みなさんはCMP(Consent Managememt Platform)というツールをご存じでしょうか。おそらくあまり耳にしたことがない人も多いかと思います。しかし、昨今の個人情報保護法の改正を始めとしたプライバシー保護の潮流に伴い、企業にとってCMPは非常に重要なツールとなっていきます。
そこで本記事では、CMPについて「どのようなツールなのか」「誰にとって必要なのか」といった観点から紹介します。
CMP(Consent Management Platform)とは
CMPとは「Consent Management Platform 」の略称であり、日本語では、クッキー同意管理バナー、同意管理プラットフォーム、同意管理ツールと呼ばれています。
CMPは、Webサイトやアプリ上で、ユーザーのデータ取得や利用に関する情報を提供し、同意を得るためのツールです。具体的には、Webサイト上で表示される下記のようなポップアップの背後で動いているシステムとして、CMPが導入されている場合が多く、企業がWebサイトを訪問したユーザーに対してクッキーデータを取得し活用することについての許諾を取り、そのデータを管理することを目的としています。
このツールを導入することにより、ユーザーの同意を収集、管理することができます。
CMP・クッキー同意管理バナーがなぜ必要なのか
では、CMP・クッキー同意管理バナーはなぜ必要性が高まっているのでしょうか。
改正個人情報保護法で新設された『個人関連情報』
2020年6月に公布、2022年4月に施行された、改正個人情報保護法では、Webサイトで取得するクッキーデータが『個人関連情報』と定義されています。
個人関連情報とは生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを指します。他にも個人関連情報には、IPアドレスやネット利用者が使用しているOS・ブラウザの情報などが含まれています。
個人関連情報の活用における同意の必要性
取得したクッキー情報などの個人関連情報の活用に際して、
・個人関連情報を第三者に提供し、
・その提供した個人関連情報が提供先で個人情報と紐づけられる場合、
ユーザーからの同意が必要となります。
必ずしもすべてにおいて同意が必要というわけではなく、個人関連情報の第三者提供の有無、加えて提供した個人関連情報が提供先で個人情報と結びつけられるかどうかに依存しています。
よくあるケースとして、例えば企業が外部DMPを利用するにあたり、DMPタグを企業サイトに設置し、そこから得られたクッキーデータをDMPを介して企業に送信する状況があります。このケースにおいて、DMPから企業に送信されたクッキーデータ(個人関連情報)と企業が持つ個人情報が紐づく可能性があり、同意取得が必要となる場合があります。
昨今多くの企業が、自社データだけでなく、クッキーデータを収集し活用をしています。これまでは個人情報保護法での規制対象にはなっていませんでしたが、改正個人情報保護法で新設された『個人関連情報』に該当することから、今後企業にとって同意取得の対応の必要性がますます高まると言えるでしょう。
関連ブログ記事
CMP・クッキー同意管理バナーの具体的な機能とメリット
CMP・クッキー同意管理バナーの概要を読んで、「自社で作るポップアップで十分」「フリーツールで事足りるのでは?」と感じた方もいらっしゃるかもしれません。しかし一口に同意取得を行うといっても、企業がそれを実行するにあたっては、様々な課題があります。
例えば、多数のベンダーのデータ収集ツールやタグをドメイン内に抱えている場合、各部署のデータ収集の実態把握や、ベンダーそれぞれについてオプトアウト導線等の整理、プライバシーポリシーの確認を行う必要があります。
このような課題を解決する手段の一つとしてCMPツールの実装が考えられます。ここからはCMPが有する一般的な機能とそのメリットについてご紹介します。
CMP・クッキー同意管理バナーの機能
1. 同意情報の取得
CMPの最も基本的な機能となります。各ユーザーの同意ステータスを多くの場合、ブラウザのクッキーに記録します。
2. 各国法規制への対応
CMPにより対応している法律の種類や数は異なりますが、日本の個人情報保護法だけでなく、GDPRを始めとした海外法にも柔軟に対応できるツールがあるため、1つのツールで海外用サイトでの対応を完結することが可能です。法律に改正があった場合には、その法律に準拠しているCMP or ツールであればその法律に対してCMPベンダーが改正法へのアップデートを行います。これにより、法規制へのキャッチアップに割くリソースを大幅に減らすことができます。
3. ポップアップのデザイン機能
同意取得ダイアログのデザインをプログラミングレスで簡単に作成することが可能なため、配色や表示位置等のデザインにかかる工数を削減することができます。
4. 配信設計
サイト訪問者の国を基にした同意取得ダイアログの出し分け機能です。これを用いることで来訪者の国に応じて、各国の法律向けにカスタマイズされたポップアップを表示することが可能です。複数の対象地域で横断的に同意取得を行う場合などに有効な機能です。
5. データの受け渡し制御
同意情報の取得機能で収集した同意ステータスを基に、タグの発火を制御することでユーザーデータの送信をコントロールする機能です。
6. レポート機能
日次のアクセス数や同意取得数を可視化する機能です。期間を指定したレポートなども作成可能です。
このようにCMP・クッキー同意管理バナーはただ同意を取るだけのツールではなく、同意取得対応とその管理や最適化をスムーズに行うためのツールであると言えます。
CMP・クッキー同意管理バナーの導入が必要なケースとは
では、CMP・クッキー同意管理バナーはどのような企業に必要なのでしょうか。
これを判断するポイントは、以下の三点です。
1. 第三者提供の可能性
一つ目は、自社のマーケティングにおいて、本人同意が必要な形で、データの第三者提供をする、または第三者提供を受ける可能性があるかどうかです。この可能性がある場合には、先述の通り個人情報保護法に基づいてユーザーから同意を取得する必要があります。
2. 自社の開発リソース
二つ目は、明示的な同意を取得するためのシステムを自社で開発することができるのかどうかです。これは、三つの観点に分解できます。
・今回の法改正に対する開発のための工数を確保できるか
・今後の法改正に合わせたシステムの更新が可能か
・個人情報保護法に関する専門的な知識を持った人材がいるか
3.ブランド価値/信頼性低下への対応
三つ目は、クッキー同意管理バナーを設置しないことで企業のブランド価値や信頼性が低下するリスクを回避するかどうかです。
競合他社がバナーを設置して同意を取得しているのに対し、自社がそれを行っていない場合、ユーザーから「他社よりもプライバシー対応が不十分な企業」と見なされる恐れがあります。こうしたユーザーの認識を考慮し、リスクを回避するためにも、クッキー同意管理バナーの設置が重要となります。
上記から、本人同意が必要な形でデータの第三者提供を行う可能性があり、特に同意取得対応に割けるリソースが少ない企業にとってCMP・クッキー同意管理バナーは必須のツールであるといえます。
まとめ
今回の記事をまとめると、大きく3つのポイントになります。
①CMP・クッキー同意管理バナーの必要性が高まる背景
世界的なプライバシー保護の流れを受けて、日本においても改正個人情報保護法が2022年4月1日から施行されます。個人情報保護法の改正により、オンライン識別子(クッキーデータ等)のような個人関連情報を第三者に提供し、かつその個人関連情報が提供先において、提供先の保有する個人情報と紐づけられる場合にはユーザーの同意が必要となりました。
②CMPツール・クッキー同意管理バナーの6つの便利機能
1.同意情報の取得
2.各国法規制への対応
3.ポップアップのデザイン機能
4.配信設計
5.データの受け渡し制御
6.レポーティング機能
③CMPの導入で同意取得対応に必要なコスト・リソースを大幅削減
・同意取得システムの開発/運用
・個人関連情報の受け渡し先の管理
・各国のデータ規制への法対応
本記事を読んで、CMP・クッキー同意管理バナーの導入にご興味をお持ちいただきましたら、お気軽にご相談ください!