CMP=コンセントマネジメントプラットフォームとは?必要性とGDPRとの関係を解説

CMPデータ管理・活用 2020.06.29
CMP=コンセントマネジメントプラットフォームとは?必要性とGDPRとの関係を解説

2018年にEUで施行されたGDPRや2020年にアメリカ・カリフォルニア州で施行されたCCPAなど、ここ数年で個人のプライバシー保護に関する法規制が世界的に強化されました。

最近ではGoogleが、プライバシー保護の観点から懸念の声が上がっていた3rd Party Cookieを2023年後半までに規制するとも宣言しており、各企業は自社のパーソナルデータの取り扱い体制の見直しを迫られています。

こうした背景のもとで、急速に導入が進められつつある「CMP(コンセントマネジメントプラットフォーム)」をご存知でしょうか?

このページでは、CMPの概要や必要性、導入が求められる背景をご説明します。

CMPとは?

CMP(Consent Management Platform:コンセントマネジメントプラットフォーム)とは、Webサイトやアプリケーションを利用するユーザーに対して、データの取得や利用の同意を求めるためのツールです。「同意管理プラットフォーム」とも呼ばれます。

CMPはユーザー情報をCMP上で収集・保管できる仕組みとなっており、ユーザー側からも自身の情報がどのような目的で利用されているのか、どういったサービスに利用されているのかなどの事項を確認できるのが特徴です。

CMPはなぜ必要なのか

CMPの必要性が意識される背景には、世界規模で進められている「個人情報保護の厳格化」の動きがあります。

オンライン上で収集・利用されるデータは「保護すべき個人情報」と定義されつつあり、ユーザーからデータを取得・利用する際には同意を得るべきケースが増えてきました。その手段として活用されているのがCMPです。

また、法律に則る意味合い以外にも、CMPを通じてデータの取得や利用の同意を得ることでユーザーに信頼感を与えられるため、ポジティブなUX(ユーザー体験)を実現できるのではないかと期待されています。

GoogleのCookie廃止でCMPはどう変わる?

CMPが必要な理由としてもう一つ押さえておきたいのが、2023年後半までに予定されているGoogleによる「Cookie廃止」です。

国内外の企業は今回のCookie廃止により、これまで3rd Party Cookieに頼っていたデータ取得を別の方法でおこなう必要に迫られています。その解決策となると期待されているのがCMPです。

利用目的などを公表し本人の同意を得るCMPであれば、ユーザーに対して透明性を担保した形でデータを取得できます。今後はこうしたユーザー同意を得るためのツールの導入が不可欠になるでしょう。

CMP導入のメリット・デメリットは?

急速に重要性が高まっているCMP。導入によって得られるメリット・デメリットも見ていきましょう。

ユーザー・企業の双方にメリットがある

CMPの導入はユーザー・企業の双方に対してメリットをもたらします。

企業はCMPを通じて、ユーザーの同意を得た状態でデータを取得できるようになります。結果としてユーザーに対して最適な製品やサービスの提案が可能となり、これまで以上にユーザー満足度の高い体験を提供できるでしょう。もちろん各種開示請求など法的な要請に対応しやすくなる点も大きなメリットです。

ユーザーとしても、自分の趣味嗜好に合った理想的なサービスを受けやすくなるほか、自分のパーソナルデータがどのように扱われているのかが把握できるようになります。不信感の少ない透明性のある形でサービスを受け続けることが可能です。

デメリットは事業規模が大きくなるほどコストがかかる

一方、CMP導入のデメリットは企業側にのみ考えられます。問題となるのはコストです。

CMPの導入にあたっては自社に適切な規模のCMPを選定する必要があります。多数のブランドを所有しているなど事業規模の大きい企業ではCMPで必要とする機能も多くなり、導入コストも相応に高額となりがちです。

また、CMPで取得したデータでも、自由に活用していいわけではありません。公表した利用目的のなかでのみ活用可能であり、別の目的で使用するためには新たに同意を得る手間がかかります。

CMP導入にかかる費用と導入タイミングは?

CMPの導入にかかる費用は、設置予定サイトのPVやドメイン数、利用できる機能や導入の難易度などによっても大きく変動します。自社のみで正確なコストを算出するのは難しく、まずは専門家への相談が必要です。

導入タイミングは、できる限り早めの導入をおすすめします。CMPは性質上、真に効果を発揮するのは導入直後ではなく、ユーザーから同意を得た形で多数のデータを収集したあとだからです。

2022年4月には改正個人情報保護法の全面施行が予定されていますが、この時期が近づいてからCMPを導入するのではなく、前もって導入を済ませることで事前に多数のデータを蓄積できます。施行後には蓄積されたデータを活用しつつ、慌てずに業務を進めていくことができるでしょう。

CMPの導入事例

CMPの具体的な導入事例として挙げられるのが弊社の公式サイトです。

Priv Techでは、サイトの訪問者に対してCookieの利用に関する同意を各種法令に準拠する形で求めています。クッキーポリシーを通じてユーザーへCookieの利用目的や取り扱い方針を公表したうえで、「同意する」あるいは「Cookieを無効化」という2つの選択肢を用意し、強制ではない同意取得を実現しています。

詳しくは弊社のクッキーポリシーをご覧ください。

世界の個人情報保護の流れ

企業がCMP導入を意識する状況は、EUで施行されたGDPRを皮切りにして拡大しつつあります。

ここではEUで施行されたGDPR、アメリカのカリフォルニア州で施行されたCCPAを解説し、日本の個人情報保護法の現状と今後の動向をご紹介します。

GDPRについて

GDPR(General Data Protection Regulation)は、2018年5月に施行されたEUでの個人情報保護のための法律です。「EU一般データ保護規則」とも呼ばれます。

GDPRは、広範囲にわたる個人の識別情報を保護対象としており、氏名や所在地だけでなくCookieやIPアドレスなどのオンライン識別子も保護すべき個人情報と規定しています。

また、個人情報の処理をおこなう場合には、同意等の適法化根拠を求めており、Cookieを利用する場合には、同意取得が強く求められます。

GDPRについて、詳しくは「GDPR施行により世界のプライバシー・データ保護はどう変化する?」をご覧ください。

CCPAについて

CCPA(California Consumer Privacy Act)は、2020年1月に施行されたカリフォルニア州の住民を対象とする個人情報保護の法律です。「カリフォルニア州消費者プライバシー法」とも呼ばれます。

GDPRは個人情報の取得・利用の同意を得ずに個人情報を使用する行為を禁じている一方、CCPAでは個人情報の取得・利用に制限を課してはいません。 消費者から個人情報にまつわる情報の開示・削除を求められた際に、「情報開示・削除に対応しなければならない」という決まりがCCPAの大枠です。

GDPRと比較して、事後対応に主眼を置いた法律です。

日本の個人情報保護法の改正

日本でも2022年には改正個人情報保護法の全面施行が予定されています。企業にとって特に影響が予想される改正点が「個人関連情報の新設」と「個人の持つ権利の強化」です。

今回の改正により、CMPと関係の深いCookieには新設された「個人関連情報」と呼ばれる枠組みに含まれることとなりました。個人関連情報の定義は以下のとおりです。

個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいう。 (例:氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報 等)

引用:個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)

個人関連情報は、取り扱いにあたって以下のとおり制限がかけられます。

個人関連情報取扱事業者が、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならない

引用:個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)

世界的な流れと同様、Cookieを扱う際には本人同意が重要となるケースが増えると予想されています。

個人の持つ権利(利用停止・削除などの請求権)は、ユーザーが各種請求をおこなえるシチュエーションを増やす形で強化されました。以下のように「個⼈の権利、または正当な利益が害される恐れのある場合」に各種請求ができるよう、従来よりも請求条件が緩和されています。

個人の権利の在り方

  • 利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の 場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも 要件を緩和する。 保有個人データの開示方法 (※)について、電磁的記録の提供を含め、本人 が指示できるようにする。
    (※)現行は、原則として、書面の交付による方法とされている。
  • 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
  • 6ヶ月以内に消去する短期保存データについて、保有個人データに含めることと し、開示、利用停止等の対象とする。
  • オプトアウト規定(※)により第三者に提供できる個人データの範囲を限定し、 1.不正取得された個人データ、2.オプトアウト規定により提供された個人デー タについても対象外とする。
    (※)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を 公表等した上で、本人の同意なく第三者に個人データを提供できる制度。

引用:個人情報保護委員会「個⼈情報の保護に関する法律等の⼀部を改正する法律案(概要)」

企業視点では、増加するであろうユーザーからの各種請求への備えが必要です。同意や個人情報を一元的に管理できるCMPの重要性は、今後ますます高まるでしょう。

「個人情報保護対応 準備できるくん」と「ポストクッキー対応 準備できるくん」

前述のとおり、国内外の法規制やユーザーのプライバシー保護意識の高まりに対応するためにはCMPが大きな助けとなります。しかし、自社のみの判断で海外を含む各種法律を順守した形で適切なCMPを選び導入するのは至難の業です。

  • 「CMPを導入してみたいが、どうすればいいのかわからない」
  • 「CMPを含め自社サイトに導入すべきプライバシー対策を網羅的に知りたい」
  • 「そもそもどこからプライバシー保護に取り組めばいいのかわからない」

以上ような悩みを抱えている方々に向けて、Priv Techでは個人情報保護対応をサポートするコンサルティングサービス「個人情報保護対応 準備できるくん」を提供しています。

  • 無料相談
  • 貴社サイトの分析
  • 対応すべきポイントの洗い出し
  • CMPの導入支援
  • 社内勉強会の実施
  • データ活用方法の提案

上記のような取り組みを通じ、貴社の個人情報保護への対応をゼロからサポートします。まずは以下よりお気軽にお問い合わせください。
個人情報保護対応 準備できるくん

また、特にCookie廃止問題へ不安を抱えている方々には、Cookieにまつわる内容に特化した「ポストクッキー対応 準備できるくん」も用意しております。ぜひあわせてご検討ください。
ポストクッキー対応 準備できるくん

まとめ

GDPR・CCPAを始め、海外では個人情報の保護を強化する傾向が強くなっています。これらの法律と比較して、日本の改正個人情報保護法は規制が緩やかな傾向にあるものの、グローバル化が急進する現状を考慮するなら、可能な限り世界基準のルールに対応できる体制構築を意識すべきです。

今後は、日本企業も個人情報にまつわる諸制度に対してアンテナを張りつつ、その一環として自社メディア・サービスにCMPの導入を検討していく必要があります。また、世間が個人情報の扱いへ敏感になっているいま、CMPは「ユーザーと信頼関係を構築するUXのための手段」として有効である点にも注目すべきでしょう。

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!