CMP(同意管理プラットフォーム)とは?必要性とGDPRとの関係を解説

CMPデータ管理・活用 2020.06.29
CMP(同意管理プラットフォーム)とは?必要性とGDPRとの関係を解説

EUで施行されたGDPR、カリフォルニア州で施行されたCCPAなど、個人情報の扱いにまつわる法律の制定により、世界基準におけるセキュリティ面のルールは厳格化されつつあります。

施行された場所こそ海外であるものの、これらは特定の条件を満たす日本企業にとっては大いに関係のある法律です。
こうした背景のもとで既に導入が進められている「CMP(同意管理プラットフォーム)」をご存知でしょうか?

このページでは、CMPの概要や必要性、導入が求められる背景についてご説明します。

1. CMPとは?

CMP(Consent Management Platform)は、Webサイトやアプリケーションを利用するユーザーに対して、データの取得や利用の同意を求めるためのツールです。「同意管理プラットフォーム」とも呼ばれます。

ユーザー情報はCMPによって収集・保管される仕組みとなっており、ユーザーは自身の情報がどのような目的で利用されているのか、どういったサービスに利用されているのかといった事項の確認が可能となります。

CMPはなぜ必要なのか

CMPの必要性が意識される背景には、世界規模で進められている「個人情報保護の厳格化」の動きがあります。

オンライン上で収集・利用されるデータが「保護すべき個人情報」と定義されつつあり、ユーザーからデータ取得・利用する際に同意を得る必要が出てきました。その手段として必要となっているのがCMPです。

また、法律に則る意味合いだけではなく、CMPを通じてデータの取得や利用の同意を得ることでユーザーに信頼感を与えられるため、ポジティブなUX(ユーザー体験)を実現するための方法としても期待されています。

2. 世界の個人情報保護の流れ

企業がCMP導入を意識する状況は、EUで施行されたGDPRを皮切りにして拡大しつつあります。

ここではEUで施行されたGDPR、アメリカのカリフォルニア州で施行されたCCPAを解説し、日本の個人情報保護法の現状と今後の動向についてご紹介します。

GDPRについて

GDPR(General Data Protection Regulation)は、2018年5月に施行されたEUにおける個人情報保護のための法律です。「EU一般データ保護規則」とも呼ばれます。

GDPRは、広範囲にわたる個人の識別情報を保護対象としており、氏名や所在地だけでなくCookieやIPアドレスなどのオンライン識別子も保護すべき個人情報と規定しています。

また、個人情報を取得する場合、ユーザーに同意を求めることを必須とし、ユーザーに対してデータ取得の目的や保管期間等を明示しなければなりません。

上記の内容以外にも、GDPRでは個人情報の取り扱いに関する細かな規定が示されており、日本国内の企業であっても以下のケースではGDPRの遵守が必要となります。

  • EUに子会社・支店・営業所を有している
  • 日本からEUに商品・サービスを提供している
  • EU域内から個人情報の処理を受託している

  参考:EY Japan「EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項

本社を日本に構える企業であっても、上記にあてはまる場合はGDPRと無関係ではないため、同ルールによって定められた事項を意識しなければなりません。

GDPRに違反した場合、制裁金として以下の基準をもとに巨額の罰金の支払いを強いられます。

日本貿易振興機構(ジェトロ)「「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)」日本貿易振興機構(ジェトロ)「「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)」

出所:日本貿易振興機構(ジェトロ)「「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)

CCPAについて

CCPA(California Consumer Privacy Act)は、2020年1月に施行されたカリフォルニア州の住民を対象とする個人情報保護の法律です。「カリフォルニア州消費者プライバシー法」とも呼ばれます。

GDPRは個人情報の取得・利用の同意を得ずに個人情報を使用する行為を禁じている一方、CCPAでは個人情報を取得・利用することに制限を課してはいません。
消費者から個人情報にまつわる情報の開示・削除を求められた際に、「情報開示・削除に対応しなければならない」という決まりがCCPAの大枠です。

GDPRと比較して、事後対応に主眼を置いた法律だといえるでしょう。

カリフォルニア州民の個人情報を収集しており、カリフォルニア州で営利目的の事業を行う企業のうち、以下のケースにあてはまる場合はCCPAの対象になり得ます。

  • 年間の総収入が2,500万ドル以上
  • 年間5万以上のカリフォルニア州民の個人情報を処理(購入・取得・販売等)している
  • カリフォルニア州民の情報を販売して年間収入の50%以上を得ている

  参考:日本貿易振興機構(ジェトロ)「施行が迫る「カリフォルニア州消費者プライバシー法」(米国)

消費者側から情報の開示・削除等を要求された場合は、45日以内の対応が必要です。仮にCCPAの規定に違反すれば、消費者の請求1件につき最大2,500ドル(故意である場合は最大7,500ドル)の罰金を科せられる恐れがあります。

日本の個人情報保護法の現行法

2020年5月現在において、日本の個人情報保護法とGDPR・CCPAを比較したとき、最大の相違点として挙げられるのが「個人情報にまつわる請求権」です。

GDPRやCCPAでは、情報の削除に対して消費者が強力な請求権を有しています。一方、2020年に見直し対象となっている日本の個人情報保護法では、個人情報の利用停止・削除などの請求権が以下のように「個⼈の権利、または正当な利益が害される恐れのある場合」に発揮されるよう調整される見通しです。

個人情報保護委員会「個⼈情報の保護に関する法律等の⼀部を改正する法律案(概要)」

出所:個人情報保護委員会「個⼈情報の保護に関する法律等の⼀部を改正する法律案(概要)

また、GDPRやCCPAでは個人情報の保護対象となるCookieが、日本の個人情報保護法では「具体的な個人情報と紐付く形」でなければ保護対象にあたらないなど、GDPR・CCPAと比較して規定は易しい傾向にあります。

ただし、日本も海外に追随して個人情報の扱いを厳格化する流れが強くなっており、消費者側もメディアを通じて頻発するセキュリティインシデントの報道を目にすることで、セキュリティ意識は高まりつつあると考えられます。

そのため、個人情報に対して慎重な扱いを心がけ、消費者の信頼を獲得するために行動を起こす姿勢は、今後多くの企業に求められるでしょう。

3. まとめ

GDPR・CCPAを始め、海外では個人情報の保護を強化する傾向が強くなっています。これらの法律と比較して日本の個人情報保護法は規制が緩やかな傾向にあるものの、グローバル化が急進する現状を考慮するなら、可能な限り世界基準のルールに対応できる体制構築を意識すべきです。

今後は、日本企業も個人情報にまつわる諸制度に対してアンテナを張りつつ、その一環として自社メディア・サービスにCMPの導入を検討することが求めらるようになると考えられます。また、世間が個人情報の扱いへ敏感になっているいま、CMPは「ユーザーと信頼関係を構築するUXのための手段」として有効である点にも注目すべきでしょう。