OneTrust 同意管理 : ダブルオプトイン機能

はじめに

OneTrustの同意管理機能では、同意管理をサポートするための様々な機能が含まれています。

今回のブログでは、データ主体(個人)から同意を明示的に取得するための「ダブルオプトイン」機能について紹介します。

明示的な同意が必要とされる処理(GDPRの場合)

ダブルオプトイン機能の説明に入る前に、そもそもどういった場合に「明示的な同意(Explicit Consent)」が必要となるのでしょうか?

EDPBのガイドラインによると、GDPRでは以下のいずれかの処理を行う際に必要とされています。

  • 特別カテゴリのデータを処理する場合(9条)
  • 十分性認定がなされていない第三国または国際的な機関への移転(49条)
  • 自動意思決定(プロファイリングを含む)のための処理(22条)

4. OBTAINING EXPLICIT CONSENT

91. Explicit consent is required in certain situations where serious data protection risk emerge, hence, where a high level of individual control over personal data is deemed appropriate. Under the GDPR, explicit consent plays a role in Article 9 on the processing of special categories of data, the provisions on data transfers to third countries or international organisations in the absence of adequate safeguards in Article 49, and in Article 22 on automated individual decision-making, including profiling.

出典:Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.1 , Adopted on4 May2020, 91項

同ガイドラインでは、「明示的な同意」を取得するための手法として、署名によるサイン(93項)以外に、データ主体が電子フォームに入力したり、(同意の旨の)電子メールを送信したり、データ主体の署名した文書をスキャンしたドキュメントをアップロードしたり、電子署名を使用する方法を挙げています(94項)。

ダブルオプトイン

また、同ガイドラインでは、メールを使用したダブルオプトインなどの2段階の同意確認についても、EU GDPR上、「明示的な同意」であることを証明する方法となるとされています。

98. Two stage verification of consent can also be a way to make sure explicit consent is valid. For example, a data subject receives an email notifying them of the controller’s intent to process a record containing medical data. The controller explains in the email that he asks for consent for the use of a specific set of information for a specific purpose. If the data subjects agrees to the use of this data, the controller asks him or her for an email reply containing the statement ‘I agree’. After the reply is sent, the data subject receives a verification link that must be clicked, or an SMS message with a verification code, to confirm agreement.

出典:Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.1 , Adopted on4 May2020, 98項

ダブルオプトインは、オーストリア、ドイツ、ギリシャ、ルクセンブルク、ノルウェーといった加盟国でダイレクトマーケティングを行う際の同意の確認方法として、(GDPRの要件ではありませんが)ベストプラクティスとして求められています。

OneTrust ダブルオプトイン機能

ダブルオプトインの動き

OneTrustの同意管理機能では、収集ポイントでダブルオプトインの設定が有効となっている場合、以下のプロセスを経て最終的に有効な同意レコードとなります。

  1. 個人が「利用目的」に対してフォーム等で同意情報が提出する。  > 目的のステータスは「PENDING(承認待ち)」に設定される。
  2. データ主体は、メールで送信された確認用のリンクをクリックして同意を確認する。 > 目的ステータスが「 ACTIVE(アクティブ)」 に更新される。

ダブルオプトインを設定する(新規作成の場合)

  1. 収集ポイントを作成する 。(その際、ウェブフォームまたはカスタムAPIを選択します。)
  2. 「詳細」タブ >「構成」にある項目のうち、「データ主体の識別子」を「Email」などのメールアドレスを指定する。
  3. 「設定」タブにてダブルオプトインを有効にする。

自由度の高い実装方法:統合機能との連携

統合機能を使用しなくても、ダブルオプトインは実現することができますが、既存のダブルオプトインプロセスでは要件を満たせず、カスタマイズが必要な場合、統合機能を使用する必要があります。

統合機能を使用することでカスタマイズされたダブルオプトインのためのワークフローを設定し、データ主体のEメールアドレスに同意確認のためのリンクを送信できます。

統合機能を使用する場合、一部コーディング(Apache FreeMarker)が必要となる場合があります。もし、自社での構築、運用が難しい場合、弊社までご相談ください。

統合機能では、同意の更新イベントをトリガーに、同意イベントの情報を使用し、自由度の高いデータワークフロー処理を組むことができます。(統合機能の説明は割愛させていただきます。)

同意の更新イベントの情報には、 ワークフローを構築するために必要なダブルオプトイン確認用のリンクやデータ主体が入力した同意に関する情報が含まれます。

統合機能を使用する場合に必要な設定(グローバル設定)

あらかじめ「グローバル設定」の[同意更新イベントを有効にする]設定を有効にしておく必要があります。

また、収集ポイント側の「設定」タブで、「確認メールを送信する」設定を無効にしておく必要があります。

最後に

今回のブログでは、ダブルオプトイン機能について紹介しました。

OneTrustの同意管理機能は、各法管轄区域に対応した同意管理のための仕組みを構築する上で必要な機能が網羅的に用意されています。

もし、OneTrustの同意管理ソリューションに興味のある方は、ぜひ弊社までご相談ください。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください