CMPの概要と、導入までの手順・注意点について解説！

数年前からウェブサイトを訪問すると、Cookieや個人情報の利用について、同意を取得するポップアップ等が表示されるようになりました。そのような仕組みのうち、一部はコンセントマネジメントプラットフォーム（CMP）と呼ばれるツールが活用されており、大企業をはじめとして国内でも次々とCMPの導入が進んでいます。

本記事では、CMPの概要、導入の必要性と導入前に知っておきたい注意点について解説いたします。

1. CMP（同意管理プラットフォーム）とは

CMPとは、Consent Management Platformの略で、同意管理プラットフォームのことを指します。

CMPには大きく2つの役割があります。

• 同意の取得
• 同意情報の管理

まず、ウェブサイトに訪れたユーザーに対してCookieや個人情報の利用について同意を取得します。次に、その同意情報を管理し、同意情報に基づいて各種マーケティングツール等への連携を行います。そのため、同意情報はユーザーごとに管理できるようになっています。

ツールによっては、一方的に個人情報等を利用することを知らせ、ユーザーに拒否権がない形の同意取得バナーを表示させるものがありますが、これではプライバシー法対応として不十分な可能性が高いです。

また、個人情報等の利用に関して「同意／拒否」が選択できる場合であっても、取得した同意情報を管理できていない場合や、同意情報に基づいたツール連携が出来ていない場合、CMPを導入するメリットが薄いです。

導入の際は、導入後の設定まで考慮することが必要です。

2. なぜCMPの導入が必要なのか

2018年のGDPR（EU一般データ保護規則）の施行にはじまり、世界的に強くプライバシー保護へ関心が寄せられるようになってきています。

GDPRでは、Cookie自体が個人データと定義され、利用する際にユーザー本人からの許諾が必要になりました。

また、日本でも2022年4月に改正個人情報保護法が施行され、個人情報取り扱いのケースによっては、事前に本人からの同意取得が求められます。

具体的には、個人情報には該当しないが属性データや行動データのような「個人関連情報」と定義される情報を、個人情報と紐付けて利用する場合に事前の同意が必要となります。

今回の改正法から、罰則金の上限が30万円から１億円に引き上げられており、迅速に対応を進めることが望ましいでしょう。

CMPを導入せずに、自社で同意管理の仕組みを構築することももちろん可能です。しかし、プライバシー法は数年に一度改正されるため、随時内容をキャッチアップして開発を行うのは現実的ではありません。その都度開発リソースを確保するのも、容易ではないでしょう。 また、個人情報を扱うため小さなミスも大きな問題へと繋がりかねません。リスクを最小限に抑えるには、専門ベンダーの提供するCMPを導入し、専門家からのサポートを受けるのがおすすめです。

3. CMP導入までの手順と注意点

ここからはCMP導入までの具体的な手順と、その際の注意点をご説明します。

3-1. 対応法律の洗い出し

はじめに、自社で対応する必要のある法律を洗い出しましょう。GDPRではCookie自体の利用に同意が必要となりますが、改正個人情報保護法においてはCookieの利用ではなく個人情報の取り扱い方法により同意取得が必要になります。

このように対応する法律によりCMPに必要な機能要件が異なるため、まずはどの法律に対応する必要があるのかを調査しましょう。

また、日本法は個人情報等の取り扱い方法やケースにより同意取得の要否が異なるため、取得しているデータや利用しているマーケティングツール等を細かく洗い出す必要がある点にも注意が必要です。

その他に、英語版サイト等海外からのアクセスを想定したページを持っている場合、ドメインごとに対応する必要のある法律が異なる場合もあります。基本的にはGDPR等の海外の法律の方が規制が厳しいため、すべてのサイトに海外法対応のCMPを導入してしまうと、本来同意を取らなくて良いケースでも過剰に同意取得を促してしまうことになり、ウェブサイトのユーザビリティ低下にも繋がります。

こういった事態を避けるためにも自社サイトをできる限り細かく調査し、CMPの導入が不要なサイトや日本法対応のみで問題ないサイトは、必要最低限の同意取得を得るようにしましょう。

3-2. CMPの選定

導入前の準備が完了したら、導入するCMPの選定に移ります。

下記3点のポイントを確認して選定すると良いでしょう。

• どの法律に対応しているか
• 他社システムとの連携ができるか
• サポート体制が充実しているか

はじめに、自社が対応する必要のある法律に対応できるツールかどうかを確認しましょう。GDPRでは、Cookieの利用自体に同意を取得する必要があることに加えて、個人データの利用目的ごとに同意を取得することが求められています。その点も注意してツールを選定しましょう。

2つ目に、他社システムとの連携ができるかを確認しましょう。例えば、CMPを導入したことにより自社が利用していたマーケティングツールが正常に作動しなくなった等の問題が発生しては困りますよね。 そうならないためにも、自社が利用しているツールを事前に洗い出しておくとスムーズです。

最後に、サポート体制が充実しているかを確認しましょう。

CMPの導入においては、ツールを契約し、ただ設置するだけでは法律に対応できていない場合があります。特に日本法においては、同意情報に基づきケースごとにデータ連携を制御する必要があるため、複雑な設定が必要になる場合があります。そういった場合でも、サポート体制が充実していると安心です。

海外ツールを導入する場合は、日本語でのサポートがあるかどうかもみておくとよいでしょう。

3-3. CMPの導入および動作検証

ツールの選定が完了したら、いよいよCMPを導入します。

ここで重要なのが、下記2点を導入後に検証することです。

• 正しくバナーが表示されているか
• 同意情報に基づいて制御されているか

さきほども触れた通り、CMPを導入するだけでは法対応ができていない場合があります。必ず、動作検証は行うようにしましょう。

4. 国産CMP「Trust 360」

弊社Priv Techでは、国産CMP「Trust 360」を提供しています。

ここからはTrust 360の特徴をご紹介します。

4-1. ゼロクッキーロードに対応

ゼロクッキーロードとは、同意を取得するまではサイト上におけるCookieや個人情報等のデータ処理が一時的に停止される仕組みのことを言います。

Trust 360はゼロクッキーロードに対応しており、同意情報に基づいてタグが発火するため、厳密にGDPRへの対応が可能です。

4-2. わかりやすいダッシュボード

同意情報を期間やデバイスごとに確認することができます。
シンプルな設計になっているため、感覚的にわかりやすいダッシュボードになっています。

4-3. 他社システムとの連携が可能

Trust 360は多数の他社システムとの連携が可能であり、これまで使っていたツールへの連携も容易です。

4-4. シンプルでわかりやすいバナー表示

ユーザー側に表示されるバナーが非常にシンプルなUIになっています。ユーザーからもわかりやすいため、バナーの内容が複雑であることによる無駄な離脱を最小限に抑えることができます。

また、バナーに記載する文言やカラーはカスタマイズすることも可能です。

4-5. 海外法、日本法のいずれにも対応可能

Trust 360は、海外法・日本法いずれにも対応が可能です。ドメインごとの出しわけも可能で、英語サイトと日本語サイトでそれぞれ適切なバナーを表示できます。

4-6. スタッフによる丁寧なサポート付き

Trust 360の費用には、ツールの利用料に加えてサポート費用も含まれています。
日本人スタッフが丁寧にサポートさせていただくため、初期設定の際も安心です。

まとめ

今回は、CMPの概要から導入までの手順、注意点についてご説明しました。
まだCMPを導入されていない企業の方はぜひ参考にしてください。

Trust 360の詳細を知りたい方は、サービスページよりご覧ください。

＞＞同意管理プラットフォーム「Trust 360」のサービスページはこちら

公開日：2023年1月30日