OneTrustの同意管理とMAツールへの連携機能

はじめに

国内でも2022年4年の改正個人情報保護法により、Cookieなど個人関連情報について第三者に提供することで個人情報とひも付き、個人情報となることが想定される場合、データ主体に対してデータを取得する前に事前に情報を提示し、同意を得ることが義務付けられました。(欧州では、すでにe-privacy指令(2009年改正)により、先行してクッキーの事前同意が求められています。)

こうした背景もあり、Cookieの同意管理ツールとしてOneTrustが注目を集め、OneTrust=Cookie Consent(Cookieの同意管理)というイメージをもたれる方も多いかもしれません。しかし、OneTrustで提供される同意管理の機能はCookieの同意管理だけではありません。

今回のブログでは、プライバシー法において組織に求められる同意管理と、それをサポートするOneTrustの同意管理モジュールについて紹介したいと思います。

同意の適法性

世界中の多くの法管轄区域で、同意を個人データの処理の適法性の根拠とする場合、個人データの収集や処理の前に同意を得ることが法律や規制で求められています。これには、欧州連合の一般データ保護規則(GDPR)やカリフォルニア州プライバシー権法(CPRA)などが含まれます。

GDPRでは同意取得にあたり、以下の要件を満たす必要があります。

  1. 下記による同意でなければならない
    • 自由意思による(経営者と従業員など立場や力の不均衡ある場合や契約履行に必ずしも必要でないにもかかわらずサービス提供の条件とされている場合は認められない)
    • 特定・具体的かつ処理目的ごとに(処理目的ごとに同意がなされてない場合は認められない)
    • 必要な情報を与えられた上で(直接取得か間接取得かによりそれぞれGDPRの13条、14条で提供すべき情報を記載)
    • 言葉によるまたは明確な積極的行動による
    • 曖昧さのない
  2. 管理者は同意を処理の根拠とする場合、証明できなければならない
  3. 個人がいつでも同意を撤回できるようにする。撤回できる権利を同意取得前にデータ主体に伝え、撤回の容易さは同意と同様でなければならない。(Webform等で取得した個人情報はWebformで撤回できるようにしておく)
  4. 未成年の場合、年齢を確認し、保護責任者の同意を求める。(GDPRの規定は16歳未満、ただしEU各国で独自の国内法で13歳まで引き下げ可能)
  5. 他の事項も含まれる書面(サービス利用規約など)による同意を要請する場合、以下の条件が求められる。
    • 書面に含まれる他の事項とは明確に区別する
    • 分かりやすく見つけやすくする
    • 明確かつ平易な言葉を用いる

1については扱うデータの種類や取り扱い方法によってさらにいくつか条件が求められ、明白な同意が必要となります。

  • 特別カテゴリの個人データの処理
  • 自動的な処理のみに基づいた決定
  • EU域外への移転

GDPRが適用される組織は、これらの要件に準拠して個人のプライバシーと個人情報を保護する責任があります。これらの規制に違反すると、重大な罰金や法的な罰則が課せられる場合があります。

同意管理がうまく機能していない場合

同意管理がうまく機能していない場合、一般的なものとして以下のようなことが見受けられます。

  1. 希望しないマーケティングメール:顧客がマーケティングメールの送信に対する同意を撤回しているにもかかわらず、それらが送られ続けている場合、同意管理プロセスが正常に機能していない可能性があります。
  2. 許可なく個人データが共有、売却されている:顧客の個人データが許可なく共有または売却されている場合、同意管理プロセスが機能していない可能性があります。
  3. 同意を撤回するのが困難:顧客が同意を撤回するのが困難、もしくは同意を撤回するためのプロセスが明確でない場合、同意管理プロセスが機能していない可能性があります。
  4. 透明性の欠如:顧客が自分の個人データの使用方法が明確でない場合、または彼らの権利に関する十分な情報が提供されていない場合、同意管理プロセスの透明性が不十分である可能性があります。

このような場合、個人は、組織のデータ保護責任者(DPO)またはカスタマーサポートチームに連絡して問題を報告し、自身の個人データがどのように処理されているかについて説明を求めることができます。また、管轄のデータ保護機関に苦情を申し立てることも検討することができます。

同意管理 + テクノロジー

同意管理がうまく機能していない組織では、プライバシーポリシーで記載している内容とそれを実現するための仕組みについて再度見直し、GAPがある場合、それを改善していく必要があります。とはいえ、前述した同意管理に求められる要件のうち、特にWebやアプリなどで取得された同意を適切に管理する上で、データ主体個々に対して、同意取得時にデータ主体に提示された情報、(プライバシーポリシーや電子フォームなど)、利用目的の詳細とその目的ごとの同意ステータス、その他同意が正しく取得されたことを証明するための情報をもれなく履歴情報として記録、管理していくことは、ソフトウェアのサポートが必要不可欠です。

そこで、「OneTrust」の登場です。

OneTrustの同意管理

OneTrustは、組織がGDPRやCPRAなどのプライバシー法規制を遵守するための機能を包括的に提供してくれるプライバシーマネジメントプラットフォームです。このプラットフォームには、ユーザーの選択を管理するための2つの主要な機能、「Cookie Consent」と「Consent &Preference Management」が含まれています。

「Cookie Consent」は、すでに皆さんもWebサイト等でご覧になり、ご存じの方もいらっしゃるかと思いますが、ウェブサイト上でのCookieの使用に対するユーザーの同意を取得し管理するための機能です。この機能により、企業は、ウェブサイト訪問者にクッキーバナーやポップアップを表示して、クッキーの保存と使用に対する同意を得ることができます。

「Consent &Preference Management」は、個人データの収集、処理、利用に対するデータ主体の同意を取得し管理するための機能です。この機能により、組織は以下のようなメリットを享受することができます。

  • 法規制の遵守:個人データの収集、処理、使用に対するユーザーの同意を取得し管理することで、企業はGDPR、CPRAなどのプライバシー規制に法規制を遵守することができます。
  • 透明性の向上:この機能により、企業はデータの収集と処理に関する実態を透明化することができ、ユーザーの信頼とブランドに対する信頼を高めることができます。
  • 多様な収集ポイントに対応:収集ポイントとなる簡易的なWebformの作成から組織ですでに構築したウェブフォームとの統合、外部システムからカスタムのAPIエンドポイントへデータを送信することで同意を収集する方法まで様々な収集ポイントに対応しています。
  • ユーザーによる個人データのコントロール:プリファレンスセンターの機能により、個人(ユーザー)は自身の同意ステータスや個人設定(プロモーションメールの送信頻やカテゴリなど)を自身で変更することができるようになります。
  • 同意取得が正しくなされたことの証明:ユーザーの同意が適切に取得され、履歴とともにドキュメント化されることで、プライバシー法規制の違反に伴う罰金や罰則といったリスクを低減することができます。

個人データを収集し処理する企業にとって、「Consent &Preference Management」のような機能は、顧客や消費者の信頼を得る、または維持するのに重要なツールです。プライバシー規制を遵守するだけでなく、より透明性が高く、個人がデータの共有についてコントロールできる機能を提供することで、顧客との信頼関係を強化することができます。

同意管理データをCRMやMAツールと同期する

顧客や従業員が自身の個人情報の取り扱いに対して、同意を付与したり、撤回したりした場合、それらの個人情報の取り扱いに関するステータス情報は、不当に遅滞することなく反映されなければなりません。

企業にとって、プライバシープログラムのゴールは、顧客の期待に応えることで、顧客からの信頼を得ることです。顧客はスマホのアプリやウェブサイトで自身の同意ステータスを変更した場合、出来る限り早く自身のデータの取扱いに反映されることを期待しています。もし、数週間たってもマーケティングメールが送られ続けたり、自身のデータの取り扱いに何の変化も感じられない場合、顧客は、企業に対して不信感を持つでしょう。たとえ、その企業がプライバシー保護をサイトやポリシーで謳っていても、真剣に取り組んでいなければ、顧客からの信頼を大きく棄損することになります。

顧客の信頼を獲得するためには、同意のステータス変更を営業活動やマーケティング活動へ反映するための仕組みが重要です。同意管理システムで一元管理された最新の同意情報とCRMやマーケティングオートメーション(MA)ツールの同意ステータス情報をなるべく早く連携し、顧客の期待に応える必要があります。

OneTrust には、SalesforceMarketoなどのSaaSやDB、DWHなど様々な外部システムとの連携にすぐに使用できるビルトインの統合機能(下図参照)が備わっています。OneTrustの同意管理機能とこの統合機能を組み合わせることで、お使いのMAツールやCRMとOneTrustの同意管理データをリアルタイムで自動的に連携することが可能です。これにより、企業は、顧客が個人情報の取り扱いに関して同意を付与、または撤回した場合、それらの同意ステータスを即座にMarketoやSalesforce Marketing Cloudへ連携し、顧客や見込み客の期待に応えることが可能です。

さいごに

もし、これから同意管理ツールの導入を検討されているお客様は、単にプライバシーに関する法規制への対応という守りの視点からではなく、顧客の信頼獲得を意識した攻めの取り組みとして捉えてみてはいかがでしょうか?

お使いのMAツールやCRMと同意ステータスをリアルタイムで連携することで法規制を遵守するだけでなく、データ侵害などのプライバシーインシデントから自社のブランド価値を守り、顧客の信頼に応えることができます。

これから顧客や従業員など自社が扱う個人情報の保護の強化を検討されている方は、こちらよりデモを予約いただき、OneTrustの同意管理モジュールをMAツールやCRMと連携することで個人の同意ステータスをリアルタイムで同期する仕組みについてご覧いただければと思います。

また、Preferenceと組み合わせることで、その個人の同意の付与・拒否、個人設定を履歴管理することも可能です。次回はPreference機能について紹介します。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください