CMPとは何？データ収集に同意機能は必須なのか？

2024.01.29

システム開発
デジタルマーケティング
Cookie

CMP(Consent Management Platform)とは何か

同意管理(Consent Management)とは、簡単に説明すると、顧客がどのような個人データを企業と共有してもよいかを決定できるようにする仕組みのことです。同意管理プラットフォームはCMPと省略されて呼ばれます。

また、より本質的に同意管理(Consent Management)を説明すると、個人情報が組織によってどのように収集、使用、共有されるかを監督する権利を個人に与えるため、データプライバシーとコンプライアンスの軸となる原則とも言えます。

このCMP（同意管理プラットフォーム）は、ユーザーがアプリや Web サイトにアクセスするときに同意設定を収集するのに非常に役立ちます。

同意設定を収集する場合は、同意管理プラットフォーム、または同意管理機能を組み込んだマーケティングプラットフォームが活用されています。

Google 同意モードV2でも事が足りる場合もあります。Google 同意モードV2は Google エコシステム内で機能し、同意設定をしますが、設定を収集しません。Google 同意モードV2も同意管理機能の一つになります。

なぜCMP(Consent Management Platform)が必要なのか？絶対に導入しないといけないのか？

カリフォルニア州消費者プライバシー法 (CCPA) とヨーロッパの一般データ保護規則 (GDPR) の施行により、企業はデータ主体の同意なしに個人データを収集できなくなりました。これらの規則では、Web サイトが閲覧中に Cookie を使用してデータを収集することについてユーザーの同意を得ることが法的に義務付けられているため、これは世界中で非常に重要になっています

EU 内かどうかに関係なく、その Web サイトは EU/EEAのデータを処理する際に規制上の義務を満たさなければなりません。そうしないと、企業は金銭的な罰金を受けることになります。

そのため、GDPR などの世界的なプライバシー規制に準拠しているCMPを活用する企業が増えています。

もっと具体的に同意管理プラットフォームや同意管理機能が必要な場合とは？

現状、「GDPRを守らなければいけないからCMPが必要」みたいな雰囲気を感じ取っていらっしゃる方も多いと思います。

具体的には、下記のいずれかのアクティビティが行われる場合、Web サイトには同意管理プラットフォームや同意管理機能が必要だと考えられています。

個人データの処理: 検索連動型広告やコンテンツ連動型広告、リマーケティング、分析、コンテンツのパーソナライゼーション、メールマーケティングなどの目的での個人データの使用。
プロファイリングなどの自動処理および自動化された意思決定
データの海外移転: 企業が EU 域外で処理するために EU 国民のデータを収集する場合。

つまり、ほとんどの消費者向け企業は、データ処理の基礎としてユーザーの同意を収集する必要があります。

一般的には、電子メールマーケティング、リマーケティング、プロファイリング、パーソナライゼーションなど、すべてデータ処理を伴う広告およびマーケティング活動の大部分を実施するために同意が必要になってきます。

日本では、個人情報の取り扱いに対する同意がメインになっていています。

Cookieやトラッキング技術を使用に対する同意に関しては、ユーザーに対して透明性を提供し、同意を得ることが望ましい風潮がGDPRの施行により強まっています。

同意管理機能を追加することで、さまざまなCookieも統合して管理が可能になるでしょう。

同意管理プラットフォームの主な機能

同意管理プラットフォームの主な機能は次のとおりです。

明示：ユーザーへのCookie バナー設置と同意の詳細や同意の取り消しなど管理するウィジェットの表示
同意の収集：訪問者の同意決定に関する情報を収集および保存し、その変更を記録する。
同意管理:同意が与えられる前に、受け入れられたタグのみを発行して事前承認されたデータのみを収集。サイトの Cookie リストを継続的にスキャンして最新のコンプライアンスに更新します。
同意共有: CMP は同意設定を取得し、データ処理に関与するサードパーティやベンダー (Google Analytics、広告ベンダーなど) と共有します。
データ収集と管理：データへのアクセス、修正、移動、消去を求める訪問者のリクエストに対処します。
同意の証明: 同意が収集されると、CMP はそれをリポジトリに安全に保管し、規制監査の際にコンプライアンスの証拠として機能します。

まだ日本ではCookie同意に対応していないサイトもあるけどなぜ？

まだ全ての企業が対応しているわけでもないし、本当にCMPは対応しなければいけないの？と疑問に感じている方もいるのではないでしょうか。2つの視点からCMPが必要であるのか考えてみましょう。

日本の個人情報保護法ではCookieは個人情報なのか？Cookieに関する同意機能は必須なのか？

日本の個人情報保護法では、「個人情報」とは、「氏名、生年月日、住所、電話番号、連絡先その他の記述等により特定の個人を識別できる情報」とされています。基本的には、Cookieは個人情報に含まれていません。

しかし、トラッキングクッキーや広告用のクッキーなど、ユーザーの行動を追跡するためのクッキーが、個人情報と結びついた場合は個人情報に該当します。

日本でも個人情報の取得には同意が必要です。Cookieに関しては、第三者提供を行い、突合により個人を特定できる場合は、提供する同意がなければ提供できません。

日本企業はGDPRを遵守しなければいけないのか？

GDPRは主にEUの市民のデータを処理する企業や組織に対して適用されます。GDPRの対象とされる可能性が高いものは以下です。

EU市民のデータを処理する場合

日本に拠点を持つ企業であっても、そのサービスや商品を提供する過程でEUの市民の個人データを処理する場合、GDPRは適用される可能性があります。

EU内での活動がある場合

日本企業がEU内で事業を展開し、現地で個人データを処理する場合、GDPRの要件を順守する必要があります。

EUの市場をターゲットにしている場合

日本企業がEUの市場をターゲットにし、EUの市民にサービスを提供する場合、GDPRの対象となります。

EU企業との取引がある場合

日本企業がEUの企業とデータ取引を行う場合、GDPRの要件が適用されることがあります。

EU域内に個人データを扱うデータベースやサーバーが設置されている場合

EU域内にデータベースやサーバーがある場合、そのデータ処理がGDPRの対象となります。

一般的にはCookieによる情報の収集や追跡をEUに対して行わない場合、EUの一般データ保護規則（GDPR）に基づく同意の取得は必要ありません。設定が誤っていると、CookieがEUのユーザーに対して送信される可能性があるので、注意が必要です。GDPR以外にも地域や国によって、Cookieや個人情報の取り扱いは異なるので、確認もしましょう。

最後に一般論となりますが、Cookieの使用に関する透明性を提供し、プライバシーポリシーに明示的に記載しておくことがベストプラクティスと言われています。

しかし、Cookieによるトラッキングをオプトアウトに設定された場合、Webサイトの分析の母数が減るというリスクもあります。（一般的にはEU圏ではオプトインの原則が採用されています。）倫理的な取り組み、分析の精度、母数の確保、何を優先すべきか費用対効果の上に検討する必要があります。

透明性と選択権を提供する一方で、必要なデータを収集し、ユーザーにとって価値のあるエクスペリエンスを提供できるようにするーーバランスをとることが重要です。同意機能を実装するタイミングやユーザーとのコミュニケーションの取り方、コストを鑑みる必要があるでしょう。