2022年4月に改正個人情報保護法が施行され、さまざまな個人情報の取り扱いやプライバシー問題が注目されています。DXを進める中で企業はデータ活用とプライバシー問題への対応の両立にどのように取り組めばいいのでしょうか。
本記事では、個人情報とプライバシーの違いを説明し、データ活用で気をつけるべきポイントを紹介します。
個人情報とプライバシーの違い
「個人情報」と「プライバシー」は、あまり区別することなく使われていますが、異なる意味を持っています。個人情報とは個人を識別、特定できる「情報」そのものを指し、プライバシーは情報のみにとどまらず、自己の情報を他人に干渉・侵害されない「権利」を指します。
個人情報とは
個人情報は、個人情報保護委員会では以下のように説明されています。
個人情報とは、生きている個人に関する情報であって、「その人が誰なのかわかる」情報をいいます。 例えば、「氏名」や「その人が誰なのかわかる映像」などが個人情報です。また、「携帯電話番号」や「住所」だけでは「その人が誰なのかわかる」とは判断できませんが、「氏名と住所」など、他の情報と組み合わせることで「その人が誰なのかわかる」ようであれば、個人情報です。
引用元:個人情報保護委員会
プライバシーとは
プライバシーは、大辞泉に下記のように記載されています。
個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利。
出典:小学館「大辞泉」
また、個人情報保護委員会では下記のように説明されています。
プライバシーは「個人情報」の取扱いとの関連に留まらず、幅広い内容を含むと考えられます。そのようなプライバシーの侵害が発生した場合には、民法上の不法行為などとして侵害に対する救済が図られることとなります。
引用元:個人情報保護委員会
プライバシー保護意識の高まりと規制強化の背景
プライバシー規制が生まれた理由
「ヒト」「モノ」「カネ」が資源と呼ばれる時代から、IT化が進み「情報」に価値が生まれ、特に顧客に関する「個人情報」が重要視されるようになりました。これにより、企業は個人情報をいかに大量に集めるかに注力したり、集めた情報を商品として取引するビジネスも出てきました。
その結果、個人情報が個人の知らないところで流通し利用されることに、消費者が不安を感じるようになってしまい、加えて情報漏えいの事故も増え、プライバシー侵害の被害の規模も大きくなっている傾向にあります。そこで、世界的にプライバシー問題とデータ活用の両立が課題となり、現在プライバシー規制の動きが加速しているのです。
消費者のプライバシー保護意識の高まり
情報化社会と呼ばれる中でプライバシー規制が厳しくなり、それでも情報漏えいのニュースも絶えず、顧客はこれまで以上にプライバシーの侵害に敏感になっています。一方で技術の進歩によりパーソナライズされた顧客体験への期待が高まっている側面もあります。そんな中、企業がプライバシーの保護への取り組みとデータの活用を両立するためには顧客との良好な関係構築と十分な価値の提供が重要です。
個人情報保護とプライバシー規制の動き
近年の個人情報保護とプライバシー規制の世界の主な動きを時系列順に紹介します。
2017年:Intelligent Tracking Prevention(ITP)
ITPはAppleのwebブラウザ「Safari」に搭載されているトラッキング防止機能です。2017年にリリースされたiOS11とmacOS High Sierraから適用されています。
現在のバージョンでは3rd Party Cookieが完全にブロックされており、1st Party Cookieの有効期限も1日に短縮されています。これにより、主にweb広告のリターゲティングができなくなる、ターゲティング制度が低下する、CVの計測が正確にできなくなるなどの影響があります。
2018年:GDPR 欧州
GDPRは、EU加盟国および欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタインの個人データ保護を目的に、EUデータ保護指令よりも個人データやプライバシーの保護に関して厳格に規定され、2018年に施行された法律です。
特徴は規制に違反したときに多額の制裁金が課せられる点で、実際に制裁金の支払いを命じられた企業があることでも有名です。EEA域内で取得した個人データをEEA域外に持ち出すことは原則禁止されていて、企業規模にかかわらず規制の対象となり、多くの日本企業でも対応が求められています。日系企業の現地従業員や、日本から派遣されている駐在員も含まれるため注意が必要です。
2020年:CCPA(CPRA) アメリカ
CCPAは「カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)」の略称であり、米国カリフォルニア州で2020年1月から適用開始されたプライバシー法のことです。
カリフォルニア州の住民に対するプライバシー保護を定めた州法であり、住民にプライバシーに関連する権利を与え、住民の個人情報を利用する事業者には適正管理の義務を定めたものです。連邦法ではなく州法ではありますが、カリフォルニア州は米国の数ある州の中でももっとも人口が多く経済活動が活発な州で、世界的に有名なIT企業が集約していることによる影響の大きさも注目を集めています。
2021年:AppTrackingTransparency(ATT)
ATTは、2021年の4月よりAppleのiOS搭載デバイスで導入されている、ユーザーのプライバシーに配慮し、データ収集を規制するフレームワークです。アプリでユーザーをトラッキングしたり、ADFAの取得の際には、ATTを通じてユーザーの許可を得ることが義務化されました。この規制により、iOSユーザーのターゲティング精度の低下やリターゲティングのボリュームの減少、広告効果の計測精度の低下などの影響が出ています。
2021年:中国個人情報保護法 中国
2021年に中国においてはじめて個人情報保護法典が施行されました。個人情報処理規則、個人情報越境移転、個人の権利および個人情報処理者の義務などに対して具体的に整理、規定されています。中国に拠点がある企業に留まらず、中国国内の人にサービスを提供したり、データを取り扱う場合は適応される可能性があり、確認・対応が必要です。
2022年:改正個人情報保護法 日本
個人情報保護法は、個人情報の不正利用や不適切な取り扱いを防ぐため、個人情報を取り扱う事業者を対象に個人情報の取り扱い方についての義務を課す法律です。
2022年4月には、国民の個人情報に対する意識の高まりや技術の進歩を踏まえて個人情報保護と利活用のバランス、越境データの増加による新たなリスクへの対応などの観点から、制度が見直された改正個人情報保護法が施行されました。違反した場合の法定刑が、個人・法人ともに引き上げられ、特に法人の罰金刑の上限額が大きく引き上げられました。
2023年:Chromeの3rd Party Cookie廃止
Googleは、プライバシー保護の観点から、webブラウザ「Chrome」における3rd Party Cookieのサポートを2023年半ばから後半までの3か月で段階的に廃止する見込みであることを発表しています。これにより、ターゲティング精度の低下や正確なコンバージョン計測が難しくなることが予想されます。
顧客データ活用とプライバシー問題対応の両立
先述したように、データの取得規制が厳しくなり、顧客のプライバシー保護への意識が高まっていることから、これからのマーケティングでは3rd Party Cookieに頼るのではなく、Zero Party Dataと1st Party Dataの活用を軸に考えることが重要になります。それと同時に情報を漏らさないために、データを管理する体制やシステムの安全性も見直しが必要です。
Zero Party Dataと1st Party Dataの活用
Zero Party Dataと1st Party Dataとは
Zero Party Dataとは、調査企業のフォレスターが2018年11月に提唱した用語で、顧客が企業・ブランドへ「自ら提供する」情報のことです。一方で、1st Party Dataとは自社で直接取得したデータのことを指します。Zero Party Dataと1st Party Dataついて、詳しくは下記の記事をご覧ください。
関連:Cookieレス時代に「ゼロパーティデータ」が生み出す真の顧客理解
さまざまな規制によってCookieやデバイスID、そして3rd Party Dataの活用を軸にマーケティングを考えるべきではなくなってきています。顧客に同意を得て取得したZero Party Dataと1st Party Dataの活用を進めることが重要になります。
顧客に価値を提供し、データ取得・利用の同意を得る
データの取得、活用をするには顧客の同意が不可欠になりました。より多くの顧客から同意を得続けるために考えるべきポイントが2つあります。
1つ目は同意を求める適切なタイミングを考えることです。多くのサイトでは初回訪問時にオプトインが表示されることが多いかと思います。しかし、ユーザーに取ってそのタイミングがベストなのか考えるべきです。確かに、離脱のタイミングを考慮すると一番最初に同意を得られれば、より多くの顧客のデータを取得することが可能です。しかし、まだ顧客が価値を感じていない状態ではオプトインを拒否する可能性も十分に考えられます。
一方で、顧客からの何かしらのアクション(問合せ、会員登録、購入など)の際に同意を求めた場合、サイトの情報や商品に少なからず価値を感じている状態であるため、同意を得やすいかもしれません。どちらが正解ということはありませんが、自社の顧客にとって適切なタイミングはいつなのかを考え、実施することが大切です。
2つ目はデータの取得・活用に同意するのに見合った価値を提供することです。まずはプライバシーポリシーを見直すことで利用の目的を明確にし、顧客がデータを提供することでより良い顧客体験を得られる想像や得られたことを実感してもらい、満足感と信頼を得ることがより良い関係を築き、維持していくうえで重要です。
そのためには、同意を得て取得した質の保証されたZero Party Data、1st Party Dataを活用してさらに顧客理解を深め、より良い顧客体験を提供することが求められます。
Zero / 1st Party Dataの施策例や事例については、下記の資料で詳しく紹介してますのであわせてご覧ください!
無料資料:Zero / 1st Party Dataを活用したマーケティング施策5選|強まるCookie規制に対する次の一手
安全性を担保するためにすべきこと
安全性の高いシステムを構築または選択する
技術が進歩していく中で、情報を扱う上で驚異となるサイバー攻撃も高度化・巧妙化し続けています。顧客のプライバシーを守るためにはシステム自体の情報漏えい対策も必須です。一般的に、システム上の情報漏えい対策として、機密性(Confidentialy)、完全性(Integrity)、可用性(Availability)の3つの要素(CIA)が重要とされています。
機密性は情報に対するアクセス権限の徹底した管理によって保たれます。完全性は改ざんや過不足のない正しい情報を保持することを指します。可用性はいつでも安全に使える状態の情報を保持することです。以上の3つの要素をしっかりと担保したセキュリティ対策の整ったシステムを構築または選択しましょう。
データの管理体制を見直す
情報の安全性はシステムの問題だけでなく、管理体制にも大きく影響します。DXという言葉を一般的に耳にするようになりましたが、顧客データをExcelで管理している企業もまだまだ多く、そういった環境では人為的なミスが起こるリスクが高い状態です。実際に情報漏えいの多い原因は人為的な操作ミスや、データの置き忘れなどとなっています。
また、情報を管理するシステムが分断されていてデータが連携されていないサイロ化の状態においてはデータの重複が起きたり、情報の正確性が会社全体として担保できない可能性が高まります。
これらの問題は、データの管理体制を会社全体で見直し、データ基盤で一元管理できる状態をつくることで解決します。データ管理について、詳しくは下記の記事をご覧ください。
関連:データマネジメントとは?DX・データ活用に必要不可欠な理由と実践事例
第三者提供の際には適切な措置を行う
自社でのデータ活用のみに限らず、第三者提供を行う際にも注意が必要です。改正個人情報保護法の施行により、個人情報を第三者提供する際には顧客への同意取得が必須になりました。
提供するデータが個人情報に該当しないデータ(スマートフォンから収集した位置情報、アプリやwebサイト上の行動履歴、端末ID、Cookieなど)場合でも、他のデータベースと突き合わせて解析することで個人が特定できてしまう可能性があり、プライバシーの侵害になる可能性があるので注意が必要です。
また、提供先が他のデータベースとの突き合わせで個人を特定して利用する場合には、同意取得の義務は提供先にありますが、提供先が顧客に同意を得ているか事前に確認すべきでしょう。
CDPをデータ基盤として活用する
情報の取り扱いに関するさまざまの規制が進む中で、CookieやデバイスID、3rd Party Dataを軸としたマーケティングを見直し、CookieとデバイスID重視のDMPからZero Party Dataと1st Party Dataを重視するCDPへと有効なデータ基盤が移行しています。
CDPは、顧客に同意を得て取得したZero Party Dataと1st Party Dataを含む顧客データを取り込み、実在する個人単位で一元管理することができます。CDPに集約したデータをもとに分析をし、顧客理解を深めることで、顧客にとってより価値のある情報やサービスの提供を実現します。
具体的には、同じ人に重複して案内が届くのを防止したり、顧客の状況に合わせてパーソナライズされた情報を送付したり、チャネルごとの会員登録の手間を削減したりなどの顧客体験の向上が挙げられます。
必要なデータ基盤を整えて情報を管理することで、顧客体験を向上させ、顧客とのより良い関係を構築できます。その結果、顧客の情報提供へのポジティブな姿勢を保つことが期待できます。
また、CDPで社内の顧客データを一元管理することで、セキュリティ対策もしやすく安全性を保ちやすくなるメリットもあります。CDPとDMPの違いについて、詳しくは下記の記事をご覧ください。
関連:CDPとDMPの違いとは?それぞれの特徴と使い分けのポイント
EVERRISEが提供するCDP「INTEGRAL-CORE」
弊社EVERRISEでは、顧客データをノーコードで管理できるCDP「INTEGRAL-CORE」を提供しており、これまでTVerさまやキーコーヒーさま、hoyuさまなどを含め複数社の導入実績がございます。
- CDP「INTEGRAL-CORE」の特長
- 顧客に関するあらゆるデータを収集・統合
- ノーコードでデータ集計やセグメント作成
- 外部連携機能でBIツール・MA・CRMなどへデータを渡し、マーケティング施策へ活用可能
- 自社開発システムならではの総合支援体制
- 専用環境での提供も可能な国産CDP
CDP「INTEGRAL-CORE」の機能や特長、ユースケース、実際の画面については、以下の無料資料で詳しく紹介しています。データ活用にお困りの際はぜひお気軽にご相談ください!
