Knowledge & Column

CMP(同意管理プラットフォーム)とは?注目の理由とメリット、導入手順を法改正への対応を交え解説

CMPとは?

世界的にプライバシーの保護が強化されている昨今、日本でも個人情報保護にかかわる改正法令が次々と施行されています。そんな折、企業から注目を浴びているのがCMP(コンセントマネジメントプラットフォーム)です。「同意管理プラットフォーム」とも呼ばれるこのツールの重要性を認識しているものの、概要を詳しく理解している人はまだ少ないかもしれません。本記事では、CMPとはどのようなものなのか、注目される背景やメリット、導入手順、注意点を、法改正への対応とともに解説します。

CMPとは

Webサイトやアプリを利用したユーザーの行動履歴といった個人情報は、一時的にユーザーのPCや端末の データファイル(Cookie)に保存されます。CMPとは、企業がそのCookieの収集と利用目的を明示し、本人の同意を取得・管理するためのツールです。CMPはConsent Management Platform の略称で、「Consent=同意」「Management=管理」「Platform=基盤」の意味から、日本では「同意管理プラットフォーム」とも呼ばれています。
Webサイトにアクセスしたとき、「Cookieを承諾する、しない」といったポップアップ画面が現れ、同意を求められた経験がある人も多いのではないでしょうか。これがCMPの仕組みのひとつです。

つまり、CMPを用いることで企業は本人同意のもとでデータを活用でき、ユーザーは情報の利用目的を知ったうえで許可するかどうかを選択できます。

関連記事:

CMPが注目される理由

 

特に近年、CMPは注目されています。その理由について、プライバシー保護規制の流れや電気通信事業法の面から解説します。

世界的なプライバシー保護の流れ

2018年に、欧州連合(EU)で個人データ保護の規則、GDPR(General Data Protection Regulation:EU一般データ保護規則)が施行されました。広範囲での個人情報の保護が対象となり、Cookieやオンライン識別子なども個人情報とみなされ、これらの情報処理を行うときは事前の同意取得を必須とする規則です。違反した場合には、高額な制裁金といった重い罰則が科せられます。

2020年には、アメリカのカリフォルニア州でCCPA(California Consumer Privacy Act: カリフォルニア州消費者プライバシー法)が導入されました。カリフォルニア州住民の個人情報保護を目的とした法律です。この法では、個人情報収集や利用に対して制限を課していないものの、利用者が要求した場合、そのデータの開示・削除に45日以内に対応しなければなりません。
企業がトラブルを避け、スムーズな対応をするためにもCMPの導入が必要となってきています。

3rd Party Cookie規制の動き

3rd Party Cookieとは、ユーザーが訪れたWebサイト以外のドメインによって生成されるCookieです。例えば、訪問したサイトに広告が掲載されていた場合、その広告を提供している別のサーバーが生成するCookieがそれにあたります。広告業者はユーザーの行動履歴から、それぞれの興味に合わせた広告を配信する「ターゲティング広告」などを利用してきました。
しかし、プライバシー侵害の観点からこのような広告が問題視され、近年オンラインサービスを提供する大手企業がCookieを自主規制する傾向が見られています。

Apple社では、同社のブラウザである「Safari」にサイトトラッキング防止機能を搭載しています。ユーザーの行動や記録、追跡を防ぐ機能で、2017年からサードパーティー Cookieの制限を開始しました。2018年にはファーストパーティーCookieの制限も加わり、2020年にはサードパーティーCookieを完全にブロックしました。
Google社は、同社提供のブラウザ「Google Chrome」でのサードパーティーCookieの完全廃止を発表しており、2024年後半から順次実施される見込みです。

同意を得たうえでの個人情報を収集・管理する仕組みが必要不可欠な流れとなっています。

日本の法律改正

日本でも、2022年4月施行の改正個人情報保護法に続いて、2023年6月に改正電気通信事業法が施行されました。改定された大きなポイントのひとつに、「利用者情報の外部送信規制」の新設があります。この内容がCookie情報の利用を規制する側面があることから、改正電気通信事業法は「Cookie規制」とも呼ばれています。

具体的にいうと、Webサイトを運営する事業者がユーザー情報を第三者に外部送信しようとする場合、その内容や送信先、利用目的などについて事前に本人に確認の機会を与えなければなりません。また、企業はユーザーから個人データに関する開示請求を受けた際、即座に対応することも義務付けられています。

ほかにも、電気通信事業法には詳細な規定が盛り込まれており、同法第179条で、これらの法に反した場合は懲役または罰金に処せられるといった罰則が定められています。
7月記事「改正電気通信事業法とは_Cookie規制を含めたポイントと対策を解説」をリンク
そのため企業には、ユーザーのデータ取得における同意状況を管理できる体制の構築が必要となっています。

CMPのメリット

このように、適正な個人情報の扱いが求められるなか、CMPを導入するメリットを解説します。

ユーザーのプライバシー保護

CMPを利用したサイトにすることで、ユーザーは自身で個人データの取り扱いに同意または不同意のうえで利用できます。そのため、プライバシーの保護がなされた透明性の高いWebサイトという認識を持たれやすいという利点があります。また、自分の情報がどのように使われているかを把握できることでサイトへの安心感や信頼度の向上にもつながります。

法規制に準拠

個人データの出入りや同意状況を管理しておくことで、ユーザーからの各種開示請求といったCookie規制強化による法的な要請に対応しやすくなります。海外の規制にも対応できる運用体制を構築できるでしょう。

CMPツールのなかには、Cookieの使用に関してユーザーから同意を得るまで、連携ツールでのCookie発行や各種タグの機能を停止する仕組みを備えているもの(ゼロクッキーロード)もあります。
こうした機能を活用すれば、ユーザーの企業への信頼度が高まり、顧客満足度の向上にもつながるでしょう。

CMPの導入手順

CMPを導入する際の流れを解説します。
プライバシーポリシーやCookieポリシーの策定
まず、現在のサイトに導入しているツール類やCookie取得タグなどを整理します。プライバシーポリシーは現行の個人情報保護法に適合しているかどうかを確認しましょう。適合していない場合は改定する必要があります。同時に、Cookieを取得しているタグを整理し、適切な利用がなされているかを把握しておくことも大切です。

CMPツールの選定

CMPツールは多種多様です。自社の目的に応じて導入するCMPツールを検討しましょう。
選定のポイントとして、各国の規制(GDPR・CCPAなど)に対応しているか、Cookie同意取得バナーをカスタマイズできるか、同意したデータを連携できるか、などを確認するとよいでしょう。

CMPツールの導入

導入に際し、まずCMPツールでWebサイトのスキャンを行い、サイト上のタグを一覧表にして分類します。そこから表示用のCMPタグを発行し、タグの設置、実装・動作のテストを行います。これらは、一般的なCMPツールには初期設定で実装されている場合が多いようです。
複数のタグを一括管理するタグマネージャーを利用している場合、CMPと統合できるものもあるため導入しやすいでしょう。
ただ、CMPツールの導入や運用には専門的な知見が必要な場合があります。技術サポートや法令改正に対応するコンサルティングを含め、専門家に依頼を検討してみるのも一案です。

主なCMPツールと導入時の注意点

先述のとおり、CMPには多種多様なツールがあります。主要なCMPツールを比較してみましょう。

このように、CMPの機能はサービスによって異なり、費用も変動します。コストに見合った活用ができる規模や内容のツールを選定することが大切です。
また、顧客データは分散しがちなので、CMPとCDP(顧客データ基盤)の連携によって顧客データを統合し、一元管理するとより使いやすいかもしれません。

顧客の信頼と法律対応にCMP導入の検討を

個人情報保護が重視されるなか、CMPツールは企業とユーザー間の信頼感を高めるのはもちろん、国内外の個人情報保護に関する法改正への対応にも役立つでしょう。また、ユーザーがデータの使用目的を知り、同意の可否を選べることで、サービスの透明性を感じるのではないでしょうか。なにより、法律への対応は企業の社会的信用性にかかわる重要な要素です。CMPツールにはさまざまな種類があり、自社だけでは選定に時間を要する局面が出てくるかもしれません。

Legolissでは、マーケティングツールの導入支援から運用コンサルティングまで、幅広く対応しています。外部の専門企業のサポートを含めて、自社の目的に合ったツールの導入を検討してみてはいかがでしょうか。