Google ChromeでのサードパーティCookie廃止の発表や個人情報保護法の改正など、プライバシーデータを取り巻く環境は過渡期を迎えています。環境が大きく変わる中、CDPによるデータ活用と今後さら重要になる「データ利用に関する同意」の管理をどのよう進めればよいのでしょうか。
株式会社マイデータ・インテリジェンスの森田弘昭氏と株式会社電通デジタルの白髭良氏が、対応のポイントと同意管理ツールCMP(コンセント・マネジメント・プラットフォーム)について解説しました。
※本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッション「アフターCookie時代における新しいCDPの使い方と同意管理」をもとに編集しました。
森田 弘昭 氏
株式会社マイデータ・インテリジェンス
取締役執行役員COO
広告代理店の営業を経て、1998年電通テック入社。 銀行、クレジットカード会社、不動産会社、 大手流通チェーンを中心に、顧客企業のオウンドメディア、CRM等のデジタルマーケティング戦略・実装に携わる。デジタルマーケティングセンター長、 ID事業室長を歴任。2018年9月より現職。生活者と企業をつなぐ新たなエコシステム構築から、安心安全なパーソナルデータ流通の社会を目指し、生活者向けの「情報銀行サービス」、企業向けの「情報信託プラットフォーム」、「同意許諾管理プラットフォーム」の立ち上げを行う。総務省、経済産業省「情報信託機能の認定スキームに関する検討会」委員、「情報信託機能普及協議会」理事。
白髭 良 氏
株式会社電通デジタル
データ/テクノロジー領域
データ/テクノロジーストラテジー部門
シニアコンサルタント
10年以上、デジタルマーケティングの提案・コンサルテーション業務に従事。国内の大手企業を対象に10数社にマーケティングオートメーションやDMP・CDPの製品選定・導入支援・運用支援業務を担当。2017年より電通デジタルに入社。現在は、自社データプラットフォームの開発から様々な顧客ニーズに対応した提案・コンサルティング業務を担当している。
PLAZMA会員になると、動画をご覧いただけます。
<目次>
プライバシーデータを取り巻く環境の変化
森田 DXが広く浸透する現代はまさに「プライバシーファーストの時代」だと言われています。企業が生活者と向き合っていく中で、いかに生活者のデータをしっかりと守っていくか、もしくはデータの取り扱いにいかに配慮できるかが成功の鍵を握るといっても過言ではありません。
ヨーロッパのGDPRをはじめ、アメリカのCCPA2.0も2020年12月にスタートしました。日本においても、2022年の4月頃に改正個人情報保護法が新たに施行されます。
また、GoogleはサードパーティCookieの利用廃止を段階的に進めていくと発表しました。代替機能を新たに提供開始するという報道も出ています。Apple社もITP(Intelligent Tracking Prevention)によるトラッキング規制を引き続き進める中、新たなトラッキング規制、データ利用明示強化などを進めていくとしています。
Treasure Data CDPをはじめとしたCDPの利用にも大きく影響が考えられる中、今回はこのプライバシーに関わる部分をネガティブに捉えるのではなく、いかにポジティブに捉えていただくかという視点でお話しします。
CDPの利用にも影響する、改正個人情報保護法の概要
白髭 一番影響があるポイントは改正個人情報保護法です。この改正個人情報保護法がどう変わり、改正後はCDPをどのように運用していくべきでしょうか。
まず、下図は個人情報保護委員会が公表した改正個人情報保護法の概要です。この中で特にCDPの運用に特に影響しそうな部分、赤文字で書かれている「個人の権利のあり方」そして「データ利活用に関する施策のあり方」の2点を中心に説明いたします。
個人の権利の在り⽅と企業側に求められる対応
白髭 「1:個人の権利の在り⽅」の内容を分かりやすく説明すると、以下の通りです。もともと個人データ利用の停止・消去・第三者提供の停止請求をすることはできましたが、要件がかなり緩和されたためより請求しやすくなります。デジタル形式での情報や個⼈データの授受に関する第三者提供記録も請求可能になります。
この変更により、CDPを運用している企業側にも対応を求められるようになります。請求された際には速やかに個人データを特定し、開示または利用停止、消去などを行わなくてはなりません。
具体的には、ファーストパーティデータを中心に取得した様々なオーディエンスデータなどを名寄せして、共通IDで管理しておく必要が出てきます。あらかじめTreasure Data CDP内で蓄積しておいた各データソースを共通IDで統合した上で、削除依頼が来たときはその統合された共通IDを削除する、開示請求が来たときはその共通IDをベースにデータ開示をする、といった運用が必要になります。
データ利活⽤に関する施策の在り⽅:仮名加工情報とは
白髭 続いて「4:データ利活⽤に関する施策の在り⽅」について説明します。ここでは「仮名加工情報」という新しいワードが出てきます。
この「仮名加工情報」は、もともとあった「匿名加工情報」とそこまで大幅に変わるものではありません。違う点は、匿名加工情報にある「当該個⼈を復元することができないようにしたもの」という文言が、仮名加工情報には入っていないことです。
上図のうち、左側の図はデータベースに個人情報が格納されているイメージです。
右上の図は元データを加工した仮名加工情報です。仮名加工情報は、他のデータと照合することにより元の個人情報に復元することができます。
仮名加工情報という枠組みが追加された背景には、ビッグデータの利活用推進があります。ビッグデータを扱うにはどうしても個人情報を取り扱う必要が出てきます。しかし、取り扱いにはかなりのリスクが伴います。
そこで、例えばクラウドに個人情報を置くリスクを軽減したり、データ分析官が直接個人情報を見られない状態にしたりといった目的のために、復元可能ではあるけれども一見して個人を識別できないよう加工する手法が用いられます。その状態を表すためにこの仮名加工情報という概念が取り入れられたのです。
データ利活⽤に関する施策の在り⽅:個人関連情報とは
白髭 次に「個人関連情報」について説明します。これも新しいワードです。
個人関連情報とは、生存する個人に関連する情報であって、かつ個人情報でも仮名加工情報でも匿名加工情報でもないものです。具体的にはCookie情報やIPアドレスなどが該当します。
改正個人情報方語法では、個人関連情報を第三者提供する際に制限が付くようになりました。第三者に提供した個人関連情報が個人情報と紐付けられる場合は、事前にそのユーザーの許諾を得る必要があるという内容です。
企業がユーザーから取得したCookie情報を第三者であるDMP事業者に渡し、Cookie Syncにより個人を特定して行動分析などを行った際、ユーザー側の同意を取得していなかったことで問題になったケースが以前ありました。改正後は第三者提供をする際にも活用用途を明確にした上で同意取得をする必要があります。
CDPを運用する上では、この同意をどう取得するか、そしてどう管理していくかがポイントになります。ここで重要なのが、下の図に書かれているCMP(コンセント・マネジメント・プラットフォーム)というツールです。
CMPは主に同意管理を目的としたツールです。CDP単体で同意管理をするのはなかなか難しいため、こういったツールと連携して同意管理を行うのがスタンダードになっていくと考えられます。
環境の変化の中でいかにCDPを活用していくか
白髭 ここまでの話から、CDPの運用が大変になるというイメージをお持ちになるかもしれませんが、この法改正は改めてユーザーとの関係性や信頼関係を見直すよい機会でもあります。あまりネガティブに捉えず、このタイミングでCRM戦略を見直すのも重要です。
「ゼロパーティデータ」とCRM
白髭 昨今、顧客体験を提供するための「ゼロパーティデータ」が注目を集めています。ゼロパーティデータとは、ユーザーが企業に対して意図的に共有するデータです。趣味趣向や志向性、購入意向など、ファーストパーティデータよりもさらに個人に踏み込んだ情報を指します。
下図はアパレルメーカーにおけるゼロパーティデータの活用イメージです。顧客データをリッチ化することによってOne to Oneマーケティングをより最適化するという考え自体は以前と変わりませんが、ゼロパーティデータを取得することによって、例えばレコメンド施策などにおいて、One to Oneマーケティングをより精緻化していくことができます。
このゼロパーティデータをユーザーから提供してもらうために、企業はベネフィットや顧客体験をわかりやすい形で提示する必要があります。
「データクリーンルーム」とファーストパーティデータの連携
白髭 続いて広告回り、「データクリーンルーム」についてです。データクリーンルームとは、GoogleやAmazonのような巨大プラットフォーマーが持つ匿名化・統計化されたデータを、セキュアな環境で特定の企業のみがアクセス可能な状態にしたものです。
データクリーンルームとCDPに蓄積したファーストパーティデータを連携することで、潜在顧客の発掘とそこへ向けた広告配信、ユーザー分析などに利用することができます。
サードパーティCookieの規制が強まる中、データクリーンルームの需要は高まっています。ポイントは連携するためのファーストパーティデータをいかに収集するかです。先ほどのゼロパーティデータ取得と同様、顧客との信頼関係構築が重要になります。
今後のマーケティングプロセスにおける同意管理の流れ
白髭 改正個人情報保護法ではデータ利用に関する本人の同意の扱いに、変更や追加がありました。これに対応し、適切な同意管理の仕組みを用意する手順について説明します。
下図は個人情報保護委員会が提示している改正個人情報保護法のロードマップです。2021年の夏から秋にかけてガイドラインが公表されるので、このガイドラインを確認してから進める必要があります。
まず企業側がやるべきことは、データ取得状況の確認です。現在行っているマーケティング領域で利活用している個人データ、特にWebサイトの閲覧ログや広告の接触データ、SNSの投稿やメールアドレスなど、マーケティングデータをどのように取得しているかを洗い出す必要があります。
次に、既存施策や新規施策で活用するデータや課題、対応策などをまとめ、データ活用戦略を策定します。
そして、その戦略をまとめた上でデータアセスメントを行い、同意の取得方法や仕様を検討していきます。弁護士に相談の上、利用規約やプライバシーポリシーも改定します。
最後に、同意管理ツールであるCMPの選定と導入です。これについては次項で森田さんから説明いただきます。
CMP選定と導入のポイント
森田 CMPとは、コンセント・マネジメント・プラットフォームの略称です。Webサイトや会員サイトを訪問・登録しているユーザーから規約改定やデータ利用の同意を取得し、その同意情報をユーザーごとに管理する機能を持ちます。
Webサイトを訪問した際、このような「同意をしますか」というバナーやモーダルが表示されるのを多くの方が見たことがあると思います。これもCMPの機能のひとつです。
CMP選定のポイント:同意管理できる範囲
森田 一口にCMPといっても様々なツール・機能があります。どのCMPを選ぶべきか迷うこともあるでしょう。ひとつのポイントは「同意管理できる範囲」です。
Cookieデータがデジタルマーケティング上重要なデータであることは今後も変わりはありません。それに加え、今後は先程の白髭さんのお話にもあったとおり、ゼロパーティデータ、ファーストパーティデータはますます重要になってきます。
その中で、氏名や住所、さらにセンシティブな口座番号など、PII(個人を特定できる情報)の同意管理がしっかりできるCMPを選ぶことが重要になります。
①同意取得の際は利用目的に沿って文書を作成し、それを一つずつマネジメントする必要があります。また、②第三者提供先がどこであるか、どのような利用をするかも明示していく必要があります。
そして③生活者1人ひとりの同意をしっかり管理をする、この3点が行えるCMPかどうかが一つの判断基準になるのではないでしょうか。
CMP選定のポイント:国内法に対応しているか
森田 また、日本の国内においては、改正個人情報保護法や民法、もしくは各産業における業法に適応しているかどうかもCMP選びのポイントです。
CMP選定のポイント:社内で運⽤しやすいか
森田 今後はプライバシーガバナンス体制を構築する企業も増えてくるでしょう。作成した規約文書の稟議を上げるスキームや、それを可視化できるマネジメントシステムがCMPに備わっているかどうかもスムーズな体制運用に影響します。
まとめ:現状を見直した上で新たなデータ活用戦略を
森田 今後もCDPを活用してデータを収集・利用していく上では、同意管理が非常に重要です。同意管理を行う上で、CMPの導入も検討していただければと思います。
ただし、CMPの導入だけで全てが解決できるわけではありません。現状のデータプライバシーに関する仕組み・取り組みについて、法対応が適切にできているか、ガバナンス体制が構築できているかを評価し、その結果を踏まえて新たなデータ活用の戦略を策定するのも重要なポイントです。
電通グループのマイデータ・インテリジェンス、電通デジタルは、この領域に関してワンストップで支援可能です。
本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のセッションをもとに編集しました。
マイデータ・インテリジェンス、電通デジタルについて、さらに詳しい情報をお知りになりたい方はinfo@mydata-intelligence.co.jpまでお問い合わせください。
