規制だけじゃない! 個人情報保護法改正で広がるデータ活用の可能性
2022年4月1日に改正個人情報保護法が施行されました。いろいろと準備に追われていた事業者の方も多いかもしれません。会社によっては「対応の準備がこんなに大変になるとは」とか、「影響の範囲がWeb広告だけだと思っていたら、思ったよりも広範囲で影響があった」とか、導入を進めていく上で想像以上に苦労をされている方も多い印象があります。
規制や罰則など、苦労ばかりがフォーカスされがちですが、その一方で個人情報保護法に対応するメリットもあります。たとえば、ユーザーの特徴や属性などに応じてマーケティング施策を実施できますし、改正前はルールが明確ではなかったため実行することが困難だったマーケティング手法が実施できるようになります。
本記事では、個人情報保護法に対応した先にある、新しいデータ活用の可能性について紹介します。
※個人情報保護法の法律面の詳細については、社内の法務部・相談先の弁護士事務所などにご相談ください。
今回の法律の改正で対応すべき事項について
法改正前は、「個人情報」と「個人関連情報」(個人情報に関連するCookieやWebアクセスログなどのデータ)を紐づけた活用について明確なルールがありませんでした。今回の法改正では個人情報と個人関連情報について、ユーザーへ適切に情報を開示し、利用許諾を取得するということが必要になるケースが出てきます。
どういったケースがそれに当たるかは、法律に照らして、会社によってルールを定めます。たとえば、「Web集客の集客経路(個人関連情報)と顧客情報を掛け合わせて流入経路ごとのLTV(顧客生涯価値)を計算する」といった使い方がそれに該当すると新たに規定した会社があります。それ以外にも、「自社の顧客DBに対して外部の情報を紐づける」といった場合にも、ユーザーへの情報の開示と通知が必要と定めた会社もあります。
これらは今回の法改正でルールが明確化された活用方法です。今後はルール範囲内の活用方法であれば、ユーザーの許諾を得た上で、マーケティングに活用することができます。
個人情報と個人関連情報を紐づけるために必要な準備
個人情報保護法において、個人情報と個人関連情報を紐づける際には、システム面で以下のようなステップを踏む必要があります。
- 施策を実行するために収集するデータや活用先について、プライバシーポリシーに明記
- ユーザーから同意情報を取得するための同意バナー(CMP)の導入
- 個人情報と個人関連情報を紐づけたデータの記録用のデータベース(DB)の導入
- 記録情報を確認するプロセスのための承認システムの導入
個人情報保護法に対応するため、CMPの導入を検討している会社も多いかと思いますが、前項の施策を実行するためにはCMPの導入(2)を行うだけでは足りません。その後の「確認記録義務」を果たすためのシステムの構成(3と4)が必要になります。
確認記録義務とは、「個人情報」に「個人関連情報」を紐づける際に、
- 「個人関連情報を持っている会社」が
- 「個人情報を持っている会社」に対して
- 「個人情報にどの個人関連情報を紐づけるか」を契約上で確認し
- かつ個人情報との紐付けについてユーザーが同意していることを確認し
- 確認したという記録を管理・保管すること
を実施するルールです。システム面では下図のような構成を構築する必要があります。
仰々しいなんらかのシステムを導入するというよりは、このプロセスを作ることが必要です。個人関連情報を持っている会社に紐付けるデータを送付して確認してもらう工程や、紐づけているデータの内容を管理するなど、一定のルールを守った業務プロセスを作る感じです。
なお、確認記録義務は日本の個人情報保護法特有のルールで、GDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)などには確認記録義務にあたるルールがありません。そのため、海外製のCMPでは機能的に確認記録義務への対応ができず、困っている会社が多いイメージがあります。
個人情報と個人関連情報を紐づけることで生まれる価値
個人情報保護法を守り、個人情報と個人関連情報を紐づけることで、どのような価値が生まれるのでしょうか。アフィリエイト広告分析とCRMを例に紹介します。
通常、アフィリエイト広告から自社サイトへの流入分析を行う場合、顧客データベースのみを活用した分析では、Webサイト上で商品を買ったり、登録を行ったりしたユーザー全体を1つのユーザー群として把握することしかできません。
これに対し、「このユーザーがどの流入経路から来たか」「流入経路はどのような内容が書かれたコンテンツか」といった個人関連情報を個人情報に紐づけることによって、
- 流入経路ごとにCVRがどのような傾向になっているか
- どういう内容が書かれているコンテンツだと、顧客単価が高くなる傾向が大きいのか
といった分析が可能になります。この分析結果を使うことで、流入経路のCVRに合わせてアフィリエイトの報酬単価を変更したり、ユーザーの利用傾向やLTVなどに合わせて成果の設定を行ったりすることができるようになります。
また、CRMの施策でも、個人情報と個人関連情報を紐づけることにより、新たな価値を生むことができます。たとえば、以下のような最適化を行うことができます。
- 顧客の興味関心に合わせてメールの文面を変える
- 顧客の状態(離反する可能性大、休眠から復帰する可能性大など)に合わせてメールを送付するタイミングをコントロールする
さらに顧客の分析においても、自社が持っている個人情報のデータだけではわからない分析の切り口を、個人関連情報経由で取得することができるようになるので、より多面的な分析をすることも可能になります。
ここで挙げた例はほんの一部ですが、このように個人情報と個人関連情報を紐づけることで、自社で保有している個人情報単体では把握することができないユーザーの特徴や属性などに応じて、マーケティング施策を実施することができます。
上記の例以外にも、ユーザーの特徴がわかることによって効率化が測れるケースや、マーケティング施策の方向性や戦略を考えられるケースが考えられます。
最後に
本記事では、個人情報保護法に適切に対応することで可能になるマーケティング施策の一例を紹介しました。
もちろん、「法律を守っている」ということがすべての免罪符になるわけではなく、ユーザーにとって適切なデータが適切に使われている状態を作り上げなくてはなりません。その点も含めて、社内のデータ活用を考えていく必要があります。
もし、すでに個人情報と個人関連情報を紐付けた何らかの施策を行っている場合は、個人情報保護法に照らし合わせてみて、改めて何かしら対応する必要はないか、調べてみる必要があるかもしれません。
また、これまでルールが明確ではない部分があったため、施策を保留にしていたという方がいれば、今回の改正で何ができるようになるかということを考えてみていただけると良いのではないかと思います。
ソーシャルもやってます!