こんにちは、BICPDATAの菊川です。
ありがたいことに、様々な業種のお客様とプライバシーに関するお取り組みをご一緒させていただく機会が増えてきました。
プライバシー対応と言えばやはり「同意管理」や「開示請求」がトピックになりやすいですね。
そんな中、「開示請求」については皆さん一定の共通イメージをお持ちになっていることが多いように思いますが、他方で「同意管理」については様々な解釈をお持ちになられている印象があります。
弊社のブログでは、これまでにCMP(Consent Management Platform /コンセントマネジメントプラットフォーム)について説明してきましたが、本日は改めて同意管理とは何か?について考えてみたいと思います。
※過去のブログはこちらから→CMP②、CMP③
■はじめに、同意管理への認識
まず、今回このブログを書くにあたって、私自身驚いたことがあります。
それがこちら。
“同意管理”で検索したら検索結果がCMPで埋まっていた件!です(笑)
いやいや違うだろう(それは同意管理『ツール』だろう)、と思うところはありますが、これが現状における同意管理への一般的な認識なのではと思っています。
以前のブログでも触れておりますが、【同意管理という考え方】と【CMP】が別ものだ、ということまずは理解していただく必要があると考えています。
同意を管理すること自体は、 データを提供する生活者と データを利用する企業との間での約束ごとを作り、それを正しく管理するということを意味します。他方で、CMPはその同意管理の一連の流れのうち、テクノロジーの力で安全な管理・運用の実現や同意取得UIの実装工数を削減するための機能を提供するものになります。つまり、CMPはあくまでも同意管理において局所的な手段にすぎません。そのためCMPを導入することで、同意管理、つまりは来たる法改正への対応が整うわけではない、ということを改めてご理解いただければと思います。
そのため、これから同意管理について企業として検討しようと思われている方には、まず【同意管理という考え方】について理解を深めていただくことが大切です。
■何に対して同意を取るか
それでは本日の本題です。
同意管理を実施するには、何をどのように検討していけばよいのでしょうか。
まずは、【何に対して同意を取得するか】の検討です。ここが本当に本当に、本当に大切です!笑
はじめに、私たちにとって一番身近な同意管理の例を挙げてみます。そう、メルマガの配信設定です。皆さん1度は経験したことがありますよね?このメルマガの配信設定も立派な同意管理になります。
これはそのままですが、“メルマガの配信”に対して顧客から同意を得て管理していることになります。(個人情報保護法的に言えば、”メルマガの配信”にメールアドレスを用いることに対して顧客から同意を得て管理することです。)
では、これからのプライバシー対応にて必要とされてくる同意管理とは何かというと、“生存する個人に関する情報とその利用”に関して顧客から同意を得て管理していくこと、となります。
ここで間違わないでいただきたいのが、生存する個人に関する情報=Cookie情報ではもちろんありません。 Cookieは生存する個人に関する情報のうちの、個人関連情報のうちの一項目に過ぎません。
※詳しくはこちら⇒個人関連情報①
Cookie情報ももちろんですが、会員サイトに登録された情報、アンケートや問い合わせフォームに記入した情報、はたまた取引先との契約書に記載した情報、名刺交換したときの名刺情報、これらすべてが生存する個人に関する情報に該当します。
上述の、同意管理と検索した結果がCMPで埋まっていたことに対する驚きの理由はここにあります。もちろんツールにもよりますが、CMP市場ではまだまだCookie情報に関しての同意管理機能に特化したものが多く存在します。
ここまでの内容はご理解いただけたでしょうか。これからのプライバシー対応を目的とした同意管理はCMPを入れることだけでは完結しない、という点は、つまり、Cookie情報に関してのみ同意管理をおこなえばよいということではない=CMPの導入だけでは不十分である、ということになりますので、まずはこちらをきちんとご理解いただければと思います。
そして、その次に、これからのプライバシー対応において、ご自身の企業では“何に対しての同意管理を行う必要があるか”の明確化を行ってください。
■個人情報保護法で必要な同意管理
それでは改めて、個人情報保護法を大前提とした、企業が行うべき同意管理とは何かを整理しましょう。
上でも記載しましたが、“生存する個人に関する情報とその利用”に関して顧客から同意を得て管理していくことが必要となります。
なので、データ(企業が収集する情報)の利用目的と、その目的で利用するデータ項目(企業が収集した情報の項目)の明確化を行うところから始める必要があります。話が少し戻りますが、この整理ができて初めてCMPの導入を検討できる段階に入ることができます。
まずは以下の整理から始めます。
①利用目的の整理
⇒プライバシーポリシーに記載の利用目的(共同利用や第三者提供の場合を含む)の見直し
②収集しているデータ項目の整理
⇒顧客・取引先・従業員から収集しているデータは何か、の洗い出し
③利用目的ごとに使用するデータの明確化
⇒利用目的ごとに、その利用目的で実際に利用しているデータを振り分ける
ここまで整理できて初めて、そのデータを取得するにあたり顧客にきちんと利用目的が説明できており、その利用に対してきちんと同意をもらえているか、という話に移ることができます。
これが個人情報保護法を前提とした同意管理の考え方です。この後に同意の取得方法や、同意情報を活用した運用方法の検討に入っていきますが、本日はまず企業が行うべき同意管理つまり“生存する個人に関する情報とその利用”に対しての同意管理というのがどのような考え方であるのかをご理解いただければと思います。
■最後に
皆さま、ここまで読んでいただきありがとうございました。
同意管理ってどういうこと?具体的に何をしなくてはいけないの?と思われていた方に少しでもイメージをお持ちいただけましたら幸いです。
弊社では、利用目的の整理はもちろん、収集しているデータの把握や同意の取得状況のアセスメントと今後の運用のご提案、また同意管理に対しての社内勉強会などなど様々なお手伝いをさせていただいております。
うちの会社もプライバシー対応をしていかなくては!と課題をお持ちの方がいらっしゃいましたら、ぜひお気軽にお問合せください。