セミナー・イベント

2021.05.30

【セミナーQ&A】企業のデータプライバシーに必要な要素と、改修・見直しを成功に導く秘訣とは?

●サマリー

2021年3月11日(木) 株式会社DataSign様との共催で実施した、オンラインセミナー 「企業のデータプライバシーに必要な要素と、改修・見直しを成功に導く秘訣とは?」において、視聴者の皆様からいただいたご質問とその回答をいくつかピックアップし、Q&A方式で分かりやすくご紹介いたします。

●本コラムでわかること

  • 企業が求められる取り組みとタイミング
  • CMPツールの選定基準
  • データプライバシーに取り組む上で重要なこと

※実施時期(2021年3月)時点の情報です

●登壇者紹介

<株式会社DataSign 代表取締役 太田祐一 氏>
データ活用の透明性確保と、個人起点での公正なデータ流通を実現するため、株式会社DataSignを設立。内閣官房 デジタル市場競争本部 Trusted Web推進協議会 委員。総務省 情報信託機能の認定スキームの在り方に関する検討会委員。総務省 プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ 構成員。一般社団法人MyDataJapan 常務理事。

<株式会社DataCurrent 代表取締役社長 多田 哲郎>
2005年サイバー・コミュニケーションズ(CCI)入社。社内データ基盤開発、マーケティング等の部門を経験の後、総合代理店にて国外のマーケティングテクノロジーのローカライズや導入支援を行う。その後メディア部門にてトレーディングデスクの立ち上げに携わる。生活者主体の考え方に基づくデータ活用を推進する専門会社として2019年6月3日に株式会社DataCurrentを設立。

▼Q&Aの内容

  1. 個人情報保護法で求められる以上の取り組みをどこまでやるべきなのか?
    その判断基準や取り組みを始めていくタイミングなどについて教えてください。
     
  2. 個人情報の提供に関して同意取得が必要となる場合、どの粒度までの同意が必要でしょうか?
     
  3. CMPツールって沢山あるけど何を基準に選べばいいのでしょうか?
     
  4. Cookieだけではなく会員IDで管理しないと意味がないのでは?ID版のツールはありますか?

1. 個人情報保護法で求められる以上の取り組みをどこまでやるべきなのか? その判断基準や取り組みを始めていくタイミングなどについて教えてください。

どこまでやるべきかの判断基準は難しいと思います。
判断として個人情報保護法で求められる対応以上は何もしないという選択も1つあるかなと思ってはいるところですが、
それがレピュテーションリスクいわゆる炎上リスクとは観点が違いますよね。

リクナビの内定辞退率問題に関しても、
リクナビ内部としては個人情報保護法を破っていないという認識でしたので…
だからそれは脱法的であると最終的に行政指導が入りましたけれども、
大事なのはユーザーの視点 で、個人情報保護法等の法律だけを守っていれば良いと思っていると、
そのようなリスクが残ってしまうというところだと思います。

+αの取組をどこまでやるかは色んな選択肢があるので難しいですが、
その選択肢を専門家の方々とどこまでやるかを決めるのが良いかと考えます。
タイミングとしては個人情報保護法の改正前には、PDCA含めて回してる必要があるので、今年中に出来るのが良いのかなと思ってます。

<まとめ>
どこまでやるのかの判断は企業毎に異なるので判断が難しいですが、
まずはユーザーの視点に立ってどこまで説明し理解していただくかなど、
レピュテーションリスクを考慮することが重要なんですね!
タイミングについてですが個人情報保護改正前には実施しておきたいので今年中の早いタイミングで実施が良さそうです。

2. 個人情報の提供に関して同意取得が必要となる場合、どの粒度までの同意が必要でしょうか?

正直、現時点では僕もわからないんですよね…(笑)
でも一番簡単なパターンは、もうプライバシーポリシー内に
「個人関連情報を取得して、個人情報に紐づけます。」ということを記載して
そこに同意を得るというのが、一番企業側の対応が楽なパターンかもしれないですね。

例えば、「こういう情報を取得して、ここで個人情報を紐づけて、こういう風に利用します」と
きちんと書かなければならないのかっていうのは、これは現状ガイドライン待ちっていうのが正直なところです。

ただ、それがユーザー視点でどうなのかを考えると、
現行のプライバシーポリシーにちょっと一文加えるだけでは
ユーザーは分からない部分も多いと思います。

説明が不足し、利用の方法が適切ではない と指摘されるなど
レピュテーションリスクにも繋がる恐れもありますので、できるだけ両者が分かりやすい視点で書くことが必要だと思っています。

<まとめ>
ここの部分については「ユーザー視点で」が鍵になってきますね。
詳細を記載するだけでは、ユーザーからすると分かり辛かったりするので
どんな情報を取得して何に活用するかを、シンプルに分かりやすく伝えてあげることが重要だと感じました!
こちらも企業だけで判断するのではなく専門家と一緒に取り組むことが大切そうですね。

3. CMPツールって沢山あるけど何を基準に選べばいいのでしょうか?

色々とあるとは思いますが
UIやUX、カスタマイズ性の部分が自社サイトやコンテンツに
マッチしやすいものを選択するのがまず最初は良いかなと思っています。

あとはデータの連携性だったり、企業のビジネス実態や今後進めていきたいことをカバーできるように、
弊社は各企業様とヒアリングしながら一緒に選定させていただいておりますね。

まずは正常に作動することが大事だと思っています。

我々が調査した結果だと、CMPツール導入企業のうち、正常に作動しているのは3~4割程度なんです。
他の6〜7割程度は、導入しているのにも関わらず正常に作動していないという状況なので、これはいつか刺されるのではないかと思っています。

ちなみに我々のツールはちゃんと動きます!(笑)

あとは、なぜそういうことが起こっているかというと、
設定がすごく大変だったり、専門知識がないとできないケースが多いので
簡単にかつ専門知識が無くてもツールを使えるかというところを基準にすることも大事です。
そうすると、おのずと我々のツールになるんです。(笑)

おっしゃる通り、CMPはシンプルなツールですが、導入は結構大変ですよね。

はい。なので、CMPツール導入を検討されている場合はベンダーではなく、
DataCurrentさんなど中立的な立場で導入の選定や支援をしてくださる企業が必要なのかなと思ってます。

<まとめ>
使いやすさや自社サイトとのマッチするデザインも確かに重要ですよね。
それにしても導入しているはずなのに、正常に作動していないケースがあるなんて衝撃でした。
自社だけでの導入が難しいとなると、導入をサポートしてくれるような企業と一緒に取り組む 必要がありそうです。

4. Cookieだけではなく会員IDで管理しないと意味がないのでは?ID版のツールはありますか?

はい、会員IDで管理する必要があるのはまさにその通りです。

会員ID版のCMPツールが存在しないのでは?という点で言うと、
WebtruのCMPで選んだ情報をCRMやCDPに連携するという機能は既に備わっていますし、
あと、会員IDと同意管理をがっつりやっていきたい、基幹システムともしっかり連携したいということになると、
我々の「paspit」という情報銀行のアプリがあるのですが、「情報銀行」は言ってしまえば同意管理なんですよね。
それを今カスタマイズして、まさにこういう用途に使っていただくというのは実際にあったりします。

<まとめ>
確かに会員IDを持っている企業だったら誰しもが感じることですよね。
会員ID管理できるツールは国内でもございますので、Cookieと会員ID両方の同意を管理していくことが、今後のスタンダードになりそうな気がしてきました!

●最後に

今回はセミナーでいただいたご質問の中からいくつかピックアップしてご紹介させていただきました。
今後、データプライバシーへの取り組みを進める上では、個人情報保護法レベルでの対応のみならず、「ユーザー視点」での対応が重要だということが分かりました。
直近の具体的なアクションとして、CMPツールを導入する企業が増えてくることが想定されますが、
ツール導入についても複雑な部分がありますので必要に応じてパートナーと組みながらプライバシーポリシーもどこまで記載していくのかの議論が必要かと思います。

以上、最後までご覧いただきありがとうございました。
その他データプライバシーに関するご相談はこちらから。ぜひお気軽にご相談ください。

●関連記事

DataSign、DataCurrentが語る、企業のデータプライバシーに必要な要素と改修・見直しの秘訣
本セミナーの様子を一部ピックアップし、データプライバシーのあるべき姿、プライバシーガバナンス、対応策とタイムラインについてご紹介しています。

本記事に関するお問い合わせやその他ご相談は下記にて承ります。お気軽にお問合せください。
株式会社DataCurrent
info@datacurrent.co.jp