CPRA(カリフォルニア州プライバシー権利法)が施行されるまでには2年あるが、準備は今から始めるべきである。
11月3日、カリフォルニア州ではProposition 24(住民投票事項24)について住民投票が行われ、カリフォルニア州消費者プライバシー権及び施行法(CPRA)が可決された。CPRAは、今年施行されたばかりの消費者プライバシー法(CCPA)を改正したものであり、この施行は2023年を予定している。
特に、CPRAは、規制対象となるデータの種類(サードパーティーと「共有」されるあらゆるデータ)を拡大し、また、特別注意を払う必要のある機密性の高い個人情報について具体的なカテゴリーを明記している。消費者(および従業員)は「自動意思決定テクノロジー」(マシン・ラーニング)によりオプトアウトが可能となる。また、確実なコンプライアンス実現のため、専門の執行機関を創設する。
CPRA施行に備え、ブランド、パブリッシャー、広告主が今できることやすべきことについて、数多くのデジタルマーケターやテクノロジー企業に具体的なアドバイスを求めた。専門家には、Ethyca(データ・プライバシーとコンプライアンスについてのサポート企業)のCEOであるCillian Kieran氏、Wpromote(ダイレクトレスポンス広告を専門に扱うエージェンシー)のデジタルインテリジェンス担当副社長Simon Poulton氏、デジタルポリシー・コンサルタントKristina Podnar氏、Aqilliz(ブロックチェーンをベースとしたマーケティングテクノロジープロバイダ)CEOのGowthaman Ragothaman氏、Tealium(リアルタイム顧客データ統合ソリューション)CMOのHeidi Bullock氏が名を連ねる。
デジタルポリシー・コンサルタント兼著者/Kristina Podnar氏
透明性の導入/向上 CPRAは、データ利用に関して、透明性の向上を目的とした多くの新たな要件を導入している。これに関しては、GDPR(EU一般データ保護規則)の規制への対応を経験したマーケターにとっては逆戻するものとなるだろう。しかし、 いまだGDPRの対象となっていない多くのマーケターにとっては、上り坂を登るように大変な話である。企業は、まず、設計とガバナンスの実践により、データ・プライバシー―(具体的には、データの最小化)に注意を払う必要がある。言い換えれば、企業がユーザーのために行うのを表明した事項を実行するのに必要な情報のみを収集し、そのデータをどのくらいの期間保存するかをユーザーに伝える。また、自社のマーケティングニーズのためにその期間を超えることがないように、そして、ユーザーに収集したデータを使って行うと伝えたことのみを実行するようにする。マーケターはまず、どのようなデータを収集するか、なぜ収集するか、データのライフサイクルを通して、どのように管理するのかに注意を払う必要があるだろう。
何を実行するのかを示し、コントロールはしない 大抵のマーケターは、マーケティングスタックにおけるAI(人工知能)やML(機械学習)の進歩に気が付いておらず、フロントエンド(Web上で直接ユーザーの目に触れるところ)の機能や顧客体験の成果にのみ焦点を当てている。こうした状況は、CPRA施行後には変化するべきであり、現在は、マシンドリブンに関する規制強化の必要性が認識されつつある。マーケターは、ユーザーをプロファイリングし、これらの機能を利用して広告やプロモーションを提供しているのであれば、ユーザーに知らせる必要がある。企業は、現在行われているクロスデバイス、クロスチャネル、クロスビジネスのトラッキングと販売を調整する必要がある。なぜか?それは、CPRAの施行の下では、ユーザーは「その方法で追跡しないでください」と言えるようになったからである。これで、ユーザー視点でのマーケティングシステムの「不気味な」ノイズが取り除かれるはずだ。しかしながら、マーケターにとってはより厳しい状況となり、多くのビジネスがゼロパーティー(個人が広告主に対して意図的に共有するデータ)とファーストパーティーのデータモデルに移行する要因となることは、避けられないだろう。
ユーザーのコントロールをやめる 上記に関連し、CPRAにおいては、企業がユーザーをいかなるクロスコンテキスト行動広告にも関与させることを具体的に制限している。つまり、マーケターは透明性を保つ必要があり、ユーザーに対し受動的な方法でサービスや製品を無理に勧めることはできないのだ(例えば、マーケターは同意/承諾を得るために、ユーザーを騙す目的で作成されたユーザインタフェースである「ダークパターン」を使用することは不可)。マーケターにとってここでの課題は、現在ありふれたダークパターンや暗黙の同意を避けるために、CMP(コンセント・マネジメント・プラットフォーム:同意管理プラットフォーム)を含む同意構成について再考することである。
Wpromote社デジタルインテリジェンス担当副社長/Simon Poulton氏
CCPAを準拠する 2023年にCPRAが施行されるまで、当面の間(まだ、準拠できていない場合は)CCPAに準拠することに注力すべきだ。多くの場合、CPRAはCCPAの適用範囲を拡大したものであり、CCPAを準拠することは正しい方向へ向けての一歩となる。注意点すべき点は、CPRAでカバーされるすべての規制は、2022年1月1日以降に収集された全てのデータに適用されることである。
共有=販売 CCPAの下では、一部のブランド(スターバックスなど)は、データの共有をデータの販売とは見なさないと明言していた。現在は、これが明確に定義されており、ブランドは全てのデータ共有ポイントについて注意を払う必要があるのだ。
Cookieインベントリを作成する まだ、完了していない場合、今こそ、自社ウェブサイト上に存在する全てのCookieとデータ共有機能を見直し、それらを分類する絶好の機会だ。企業の法務チームは、今すぐにでもこれらを見直す必要がある。
Ethyca社創設者兼CEO /Cillian Kieran氏
収集・処理・保存したデータの分類能力を見直す CPRAでは、ユーザーのデータがどのように分類されるのかについて多くの微妙な差異があり、マーケターを含むデータ処理担当者が、異なるカテゴリーの個人情報を慎重に扱えるようにする必要がある。分かり易い例としては、機密性の高い個人情報(SPI)が挙げられる。CPRAでは、ユーザーは自身のSPIを、実際の商品やサービスの提供のためだけに使用することを指定することができる。これを実現するには、バックエンドシステム(ユーザーの目に触れないシステム)のデータフローをより細かく制御する必要がある。
契約者・被契約者の双方の立場で全契約を見直す CPRAでは、パートナーとのデータ関係についてより詳細なレベルの具体性が求められている。CPRAに準拠する企業の下請け業者は、CPRAが規定するレベルのプライバシー保護を実行する必要がある。IAPP(国際プライバシー専門家協会)によれば、「サードパーティー、プロバイダ、または請負業者は、CPRAが規定するレベルのプライバシー保護を受領者に義務付け、不正使用を是正するために、合理的かつ適切な措置を講じる権利を事業者に付与し、遵守できなくなった場合には、受領者が事業者通知することを義務付ける契約を締結しなければならない」。
最後に、表面的にはもう少しシンプルな方法を紹介(とはいえ、データの「販売」と「共有」の区別を再検討するには多くの時間を要するだろう)。ホームページ上におく「私の個人情報を売らないで」のリンクを、分かり易くするため「私の個人情報を販売・共有しないで」といったように微調整してみるとよい。
Aqilliz 社CEO/Gowthaman Ragothaman氏
永久にサードパーティーのデータの使用を取りやめる CPRAの重要な改訂は、CCPAの「販売禁止」条項の修正に関連しており、クロスサイト行動広告やオーディエンスターゲティングとして多く活用されるデータ共有プラクティスをカバーするようになった。
このようなことは、すでに差し迫っているサードパーティーCookieの廃退に対処し始めているマーケターやビッグテック企業にとっては驚くべきことではない。現段階で、マーケターは、すでにオーディエンスのターゲティングのためのサードパーティーデータの使用制限への代替案を模索しているはずだ。独自のファーストパーティーデータプールを開発するパブリッシャーネットワークとの戦略的パートナーシップ構築への投資や、データ連盟への参加が不可欠である。また、パブリッシャー・パートナーを適切に審査し、データが明確かつ倫理的な方法で取得されているかどうかを確認する必要がある。
記録を維持する EUのGDPR(一般データ保護規則)と同様、CPRAはGDPRの「the Record of Processing Activities(データ処理活動の記録)」に関する条項を反映し、さらに厳格な報告要件を要求している。企業は、特定の消費者について収集した全ての情報を、データ共有がどこで行われたかに関わらず、直接あるいは間接的に開示する責任を負う。
これらを配慮し、マーケターは既存の技術投資を強化し、記録保持ツールを組み込む用意をする必要がある。現在、これまで以上にデューデリジェンス(当然実行すべき注意義務および努力)が鍵を握っている。データのライフサイクル全体の履歴を記録しておくことは、マーケターがCPRAの下で要求されるより厳格な報告と開示のための十分な準備をする上で非常に重要となるのだ。
「あればいいもの」よりも、「必要なもの」に焦点を当てる CPRAはまた、「SPI(Sensitive Personal Information/機密性の高い個人情報)」と定義する範囲を拡大している。クレジットカード番号や、政府発行の身分証明書などの金融口座情報に加え、人種や民族、性的思考、宗教的信条、そしておそらく最も重要なのが、オーディエンスのターゲティングにとっての鍵となる「正確な地理位置情報」も含まれるようになったことだ。CPRAの下では、消費者はSPIの使用と開示の両方を制限することが可能となるのだ。
マーケターが、オーディエンスのセグメンテーションとターゲティングについての将来を見据える場合には、大きな変化が必要となるだろう。業界は、歴史的にデータが豊富であるという考え方を好んできたが、マーケターは、データの最小化を念頭に置き、そうした考え方を大きく変える必要がある。適切なデータの最小化プラクティスを確実に実行するために、企業はデータの適切な保有期間と保有プラウティスを再検討し、データやストレージ、そして目的の最小化を自社のデータ管理戦略に統合することを検討する必要がある。SPIの収集と使用に関するオプトアウトのオプションも含める必要がある。オーディエンスエンゲージメント戦略を再定義し、更なる高みを目指す必要があるだろう。技術ベンダーやインフラも、データの最小化という思考をより効率的に実現することに着目して選択されるべきである。
Tealium社CMO/Heidi Bullock氏
同意と並行してデータを理解する ブランドは、とりわけ新たな規制が無数に登場するであろう未来に備え、自社のデータの正確な内容とソースを把握しておく必要がある。これには、コールセンターからのメールやウェブサイトのデータまで、収集されるデータの種類と、会社全体でのデータの流れをピンポイントで特定することが含まれる。他には、データの出所や、保存方法、ブランドにおける使用方法などを考慮する必要がある。
ブランドポリシーを更新する CCPAポリシーを見直し、プロセス全体を更新して、CPRAの最新の規制に準拠するのは好ましいことといえる。ポリシーに一貫性があり、従業員や消費者にとって明確であるかを確認することで、ブランド全体のプライバシーに関する包括的な理解を維持することができるのだ。
消費者の信頼を維持する とりわけ、こうした規制は消費者にとって最大の利益にもつながるため、非常に重要なものといえる。最近のTealiumの調査では、COVID流行以前は、91%の消費者が州政府または連邦政府に自分のデータを保護するための厳格な規制の採用を求めていた。
新ガバナンスのコンセプトを認識する CPRAの下では、新たな保管制限要件により、ブランドが個人情報を保持できる期間を制限するようになる。そのため、消費者データを収集・利用・共有する際には、こうしたタイムラインを考慮し、合理的な範囲内に収まるようにすることが重要である。自動化されたリアルタイム方法で、個人レベルでデータの管理を実現することは、企業が新たなコンセプトに準拠するために重大な役割を担うのだ。
プライバシーの専門家をおく さらに多くの規制が制定されるにつれ、ブランドが説明責任を果たし、かつ、組織化を維持するためには、社内でのタスクの割り当が重要な鍵となる。内部プロセスは、消費者とのコミュニケーションと同様に重要なものである。Martech(マーケティングとテクノロジーを掛け合わせた造語)が複雑であるために、企業は以前より多忙状態であるため、Martechに精通するプライバシーの専門家が必要とされているのだ。
※当記事は英国メディア「Marketing Land」11/12公開の記事を翻訳・補足したものです。
