同意管理プラットフォーム(CMP)って何?
近年、GDPRをはじめとした個人情報保護法令に対応するケースが増えています。
これらの足がかりとしてCMP(Consent Management Platform)が大きなキーワードになるのですが、ここにたどり着くまでに回り道をしたので、CMPって何?という記事を書こうと考えました。
日本語的には「同意管理プラットフォーム」と呼ばれています。端的に言えばCookie同意を管理するサービスとなります。
なぜCookieを制御する必要が?
ウェブサイトではCookieを用い、個人情報に相当するデータを収集し、様々な用途に利用されています。
各種法令で、細かい差はあれど、これらを同意なく勝手に収集するのはNGなので、ウェブサイトに訪れたときにクッキーに対して情報収集の許可・拒否および収集の範囲を個人の意思で選択できるよう実装しよう、という理解です。
CMPはCookie制御のための同意ポップアップの実装からCookieの制御、同意状況の記録、管理を包括的に行っているツール、サービスの総称です。
Cookieバナー(ポップアップ実装)だけではダメ?
最初は、CookieバナーをJavascriptで行うにはどうしたらいいか、と調べていきました。
調査してみると、いわゆる「みなし同意」という実装参考が多いことに気づきます。また、それではGDPRを始めとする法令対応としては不十分であることにも気づきます。(みなし同意とは、このサイトを閲覧するってことはCookieの取得に同意したってみなしますよ、といった趣旨の表示を行うことです。)
そして、更に深堀りしていくと、Cookieバナーを表示し、同意するか否かを選択し、その選択によってCookieを制御するだけであれば一応実装は可能そう、というところにはたどり着きます。
ただ、後から同意を撤回する場合、その情報を破棄しなければならないケースなどが発生する場合があるらしい…こうなると一気に考慮する点が拡大します。
また、法令対応はGDPRだけではないこと、また各国で新たに制定される場合、考慮する点が後に増えるケースがあることも考えると、それらの法律に専門的な知識を持って対応していくのはとてもコストがかかることに気づきます。
GDPRの場合、違反すれば莫大な制裁金が課せられ、具体的な事例も国内ですでに存在しています。 対応を間違えたら最悪の場合が考えられるかもしれない、中途半端に実装することがかえって良くないぞ…!と思うと、それらに特化したサービスやツールがないか、を調査したくなります。
更に調べてみると、具体的なサービスの例がいくつかでてきます。 ここまできてようやく、これらのサービスがCMP「同意管理プラットフォーム」と呼ばれていることにたどり着きました。
個人的には結構長い道のりでした。
GDPRを始めとした個人情報保護の規則に対応していくために
GDPRやそれ以外にも様々な国で個人情報保護を目的とした法令が増えています。
日本でも「改正電気通信事業法」というものが定められ、日本版Cookie規制とも言われており、場合によっては対応しないといけないケースが想定されます。
CMPがこれらの法令にどれだけ対応しているかはサービスによります。
GDPRに対応しているサービスは多い印象ですが、日本の「改正電気通信事業法」に対応しているかを探すと、日本のサービスで探さないとだったりと、どの範囲で対応しているか、もサービス選定の条件となりえます。
各サービスに対する詳しい紹介は本記事では割愛させていただきますが、対応範囲とともに、適用範囲、値段、どの国のサービスかなど、様々考慮する点があるので、それらを総合的に判断しながら選定する必要があります。
以上、GDPRなどの法令に対応していくために必要になるCMP(同意管理プラットフォーム)とはなにか、をキーワードとしてピックアップしました。
下記の参考サイトも併せて調査・選定の足がかりになれば幸いです。
参考サイト
調査したときに参考にさせていただいた一部サイトを共有です。
この記事が気に入ったらサポートをしてみませんか?