開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/07/05

CMP(同意管理プラットフォーム)を解説、あの「Cookie利用同意画面」はなぜ必要?

あなたは「CMP」(Consent Management Platform/同意管理プラットフォーム)をご存じだろうか?企業と生活者の間で個人データの利用に関する同意形成を行うツールで、GDPR成立に伴い注目が高まっている。2021年6月現在、EU圏内で活動する企業以外では、実装は義務ではない。しかし今後は、個人データ利用に対する規制の動きを受けて、さらに重要視されることとなるだろう。この「CMP」が求められる背景、生活者との適切な関係性などについて、『マーケティングのデジタル化5つの本質』(共著)の著者であり、インティメート・マージャー 代表取締役社長も務める簗島亮次氏の取材協力のもと、解説する。

物流・ITライター 坂田 良平

物流・ITライター 坂田 良平

Pavism 代表。元トラックドライバーでありながら、IBMグループでWebビジネスを手がけてきたという異色の経歴を持つ。現在は、物流業界を中心に、Webサイト制作、ライティング、コンサルティングなどを手がける。メルマガ『秋元通信』では、物流、ITから、人材教育、街歩きまで幅広い記事を執筆し、月二回数千名の読者に配信している。

photo
おそらくWebサイト回遊中にあなたも見たことがある「CMP」について、その意義から解説する
(Photo/Getty Images)

CMP(同意管理プラットフォーム)とは

 CMP(Consent Management Platform/同意管理プラットフォーム)とは、Webサイトなどの運営者が、利用者(生活者)に対し、Cookieなどを取得すること、またそのCookieを用いて取得した生活者のデータをどのように活用するのか利用目的を明らかにした上で、生活者本人から利用の同意を取得し、管理するためのツールである。

 Webサイトなどの運営者が設定したCMPの仕様によって、生活者が目にする同意管理画面は異なる。Cookie受け入れの同意をシンプルに問うものもあれば、用途が詳しく表示され、項目ごとに同意/非同意が選択できるCMPもある。

 たとえば、以下のような表示を見たことがあるだろう。

photo
生活者が目にする、CMPによる同意確認画面の例その1
(出典:インティメート・マージャー)

画像
生活者が目にする、CMPによる同意確認画面の例その2
(出典:DAC)

 どちらにせよ、生活者が同意を拒否した内容については、その後、対象WebサイトからのCookie受け入れや、同意外利用が行われなくなる仕組みだ。

 Webサイトの運営者である企業側としても、生活者の同意(オプトイン)をきちんと得た上で、Cookieを利用し、生活者が閲覧したWebページの履歴などを取得、マーケティングに活用できるようになる。

CMPが生まれた背景、求められるGDPRへの対応

 「アドテクノロジーの進化によって、生活者の行動データなどがどのように利用され、誰に対して第三者提供されているのか、ブラックボックス化している現状への反省が、CMPが生まれた背景にあります」と、インティメート・マージャー 簗島氏は語る。

 DMPやCDPといった、アドテクノロジーソリューションが進化したことによって、Webサイトや、モバイルアプリを利用する生活者の趣味嗜好、行動様式がマーケティングや広告などに利用されるようになった。しかし、マーケティングや広告を出す側の企業におけるビジネスニーズが先行したことで、生活者には不安が生まれるようになった。

 生活者の不安を背景に、EUでは「GDPR(General Data Protection Regulation:一般データ保護規則)」が、2018年5月に施行された。GDPRでは、保護すべき対象である個人データについて、以下のように定めている。

"「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。
識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
"


 GDPRでは、個人データを取得する際には、その目的と利用用途、保管機関等を明示した上で、生活者から同意(オプトイン)を得ることを義務化している。つまり、EU圏内で活動するすべての企業は、CMPを用いて、個人データの利用に関し、同意を得なければならない。

 ちなみに、GDPRが企業に科す制裁金は、最高2,000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか大きい方と定められている。2020年1月28日以降の1年間で課された罰金の総額は、1億5850万ユーロ(約200億円)であり、GDPRが施行された2018年5月25日以降の20ヶ月間と比べ、39%増加している。

 本原稿執筆時点(2021年6月)、日本国内ではCookie規制を含め、CMPのようなツールを用い、明示的に生活者に同意を得なければならない義務はない。

 ただ、GDPRにおける個人データ取得時のオプトインルールに準じたルールが、近日発表される改正個人情報保護法(2022年4月施行)ガイドラインで示される可能性もゼロではない。

リクナビ「内定辞退率提供サービス」で見えた課題

 また、日本におけるCMPについて語る上で触れておきたいのが、2019年にリクナビが起こした「内定辞退率提供サービス」の問題だ。

 2018年3月、リクナビは企業に対し「リクナビDMPフォロー」というサービスを開始した。当時物議を醸した「リクナビDMPフォロー」で提供された「内定辞退率提供サービス」のビジネスプロセスは、以下のとおりである。

  1. (1)企業から、前年の内定辞退者リストをリクナビが入手する。

  2. (2)リクナビは、リスト対象者の行動傾向を分析することで、対象者の内定辞退率を予測するアルゴリズムを作成。

  3. (3)リクナビを用いて就職活動を行う求職者(大学生)の行動をCookieで追跡、アルゴリズムで分析を行い、内定辞退率を算出する。

  4. (4)リクナビが作成した内定辞退率付きの求職者リストそのものは、個人情報をマスクしたものではあった。だが、そのリストを企業側に提供すれば、たやすく個人を特定できることを知りながら、リクナビは企業に対し、本人の同意を得ることなく、提供した。

 この件で世間の多くが注目したポイントは、内定辞退率を提供するリクナビと、それを利用しようとした顧客企業側双方の企業倫理だった。実際、内定辞退率提供サービスを利用した顧客企業の多くが謝罪し、提供されたデータの利用を控えることを表明する騒ぎとなった。

 確かに求職者の行動分析を行い、それを内定の判断に活かそうとしたリクナビ、顧客企業の双方にも、倫理的な問題はあったことだろう。だが、個人情報保護委員会がリクナビに対して行った勧告を振り返ると、別の側面が見えてくる

 2019年8月、12月の2回、個人情報保護委員会は、リクナビに対し勧告を行った。特に問題視されたのは、前述ビジネスプロセスの(4)、つまりデータの提供先において、個人の特定が可能であるにも関わらず、本人の同意を得ることなく、データ提供を行ったことである。

 個人情報保護委員会は、求職者に対し、「特定の個人を識別することはできない」と説明をしていた点を特に問題視し、「法の趣旨を潜脱した極めて不適切なサービス」とリクナビを非難した。

 生活者の属性情報を取得し、マーケティング等に活かすことは、企業にとってメリットが大きい。だが、本例のように、法律を逸脱し、かつ倫理的にも課題のある利用を行ってしまうと、生活者と企業双方にもマイナスとなる。

 CMPは、こうした事態を避け、生活者と企業の間に、個人データの健全な利活用ルールを形成するための仕組みなのだ。

【次ページ】CMPのサービス一覧、導入で注意すべきことは

お勧め記事

個人情報保護・マイナンバー対応 ジャンルのトピックス

個人情報保護・マイナンバー対応 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!