• HOME
  • メディアDMJ
  • Cookie同意だけで大丈夫?プライバシー保護の本質はマーケティングデ…

TEXT: DMJ編集部

Cookie同意だけで大丈夫?プライバシー保護の本質はマーケティングデータ管理にあり

 
改正個人情報保護法、Cookie規制への対策として、Cookie利用の同意取得が話題に上がりますが、それだけでは本質的なプライバシー保護は実現できません。根本的な「マーケティングデータ管理」によって、顧客データを活用した施策と個人情報保護が両立できるのです。今回は、CDPなどのテクノロジーをどのように活用し、同意取得管理とデータ活用を高度に実現するかを解説します。/2022年3月8日 アドタイ・デイズ2022春 登壇内容より抜粋(解説:アンダーワークス執行役員 田口 裕)

マーケティングデータと個人情報保護の関連性

社内に散在するマーケティングデータを統合し、活用するには、発生するデータの取得から利用に至るまでのマネジメントプロセスを定義した上で、必要な業務フローやツールを整備していきます。その実現にあたっては、データ管理の基盤となるCDP(カスタマーデータプラットフォーム)の導入・整備が必要不可欠です。このように統合されるマーケティングデータの中で、「個人情報保護」を実現するために、CRM上に蓄積されていくデータにどう臨むべきか、解説します。
 

マーケティングデータの統合利用イメージ

Web行動データ収集に欠かせないCookieと利用同意取得

日本においては2022年4月に改正個人情報保護法が施行されましたが、2018年のGDPR施行以降、企業のWebサイトではCookieを利用するにあたっての同意取得に向けた通知のポップアップや、Cookie制御の実装が進んできました。
 
Cookieとは、ユーザーが最初にWebサイトに訪問した際にデバイスに保存される識別子、つまりユーザーを識別するデータです。PCやスマートフォンといったデバイス単位ではなく、Webサイトを訪問したブラウザごとにCookieが発行されます。従来、Cookieはセッション管理に利用されてきましたが、今ではWeb広告の効果測定やトラッキング、アクセス解析、MAのスコアリングなどにも利用されるようになりました。
>> 参考:いまさら聞けない、Cookieって何?
 
個人情報保護法の改正と共に「脱Cookie」や「クッキーレス」、「アフタークッキー」などのキーワードを見るようになりましたが、他社から入手するサードパーティクッキーと異なり、ファーストパーティクッキーは今後も利用され続ける可能性が高いでしょう。
 

ファーストパーティクッキーとサードパーティクッキー

 
実際にCookieを取得し活用するためには、アクセス解析ツールやMA、Web接客・レコメンドツールなど、Webサイトの裏側でさまざまなマーケティングツールが動いています。これらのツールの挙動を制御するところまでが、「Cookieの同意取得管理」になります。
 

データ活用の本丸「個人情報の利用同意取得管理」

ユーザーが提供する個人情報(データ)を利用する際には、2つの同意取得管理の範囲を認識した上で、対策や仕組みを整備する必要があります。ひとつは、Webサイト訪問時にポップアップを出して、ユーザーにCookieの利用許諾をとること。もうひとつは、Webサイト訪問後、サイト上のコンテンツ閲覧やダウンロードによって、詳細の個人情報をユーザーに記入させることです。
 

個人情報の同意取得管理には2つの範囲がある

ステージ別、個人情報を取り扱う際の注意点

個人情報(データ)を取り扱う際、一般的には「取得」「保管」「保護」「利用」「廃棄」の5ステージで整理すると必要なアクションと注意点を理解しやすくなります。
 

デジタルマーケティング活動で個人情報(データ)を取り扱うステージ

 
①個人情報の取得

個人情報(データ)を取得するタイミングでは、適切なポリシーの提示における不備や、ユーザーからの同意取得における不備がリスクになります。企業の信用やブランディングのためにも、最新の法規制に準拠したプライバシーポリシーを提示していくことが重要です。
 

②個人情報の保管・蓄積

次の「保管」のステップでは、アクセス管理や情報漏洩防止措置の不足が大きなリスクになります。欧州においては、個人情報を不正に利用したことよりも、漏洩したこと自体や不正な場所で管理していたなどのインシデントに対し、厳重な罰則が課せられていることからも注意が必要です。
 
収集・蓄積している個人情報に対する不正なアクセスや、不正なサイトへの誘導、安全ではない保管場所への個人情報提供、ポリシーで提示した条件と大幅に異なる条件での保管、故意・過失による保管場所からの個人情報漏洩には十分に注意しましょう。
 

③個人情報の保護

個人情報に関するデータ保護について、組織横断的な取り組みや予算確保を実現するためにも、経営層やマネジメント層の理解や認識を高めることが重要です。全社的なデータガバナンス方針の策定や、組織的な保護体制、システムのセキュリティ強化や更新に対する投資。
 
個人情報を利用しているシステムやWeb施策の把握、個人情報の保護基準、準拠法、準拠規格に対する不足や無関心は大きなリスクになります。
 

④個人情報の利用

利用の面では、ユーザーの同意を得た範囲外でのデータ利用や共有や、ユーザーのプライバシーの侵害が大きなリスクとなります。個人情報の保護と利用は一気通貫に連携しないと、データを誤って使用したり、悪意のある第三者に共有してしまうなど、さまざまなトラブルが生じます。ユーザーが不信感を抱く原因にもなるので、細心の注意が必要です。
 
実際に個人情報(データ)の利用においてトラブルとなり得るケースと、その対応方法を見てみましょう。たとえば、ユーザーがメールアドレスを用いて企業のサービスに登録した場合、企業側のプライバシーポリシーやCookieポリシーに基づいてWeb行動データやメールアドレスといった個人情報のデータが取得されています。しかし、取得後に法改正などが生じた場合は、最新の法律に準拠したプライバシーポリシーやCookieポリシーが必要になります。これまでにデータを取得したユーザーについても、新しいポリシーへの同意はまだしていないことになるのです。
 
よって、企業側は、これまでの個人情報利用の同意取得の履歴を元に、新しいポリシーへの合意を改めて取得することが必要になります。これを「再オプトイン」と呼びます。新しいポリシーに同意しない限り、そのユーザーのメールアドレスの利用、たとえばマーケティングメールの配信などは行うことができません。
 
メールアドレスの再オプトインをそもそも実施するかどうかは、これまでにユーザー単位で同意取得の履歴が正しく取れているか、どのようなポリシーに同意をもらっているのかが判断ポイントになります。Cookieポリシーを新設している場合は、ユーザー整理の一環として再オプトインを実施するというのも一つの判断になります。
 
その上で、ユーザーに再オプトインを求める場合は、対象ツールや対象者の洗い出しを行い、どのような方法で行うかがポイントになります。
 

個人情報データの利用とメールアドレスの再オプトイン

 
このタイミングにおいて、一定のユーザーから「これ以上は個人情報を使わないでほしい」といったリクエストが発生する場合もあります。そのような場合には、個人情報の廃棄を可能にする仕組みが必要になります。
 

⑤個人情報の廃棄

個人情報の廃棄段階では、個人情報・データの把握不足や廃棄を可能にする仕組みの不足が大きなリスクになります。情報のオーナーであるユーザーの要請により実施する個人情報の廃棄処理、Opt-out処理が不完全であると、法規制で定められている義務が不履行になってしまうケースもあります。
 
使えないけどこのデータはとっておこう、といったマインドセットで動くケースも少なくはありませんが、残した個人情報が漏洩するリスクや、誤って利用した場合のリスクが高まるため、きちんと廃棄できるようにしておく必要があります。

個人情報を含むマーケティングデータの流れとCDP、CMP

前述の「取得」「保管」「保護」「利用」「廃棄」といった5つのステージをまたぐ個人情報の適切な取り扱いは、顧客データ管理プラットフォーム(CDP)や同意取得管理プラットフォーム(CMP)なしでは実現が難しいでしょう。実際にCDPやCMPを導入する際には、それぞれのプラットフォームの管理範囲や、機能連携を適切に設計することが求められます。
 

CDPとCMPの関連性

 
企業内に保有されている顧客データの管理プラットフォームであるCDPと、個人情報利用の同意取得を管理するCMPは、個人情報について異なる側面からそれぞれアプローチをする、表裏一体の仕組みでもあります。
 

CDPとCMPの補完関係

企業における包括的な対策の要点

個人情報保護法の規制対策は、自社の個人データの取り扱い業務を評価し、施策を立案して運用するサイクルを継続的に繰り返すことであり、決して一過性のものではありません。
 
自社の対策状況がどうなっているのか、マーケティングデータの取り扱い方が正しいのかわからないという場合は、まずは「データマッピング」を実施してみましょう。データマッピングとは、組織、プロセス、データの現状を適切に把握するもので、法規制対策の第一歩になります。
 
具体的には、組織=個人データを利用している部門や担当者を、プロセス=個人データの収集手法や手順を、データ=収集している個人データの種別や所在を、それぞれ特定する作業になります。
 

個人情報保護規制対策の実行サイクル

 
法規制対策の全体像は、個人データ運用業務の新しい規定に基づいた改訂と説明責任を果たすための業務記録の管理、それらを支えるテクノロジーの導入と活用になります。法規制対策も含め、技術的な対策や基盤整備を含めて、企業は組織全体でデータ活用の取り組みを実行する必要があります。この考え方を「Technical and Organization Measures(TOMs)」ともいいます。
 

個人情報保護法対策の全体像
Technical and Organizational Measures(TOMs)

Cookie規制対策とデータ活用のまとめ

自社のWebサイトで表示するCookieの利用同意は、単にポップアップを表示させるだけでは不十分であるため、裏側で動かしているマーケティングツールの制御までを視野に入れた実装をする必要があります。そして、利用同意ポップアップだけではなく、個人情報利用同意取得の管理をしてこそが、本当の「同意取得管理プラットフォーム」=CMPの設計であることを忘れてはなりません。
 
個人情報となるデータ管理の5つのステージや、CDPとCMPの表裏一体についても解説しましたが、これらの個人情報保護法の対策やシステムなどの基盤整備・活用は、一部門だけではなく企業や組織全体で取り組んでいく必要があります。法改正の最新情報や、他国の状況についてもアンテナを張りながら、技術的にも組織的にも、ユーザーが安心できる個人情報保護対策を実現していきましょう。

CMPの導入はお済みですか?

・各国の法改正についての違いがよくわからない。

・GDPR対応でCookieの同意取得を実施したいが、どの製品がよいのかよくわからない。

・同意取得から管理まで総合的なプラットフォーム構築を検討している。

アンダーワークスでは、多数のCMP導入実績がございます。また、CMPの選定や導入だけでなく、プライバシーポリシー改定のご支援も可能です。 まずはお気軽にご相談ください。

関連サービス

CDP(カスタマーデータプラットフォーム)
ポリシー改定支援
マーケティングテクノロジースタック基盤構想

この記事を書いた人

DMJ編集部

デジタルマーケティングジャーナル編集部。最新トレンドやテクノロジー情報と、オピニオンを紹介しています。

関連記事

デジタルマーケティングジャーナル 一覧