追求』だと思います。これまではWEBサイトの隅っこに虐げられてきたプライバシーポリシーと利用規約ですが、これからは一つのコンテンツになれるくらいに出世してほしいと願っています。そのためには、小さい文字で専門用語が多いプラポリを卒業し、文字は大きく、色や段落を使い分け、専門用語はイラストで補足するなどの工夫が必要になります。これからは法務チームとクリエーティブチームのコラボレーションが大活躍するかもしれません。
‐これまで気づかなかった新しいデータ活用のキッカケになる
‐逆に発覚していなかったリスクに気づきリスクヘッジの機会になる
‐業務領域や施策内容がプラポリ&利用規約と合致しているかを確認する
‐合致したうえでCMPを導入し訪問者のデータ利用に関する同意を取得する
‐プラポリや利用規約は今後大事なコンテンツとして成り得る可能性あり
‐生活者にとって分かりやすいデザインを継続的に追及し検証する
最後までご覧いただきありがとうございました。
データプライバシーに関する資料は、下記ダウンロードフォームより、ご確認ください。
本コラムに関するお問い合わせやデータプライバシーに関するご相談は下記にて承ります。お気軽にお問合せください。
株式会社DataCurrent
info@datacurrent.co.jp