こんにちは!
マーテック領域でのデータ活用支援を行うユニットに所属しています、株式会社DearOneの石橋です。
みなさま、改正個人情報保護法やGDPRをはじめとした法規制やCookie規制へのプライバシー対応はお済みでしょうか?
近年では各国の顧客データに関する法規制やApple/GoogleのCookie規制の動きが広がっています。そのため、ユーザーから取得したデータを有効活用し、広告配信にリターゲティングやオーディエンスターゲティングを活用している多くの方々にとって、法規制やCookie規制に関する情報が重要ですが、それに対する具体的な対応策が不透明であることが多いのが現状です。
本記事では法規制やCookie規制の背後にある動機や影響について、初心者の方でも理解しやすいように言葉を選んで詳しく解説し、またデータ活用における視点から、どのように規制に対応すべきかの具体的なアドバイスも提供します。
- 法規制・Cookie規制の話は耳にするが具体的に何をすればいいか分からない
- ユーザーから取得したデータを施策や分析に活用しているが規制への対応ができているか不安
- 広告配信でリターゲティングやオーディエンスターゲティングを使用している
といった方々がCookie規制に関する知識を深め、データ活用のプロセスにおいて合法的かつ効果的な戦略を見つけて、効果的に進める手助けとなれば幸いです。
法規制とCookie規制で対策するべきポイント
法規制とCookie規制の動向
顧客データに関する法規制は2018年5月にEU圏で施行されたGDPRを皮切りに各国で進んでいます。日本でも2022年4月に従来の規制が強化された改正個人情報保護法が施行され話題となりました。
特にGDPRでは適切な対応を取っていない企業に対して、義務違反の内容によっては2,000万ユーロもしくは売上の4%という巨額の制裁金が課せられてしまいます。日本で展開するサービスでもEU圏からのアクセスがあればGDPR違反になる可能性があるため注意が必要です。*1ジェトロ(日本貿易振興機構)| 「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
GDPR違反のリスクについては以下の記事をご参照ください。
法規制に加え、世界に広がりつつあるのがCookie規制です。
Cookieとはユーザーが訪れたWebサイトがそのユーザーの情報を収集するために、ユーザーのブラウザに保存する小さなテキストファイルです。Cookieはそのユーザーに固有のIDを割り当て、このIDはWebサイトがそのユーザーの行動を追跡し、分析するために使用されます。例えば、Webサイトの所有者はCookieを利用して、ユーザーがどのページを訪問したか、どの広告をクリックしたか、何を購入したかなどを把握することができます。
このため、Cookieにはプライバシーに関する懸念があるとして、多くのWebサイトで前述のGDPRのほか、カリフォルニア消費者プライバシー法(CCPA)などの規制に従って、ユーザーに対して同意を求めるポップアップが表示されることがあるのです。
Cookie制限による課題やファーストパーティデータ(1st Party Data)の重要性については以下の記事もご参照ください。
このほか世界的テック企業でCookie規制の動きが広がっています。
Apple社ではiOS標準ブラウザであるSafariに対してサードパーティーCookie(3rd Party Cookie)の全面廃止が実施され、ファーストパーティCookie(1st Party Cookie)に関しても保持期間に制限を設けるなどプラットフォーム側でのCookie規制が進んでいます。
同様にGoogle社も2024年にWebブラウザのChromeに対してサードパーティーCookie(3rd Party Cookie)を廃止すると発表しています。
サードパーティーCookie(3rd Party Cookie)についての詳しい解説は以下の記事をご覧ください。
日本国内での法規制やCookie規制による影響
これらの法規制やCookie規制はどのような影響を与えるのでしょうか?
国内のデジタルマーケティング領域で最も影響が大きく分かりやすい例がApple社やGoogle社が進めるCookie規制による広告配信への影響です。
例えばリターゲティング広告(*1)やオーディエンスターゲティング広告(*2)はサードパーティーCookie(3rd Party Cookie)から取得したデータを元に行われるため広告効果の大幅な低下が懸念されます。
Apple社のCookie規制は既に開始されているため、iPhoneユーザーが過半数を占める日本では影響が特に大きいと考えられます。
*1 サイトを訪れたユーザーに対する広告配信
*2 デモグラや興味関心などの属性情報を元にユーザーをターゲティングした広告配信
なぜ規制が強化されたのか?対応の際に考えたいポイント
法規制の背景
なぜ近年Cookieを含めた顧客データに関する規制が強化されているのでしょうか?
その理由は実際のGDPR違反の事例から見えてきました。
Apple社やGoogle社が規制を進めるサードパーティーCookie(3rd Party Cookie)は、主にWeb上での広告配信で使用されています。前項でも触れたように広告配信のターゲット選定にはサードパーティーCookie(3rd Party Cookie)から取得したユーザーの閲覧情報や趣味嗜好が使用されています。
ユーザーの閲覧情報や趣味嗜好を元に作成されるターゲット群は広告配信で高い効果を発揮するため多くの企業が使用していましたが、その元となるサードパーティーCookie(3rd Party Cookie)はユーザーに対して利用に関する十分な説明がされないまま使用されていました。
2019年1月、Google社は顧客データがGoogleの各サービスでどのように扱われるか十分な説明がされていないことから「同意取得は無効」としてGDPR違反となり5,000万ユーロ(約62億円)の制裁金が課せられています。
顧客データはユーザーのものである意識を持つことが重要
ここで重要なのがサードパーティーCookie(3rd Party Cookie)をはじめとしたCookieに含まれる顧客データはユーザーのものであり、技術的に取得可能とはいえユーザーの同意なく使用できるものではないという点です。法規制やCookie規制はこれらの同意なく使用される顧客データの保護を目的としています。
そのため顧客データ保護の動きに関しては「規制が厳しくなった」というよりも「本来あるべきデータ保護の姿に規制が追いついた」という印象を受けました。
近年では法規制の動きもありWebサイト上にCookie同意に関するポップアップが表示されることも多くなりましたが、一方で対応が遅れている企業もまだまだ多いようです。
これらの規制を”窮屈”と捉えて規制を掻い潜りながらCookieを取得する方法を探し続けるか、”機会”と捉えてユーザー同意の元でデータを正しく取得・活用するか、それが今後のデータ活用の別れ道になるのではないでしょうか。
もし規制の話を聞いて”窮屈”と感じた場合は、顧客データの扱いに関するマインドセットから変える必要があるかもしれません。
データ活用において必要な具体的な対応
ここまで法規制とCookie規制について影響や背景を解説をしてきましたが、法律の専門家ではない私が理解するには内容がとても難しい…!
ですが調査を進める上で日本国内でも押さえておきたい規制への対応策が見えてきたので、こちらの章でさらに解説していきます。
法規制とCookie規制で求められる対応
前項で述べたように規制を”機会”と捉えた場合、どのような対応が必要なのでしょうか?
ユーザーから取得したデータを活用して分析・施策実行を行なっている場合、法規制では以下の項目に対応する必要があります。
- データ活用に関する目的別のユーザー同意の取得
- ユーザーからの顧客データに関する削除・開示リクエストに対応
- セキュリティ要件やプライバシー要件を満たすツールの選定・使用
※実際に対応を進める際は法務担当への確認を推奨いたします。
またサードパーティーCookie(3rd Party Cookie)の廃止により、リターゲティング広告やオーディエンスターゲティング広告の精度が今後大幅に低下していく一方、広告事業者側もサードパーティーCookie(3rd Party Cookie)を利用した広告に替わるファーストパーティーデータ(1st Party Data)(*3)やゼロパーティーデータ(Zero Party Data)(*4)を利用した新しい広告の提供を開始しています。
そのためCookie規制への対応としては、データ活用のためのユーザー同意を得たうえで、これらのファーストパーティーデータ(1st Party Data)やゼロパーティーデータ(Zero Party Data)を利用した広告配信やカスタマーエンゲージメントツールによるユーザーとのコミュニケーションが重要となってきます。
ゼロパーティデータ(Zero Party Data)、ファーストパーティデータ(1st Party Data)、セカンドパーティデータ(2nd Party Data)、サードパーティデータ(3rd Party Data)それぞれの定義や違いについては以下の記事をご参照ください。
*3 広告事業者のような第三者ではなく、企業自身が収集し保有しているデータ(会員登録情報やオウンドメディアの行動履歴など)
*4 顧客が意図的かつ積極的に企業やブランドと共有する情報(アンケートやヒアリングの情報。例:音楽アプリ利用開始時の好きなジャンルやアーティストを選択して企業へ趣味趣向の情報を提供)
また今後は広告配信で行なっていた新規顧客の獲得だけに注力するのでなく、既存顧客がサイトやアプリ内でどのような行動を取っているかの分析を行うことも重要です。
ユーザー行動を元に施策を実施することでユーザーエンゲージメントを高めることができ、さらにユーザー1人当たりのLTVを高めていくグロースマーケティングの取り組みも可能となります。
サードパーティーCookie(3rd Party Cookie)廃止で高度な広告機能に頼れない今後は、自社での顧客理解やそれを元にした施策実行が重要になると考えます。
実際になにをすればいい?具体的な対応策
法規制やCookie規制で必要な対応が分かったところで、具体的にはどのように対応すればよいでしょうか?
データ活用における具体的な対応については以下の3つのSTEPが必要だと考えています。
STEP1:顧客データ取得に関するユーザーからの同意を得る
STEP2:ユーザー同意に基づいたマーケティング基盤の構築
STEP1:顧客データ取得に関するユーザーからの同意を得る
前項でも述べた通り、どのような目的で顧客データを使用するか目的別のユーザー同意の取得が必要です。同意の取得は改正個人情報保護法や海外向けにサービス展開している企業に関わりのあるGDPRやCCPA(*5)などでも定められているため、しっかりと対策しましょう。
*5 カリフォルニア州消費者プライバシー法(CCPA : California Consumer Privacy Act)。米国カリフォルニア州の住民の個人データ保護を定めた州法。
ユーザー同意に関してはOneTrustなどの同意管理プラットフォーム(CMP)を導入することで同意取得のポップアップを簡単に導入することができます。
規制対応の最初の一歩はCMPを導入することから始めるのがよいのではないでしょうか?
またユーザー同意を取得した後も同意状況に応じてデータを管理する必要があり、特に以下の2点に注意する必要があります。
- 顧客データの利用の停止・消去等の請求
- Cookieの利用目的に沿ったデータ連携
顧客データの利用の停止・消去等の請求
各国の法規制ではユーザーからの削除や開示のリクエストに対応することが義務付けられており、日本の改正個人情報保護法でもユーザーからデータ削除のリクエストを受けた際の対応が定められています。
そのためユーザーの同意状況を管理し、同意状況に応じてデータの停止や削除を行う必要があります。
Cookieの利用目的に沿ったデータ連携
ユーザー同意は目的別に取得する必要がありますが、同様に取得したデータの使用や連携先も目的に応じてコントロールする必要があります。
例えば広告配信に関する顧客データの同意項目があったとします。
ユーザーから広告関連の同意が得られている場合はFacebookやGoogleなどの広告プラットフォームにデータを連携することは問題ありませんが、広告関連の同意が取られていない場合はそれらにデータを送らないなど、同意の目的別の管理が必要になります。
上記2つの対応をユーザーひとりひとりの同意ステータスに合わせて管理・制御するのはとても大変です。
そんなときはmParticleなどの同意管理機能を持つツールを上手に活用して、同意管理のハードルを下げてしまうのが良いのではないでしょうか。
mParticleについての詳しい説明は以下の記事をご覧ください。
STEP2:ユーザー同意に基づいたマーケティング基盤の構築
STEP2ではSTEP1でユーザー同意が取得できたデータのみを取得して分析ツールやMAツールに連携していきます。分析ツールはAmplitudeなどのユーザーの行動分析が可能なツール、MAツールはBrazeやMoEngageなどのPush配信やアプリ内メッセージ配信が可能なツールがおすすめです。
また取得・連携する顧客データはCookieだけに紐付いたデータではなく、ログイン時などに顧客IDで紐付いたデータに絞ることでCookie規制の影響を回避することも可能になります。
そしてこのSTEPで導入するツールはユーザーから取得したデータを扱うことになるため、各法規制が定めるセキュリティ要件やプライバシー要件の水準を満たしているツールが望ましいです。導入の前にはツールベンダーへの問い合わせや法務担当者への確認を推奨いたします。
またこちらのSTEPでご紹介しているマーケティング基盤内の各ツールについて、詳しい解説は以下の記事をご覧ください。
STEP3:行動分析と施策実施
STEP2でマーケティング基盤の構築ができたら、いよいよユーザーの行動分析と施策実行のフェーズに入ります。
Cookie規制でのサードパーティーCookie(3rd Party Cookie)廃止によりリターゲティング広告やオーディエンスターゲティング広告の効果が大幅に低下したことから、今後は広告プラットフォームに頼らずに自社で分析と施策実施を進めていくことが重要になります。
STEP2のマーケティング基盤の構築が完了すると、以下の一連の流れが可能になります。
- 取得した顧客データからユーザーの行動分析とセグメント作成を実施
- 作成したセグメントからPush配信やアプリ内メッセージ配信などの施策を実行
- 施策の結果を再度分析ツールに連携して効果測定と施策の改善
実はこのSTEP3まで完了すると法規制やCookie規制への対応はもちろん、DearOneが提唱するプロダクト成長のグロースマーケティングを進める仕組みも完成します。
サードパーティーCookie(3rd Party Cookie)の廃止で広告効果の低下が懸念されるため、この機会に自社のマーケティング強化を図ってみてはいかがでしょうか?
グロースマーケティングを実施した事例については以下の記事をご覧ください。
まとめ
法規制・Cookie規制への内容と対応策について解説しましたが、やはり内容が難しく私自身が理解するのにとても苦労しました。
前項で解説した対応を進めることは、規制に関する専門知識や時間・工数が必要なためとても大変です。そのため同意ポップアップツールや同意管理ツールなど、それぞれの工程で得意とする専用ツールを上手に活用することが法規制・Cookie規制対応の鍵になると感じました。
この記事で解説した内容について、DearOneでは以下のサポートを行なっておりますのでお気軽にお問合せください。
- 各種マーケティングツールを最大限活用するためのデータ設計
- CDPツールmParticleの導入
- ユーザー行動分析ツールのAmplitudeの活用
- Push配信やアプリ内メッセージ配信などのMAツールのMoEngage、Braze、KARTEの活用
*1 | ジェトロ(日本貿易振興機構)| 「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編) |
---|