OneTrustの同意管理機能 : Consent編

今回のブログでは、OneTrustの同意管理モジュール「Consent & Preference Management」について紹介します。

Consent & Preference Managementの概要

「Consent & Preference Management」は、その名の通り大きく分けて2つの機能で構成されています。

  • 新規もしくは既存ユーザーから個人情報、好み(個人設定)および目的ごとの同意を収集、記録する機能 > Consent
  • 既存ユーザーの同意の付与・撤回および好み(個人設定)を変更、記録する機能 > Preference 

上記の2つで記録したレコードは、履歴管理され、誰がいつどういった目的に対して同意の許可もしくは拒否を行ったか、その際の目的ごとの説明のバージョンであったり、プライバシーポリシーのバージョンなど情報提供された内容について同意の詳細な条件が記録されます。

「少々、細かすぎでは?」と疑問に思われる読者もいらっしゃるかもしれませんが、その背景にはGDPRなどのプライバシー法規制が関係しています。

GDPRなどのプライバシー法では、組織は、適切な方法で同意を取得したことを証明しなければなりません。言い換えると、その同意が適法であることを証明するために、以下のような問いに答えることができなければなりません

誰が、いつ同意したか?

  • 個人名またはその他の識別子 
  • 日付のある文書、またはタイムスタンプを含むオンラインレコード

同意に際して、どのような説明(情報提供)を受けたか? 

  • 文書またはデータ取得フォームのマスターコピー
  • その時に提示したプライバシーポリシーや通知のバージョンおよびコピー

どのような方法で同意したか? 

  • オフライン: 関連文書のコピー 
  • オンライン:提出したデータと関連するバージョンの同意取得フォームへのリンク

組織がこうした法規制を遵守するために、Consent & Preference には、正しく同意が取得されたことを証明するための仕組みが備わっています。

今回のブログでは、Consent & Preferenceのうち、同意および個人情報を収集するための機能である「Conesnt」について紹介します。

収集ポイントの設定

OneTrustには様々な収集ポイントをサポートするべく、複数の選択肢が用意されています。もし、フォームがない場合でも、OneTrustがホスティングするウェブフォームを選択すれば、フォームを簡単に作成し、Webサイトへの公開および同意管理までをすぐに行うことが可能です。

ただし、作成できるフォームはビジュアルがシンプルなものしか作成できず、外部の顧客や取引先向けというよりは、内部の従業員向けに手間をかけずに公開したい場合などに使用するのが有効です。

ほとんどの企業では、顧客の申し込みや問い合わせフォームを自社で提供、管理しているかと思いますので、それらの既存フォームとOneTrustを統合する「ウェブサイトのウェブフォーム」を選択する形になるかと思います。

以下は、OneTrustのヘルプに記載されている主要な収集ポイントの説明です。

項目用途と説明
OneTrust がホスティングするウェブフォーム•OneTrustのCDNでホスト管理される簡易的なWebフォーム
•フォームビルダーでノーコードでフォームを作成可能。ただし、複雑なデザインが実現できないため、従業員や簡易に同意をとる必要があるようなケースで使用
•マルチ言語対応
•DirectのURLリンクもしくはiFrameで既存のWebsiteに実装可能
ウェブサイトのウェブフォーム•ウェブサイトの既存のWeb フォームで、同意を記録する場合は、このコレクションポイントを選択
•コレクションポイントを作成すると、既存の Web フォームのフィールド属性を、コレクションポイントで定義された目的、カスタムプリファレンス、および データ要素にマッピングすることが可能
• SDK統合(JavaScript)、HTML+SDK統合、カスタムAPIの3種類から選択。 既存の同意データの一括取り込み(Excelファイル経由)が可能
カスタムAPI•OT側の収集ポイント用のAPIエンドポイントを公開し、そのエンドポイントに対して、外部アプリケーションから受領書データ(同意レコード)を生成

ここからは、詳細な実装手順については割愛しますが、簡単な設定の流れについて説明します。

収集ポイントの基本設定

収集ポイントの設定では、収集ポイントの基本情報、処理目的、フォームのURL、同意のインタラクションタイプ、当該フォームでどの項目を取得し、OneTrust上でマッピングする項目(目的やデータ要素)をセットします。

ここで一番わかりにくい設定項目が、同意のインタラクションタイプです。以下の表を参考にそのフォームがどういった方法で同意を取得しているかに応じて選択してください。

項目説明
フォームの提出のみWebフォームには標準の HTML 送信ボタンがあり、データ主体はこれをクリックして同意を付与する
オプトイン チェックボックス + フォームの提出Webフォームにまだ未チェック状態のチェックボックスがあり、データ主体はこれを選択して、フォームを送信する前にこれらの選択項目に対する同意を意思表示することができる
チェックを外してオプトアウト + フォーム提出Webフォームには、フォームを送信する前に同意のチェックを外す必要のある事前選択オプションが含まれており、何もしない場合はこれらのオプションに対して同意レコードが作成される
チェックを入れてオプトアウト フォーム提出Web フォームには未チェック状態のチェックボックスがあり、データ主体はフォームを送信する前に選択し、これらの選択項目に対する同意を許可しないように設定する必要がある
カスタマイズされたシングルトリガーWeb フォームには、データ主体が同意を与えるために使用するHTML 送信ボタン以外のアクションが 1 つ含まれる
カスタマイズされた条件に基づくトリガーWeb フォームには、データ主体が同意を与えるために完了する必要のある、標準的なフォームでの操作以外の 2 つ (or それ以上) の操作または条件が含まれる

通知

同意を取得する際にフォームに埋め込まれている、もしくは別ページで参照されるPrivacy Policy(またはNotice(通知))がある場合、それを設定します。ここでいう通知とはメールなどでの通知機能ではなく、個人情報や同意を取得時にデータ主体に提供されるPrivacy Policy/Noticeのことを指します。

OneTrustのPolicy &Noticeモジュールで作成した通知の場合、取得された同意レコードにNoticeのバージョン情報を追加で記録することが可能です。

詳細な設定:ダブルオプトインについて

「設定」タブについてはいくつかオプションがありますが、その中でもダブルオプトインについて紹介していきます。

ダブルオプトインは、GDPRでは規定されいませんが、ドイツや EU で一般的に採用されています。

この機能は、データ主体の同意を確認するために、2段階のオプトインプロセスを行う場合に利用します。ダブルオプトインを設定した場合、OneTrustでは以下のような手順で同意が「有効」となります。

  1. 収集ポイントでダブルオプトインが有効になっており、目的の最初のアクションが提出(送信)されると、目的のステータスは「保留」に設定される。
  2. データ主体は、送られてきたメールの確認リンクをクリックして同意を確認すると、OneTrsut側で当該「目的」のステータスが「アクティブ」(有効)に更新される。

統合

統合では、SDK、HTML + SDK、カスタムAPIから自社にとって最適な統合方法を選択します。

ここいう「統合」は、外部アプリケーションやデータベースなどとの統合ではなく、Webフォームとの統合方法を表しているので注意ください。

どれを選択しても、実装に必要な手順が表示されるので、実装方法で困ることは少ないかと思います。以下の画面はSDKを選択した場合の例です。プレビュー機能で設定画面のシミレーションと生成される同意データを検証することも可能です。

実際に同意画面からデータを送ると、OneTrust側でレコード管理され、同意した時刻や内容などが履歴管理されます。

まとめ

今回はOneTrustのConsent &PreferenceのConsentの機能とおおまかな実装する上での設定手順を説明しました。ここで紹介した以外にも、多言語対応のための翻訳設定、同意情報の一括インポート(既存の同意をExcelなどで管理している場合)、同意のステータス変更をトリガーに他システムと連携するなど様々な機能が用意されています。

また、Preferenceと組み合わせることで、その個人の同意の付与・拒否、個人設定を履歴管理することも可能です。次回はPreference機能について紹介します。

ご質問・ご相談などありましたら
お気軽にお問い合わせください

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください