セミナーレポート前編:改正個人情報保護法、データ活用への影響は?どう変わる?改正個人情報保護法を見据えたプライバシー×データ活用のポイント
2020年11月19日、Priv Tech株式会社は株式会社インティメート・マージャーと『どう変わる?改正個人情報保護法を見据えたプライバシー×データ活用のポイント』をテーマにWebセミナーを開催しました。
2020年6月5日の改正個人情報保護法成立により、データ活用やプライバシー保護に注目が集まっています。法規制に合わせたデータ取得や活用方法の変化により、データを取り巻く状況は今後さらに変化していくと予想されます。
本記事では前編と後編に分けて、改正個人情報保護法とプライバシー、データ活用について解説していきます。
前編はPriv Tech株式会社 代表取締役の中道大輔による「CPOとCDOの役割」「改正個人情報保護法において留意すべきポイント」「CMP導入と同意取得バナー設置の現状」についてお届けします。
>>【セミナーレポート】後編:Cookie規制のポイントは? 「どう変わる?改正個人情報保護法を見据えたプライバシー×データ活用のポイント」
改正個人情報保護法がデータ活用にもたらす影響と現状、これから取っていくべき対策とは
Priv Tech株式会社代表取締役 中道大輔
データ活用はCDOに、プライバシーを守ることはCPOに
株式会社ベクトル(以下 ベクトル)は、子会社の成長やBtoCサービスの伸びもあり、ここ数年でユーザーのデータを取り扱う企業へと変化していきました。
Priv Tech株式会社の代表取締役兼株式会社ベクトルのCPOである中道はCPOの役割についてこのように説明します。
中道
会社のプライバシーポリシーやデータガバナンスの管理、従業員の教育も僕のミッションです。あとはプライバシーに関するKPIの策定や運用もCPOの役割です。直近では個人情報保護法の改正の動きもあるので、その対応もCPOがメインで動いている状況です。
海外ではGoogleのようなユーザーのデータを多く取り扱う大手企業には大体CPOが設置されていますが、国内ではまだまだ少ないのが現状です。
更に国内でのDX寄与の高まりについて触れ、「Chief Data OfficerやChief Digital Officerの役割が増えている」と述べます。
中道
日本のCDOの役割として『データを活用していく』こと以外に、実は『データを守る』というミッションもあります。このどっちつかずなところが日本のCDOの課題だと思っています。
海外の事例として「データ活用はCDO、プライバシー保護はCPO、というように役割を分けているケースが世界では一般的」と説明しました。
※CPO(最高個人情報責任者)とは
個人情報保護法を中心としたプライバシー問題に精通し、それらについて統括していく役割のこと。
改正個人情報保護法における、今後留意すべきポイントと注意点
日本では2020年6月5日に改正個人情報保護法が成立し、2022年春を目処に施行されます。
この改正個人情報保護法にはいくつか留意すべきポイントがある、と中道は説明します。
中道
罰金刑の最高額が30万円から1億円に引き上げられたことが大きなポイントです。あとは個人関連情報の創設が、CookieやWebデジタルマーケティングに一番影響があると思います。
中道
これは個人情報保護委員会が発表したものです。A社とB社があり、A社がDMPベンダーとしましょう。A社が独自に集めたデータをCookieを介し、B社がデータを受け取ります。最終的にそのデータが個人情報と紐づく場合は、事前にB社がユーザーから同意をとる必要が出てくる...というのが今回の改正のポイントです。もう少しわかりやすく言うと、パブリックDMPのようなデータ提供元と、データ提供先に広告主やクライアントがあり、その先にエンドユーザーがいるイメージです。3rd party cookieを介してCRMと紐づける場合は、クライアントとユーザー間でしっかり同意を取得する必要がある、ということです。
さらに、Cookieの使用許可を取る際の方法や範囲についても注意を促します。
中道
解析ツールやCDP、広告など、それぞれでCookieの使用許可をとる必要があります。けれど各ベンダー単位でCookieの同意を取るというのは難しいですよね。
タグも広告運用のなかで追加したり削除したりというケースが多く、さらにCookieポリシーも頻度高く更新される。そこが、同意を取る難しさかなと思っています。
同意取得に役立つ「CMP」、メリットとデメリット
法改正により対応が求められる一方、細かな配慮が必要になるCookieの同意取得。その難しさ、煩わしさを解決する手段として、中道は「CMP(コンセント・マネジメント・プラットフォーム)」を取り上げます。
中道
CMPを間に挟むことによって、分断されがちだった各ベンダーの同意情報を一元的に取得し管理できるようになります。メリットは法律を守れること、パーソナルデータの取り扱いに関する企業のブランディングの維持・向上。デメリットは費用がかかること、取得できないCookieが一部出てくるのでマーケティングに利用可能なCookie数が減少する可能性があることです。
CMPの導入、海外ではすでに大手サイトを中心に進んでいる
中道
海外でのCMPの導入率として、UKとUSの2018年以降のデータが出ています。
UKのPublishers Only(広告枠を受け入れているようなメディア)の場合、CMP導入率は現時点で39%です。Publishersに拘らず上位1万社で見ると、23%がCMPを導入しています。
2018年のGDPR施行後のデータで見ると、直近まで右肩上がりで増加しています。海外では大手WebサイトにCMPが導入済みである、というのが大きな流れかなと思います。
日本でも大手中心に導入、レピュテーションリスク回避の意識が強い
日本国内の企業においても、現時点では大手企業を中心に取り組みが進んでいる、と解説します。
中道
これは弊社の調査データで、コーポレートサイトを対象に上場企業の各業種売上高上位40位と100位をリサーチしています。上位40位の企業だと、6.45%の企業が導入しています。それが上位100位まで見ていくと4.70%になります。このデータから『大手企業から順次同意バナーの導入が進んでいる』というのがわかります。
また、タグをたくさん入れないであろうコーポレートサイトでも同意バナーが入っていることから、法律を守るというより『レピュテーションリスクの回避』が目的であろうということがわかります。
最後に、「対策時期についても意識を高めていく必要がある」と語りました。
中道
施行は2022年で、もう少し先ではありますが、同意取得の蓄積とUI/UX改善が重要です。設置テキストやボタンの配置が変更可能なので、どれだけ同意の取得ができるかのPDCAを回すためにも、なるべく早い導入が求められていると思います。
まとめ
- 今回の法改正により第三者提供を受けたCookie等の個人関連情報が個人情報と紐づく場合、同意取得が義務化される
- そのため、パブリックDMPや広告運用タグを使用している場合、留意が必要
- 法律への抵触だけでなく、レピュテーションリスクの回避でもCMPの導入が進んでいる
- 法施行は2022年だが、同意の蓄積とUI/UX改善のために早期の対策が重要
Priv Techの同意管理プラットフォーム「Trust 360」は、パーソナルデータ利用の同意取得・取得状況管理から、同意状況に基づいた他システム連携までをワンストップで実現。インティメート・マージャー社のCDPにつながっており、インティメート・マージャー社のIDを介して各種ツールにつなげられることも大きな強みです。
>>同意管理プラットフォームCMP「Trust 360(トラスト360)」
また、「レンタルCPO」ではどのような部分が法律に抵触するのかというリスク診断やCMPの導入支援、同意管理に基づいたデジタルマーケティングやDX領域のコンサルティングなど、より上流のコンサルティングをご提供しています。
Q&A
Q. 国内での法改正はまだ先ですが、CMPはいつ頃から導入するべきでしょうか
中道
なるべく早めにご検討いただくのがよいかと思います。国内上位40位で6.45%、上位100位までいくと4.70%でまだまだ低い状況かと思いますが、これから施行に向けて伸びていくんじゃないでしょうか。
Q. GDPRに対応するというイメージが強いですが、日本で必要なのでしょうか
中道
海外はCookie単体で個人情報に該当しますが日本は該当しないので、最終的に個人情報と紐づく場合のみ同意取得が必要です。ターゲティング広告やDMPのデータコピーと、CRMや個人情報と紐づく場合のみです。海外ほど必要でもないけどユースケースによって必要になってきます。あとはレピュテーションリスクをどう考えるかが肝になりますね。
Q. プライバシーポリシーの改修や現在使っているデータの取り扱いなど、整理する段階からサポートしてもらうことは可能でしょうか
中道
そうですね。これは我々のレンタルCPOみたいな感じで、コンサルティングサービス領域から携わります。プライバシーポリシーの改修の相談、データの取り扱いの提案もさせていただきます。
梁島
プライバシーポリシーの改修は結構時間がかかるイメージですが、実際に今から検討しても実は1年ぐらいかかっちゃう会社もあるんじゃないかな。待ったなしな感じがしますよね。
中道
半年~1年はかかりますね。
梁島
そうなんですよね。だから、個人情報保護法が施行されてから始めると結構遅いってのはあるんじゃないかな。危機感を持ってる会社が周りで増えています。
中道
今、相談多いですね。
Q. 最近のサイトだといろいろなタグが混在していて、すべての制御が難しくなっています。CMPで同意しないを選択した場合、複数のタグによるCookieを止めることを担保できる物なのでしょうか
梁島
入れるCMPによります 。海外のCMPツールは、そのCookieが何の役割かをひとつひとつ人間が制御するケースが多いのですが、日本のツールはカバーされてないケースもあります。『同意しない』を選択した場合にCookie制御が担保できるかといわれると、ツールによっては担保できない領域も多いんじゃないかなと。使用ツールとCMPの相性を見ていただくとよいと思います。
中道
これもCMPでポップアップを出すツールでしょ、という感じがしますけど、裏側で動いてる仕組みは各社若干違ったりします。意外と意図した挙動にならないケースはあるのかなと思っています。
Q. 今回の改正で、オフラインやオンラインtoオフラインで個人情報を取り扱う場合にに気を付けることは?
中道
おそらく今後、同意情報の統合管理が必要になってきます。オンラインとオフラインをまたぐ場合は、IDの一気通貫でユーザーに紐付いたIDラインを同意取得していく必要があります。
梁島
本来(オフラインでも)個人情報の取り扱いは元からきちんと目的や利用用途などを明示するはずなので、ここは今後もきちんとやっていかなければという認識ですね。
中道
オフラインは紙で同意を取ったりするので、そもそもデータ化されてないところが課題だったりしますね。
>>【セミナーレポート】後編:Cookie規制のポイントは? 「どう変わる?改正個人情報保護法を見据えたプライバシー×データ活用のポイント」
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!