CMP（同意管理プラットフォーム）とは？注目されている背景や機能を解説

ユーザーの個人情報保護の観点から、CMP（同意管理プラットフォーム）の重要性が高まっています。本記事ではCMPの基本情報をはじめ、CMPの利用が増加した背景や重要性、導入することで期待できる変化をまとめました。あわせて、自社に合ったCMPを導入する際のポイントも解説しています。

 

目次

 

 

CMPとは

CMP（同意管理プラットフォーム）とは、Webサイトやアプリの利用ユーザーから、個人のデータ収集に関する同意を得るためのプラットフォームを指します。CMPは、「Consent Management Platform」の頭文字をとった略語です。

Webサイトの閲覧時に、「当サイトはCookieを使用します」「サイトの利便性向上を目的にCookieを使用します」といった文言とともに、同意の有無を選択できるポップアップを見かけたことがある方は多いのではないでしょうか。これらは、「Cookieを使用することで得た個人データを、利用目的を明らかにしたうえで使用します。同意しますか？」という同意管理機能のメッセージです。

 

●Cookieとは

Cookie（クッキー）とは、ユーザーの各種IDやWebサイトの閲覧履歴を一時的に保管できるテキストファイルのことです。ユーザーがあるWebサーバへ初めてアクセスした時に、ユーザー専用のCookieファイルが作成されます。再度同じWebサイトへ訪問した際、作成されたCookieファイルによってスムーズに情報を提供できるようになります。

Cookieの活用例として挙げられるのが、Webサイトのログイン画面です。

CookieによってユーザーのIDやパスワードの情報が一時的に保存されると、次回同じWebサイトを訪問した際にID・パスワードを入力する手間が省けることがあります。また、ECサイトで買い物カゴへ商品を入れてからサイト離れても、カゴに入れた商品は一定期間カゴに残ったままの状態でサイトの再表示が可能です。これも、Cookieがユーザーの情報をWebサイトへ提供しているためです。

 

GoogleによるCookie廃止の動き

Googleは、2023年から2024年にかけて「3rd party Cookie（サードパーティクッキー）」を廃止する と発表しています。「3rd party Cookie」とは、ユーザーが訪問したサイトではなく第三者のサイトや広告から発行されるCookieのこと。ユーザーのアクセス履歴を複数のドメインから追跡したり、アクセス履歴に沿った広告を配信したりする機能を備えています。しかし、アクセス履歴の追跡や情報漏洩のリスクなどが個人情報保護の観点から問題視されるようになりました。こうした動きをうけ、Googleは3rd party Cookieの廃止に向けて動いています。

 

CMPが注目されるようになってきた背景

CMPが注目を集めている背景には、国内外における個人情報保護意識の高まりがあります。なかでも重要なのが、2022年4月施行の「改正個人情報保護法」や2018年5月施行のGDPR（EU一般データ保護規則）です。CMPとそれぞれの法律の関係性を、以下で解説します。

 

●CMPが重要な理由1：「改正個人情報保護法」に対応するため

改正個人情報保護法では、CMPと密接な関係にあるCookieが「個人関連情報」にカテゴライズされています。これにより、企業にはCookieをとおして個人情報と外部データを紐付ける場合、本人から同意を得ることが義務付けられました。同時に、ユーザーの個人データに関して開示請求や利用停止などの申し出を受けた場合、速やかに対応することも義務付けられています。改正個人情報保護法に沿ってユーザーの個人データを適切に管理・活用するためには、個人データの同意状況を一元的に管理する体制を整えなくてはなりません。そこで役立つのが、CMPです。

 

●CMPが重要な理由2：「GDPR」に対応するため

GDPR（EU一般データ保護規則）とは、EEA域内（EU加盟国及びアイスランド・リヒテンシュタイン・ノルウェー）各国に適用される個人データ保護の法令です。日本企業も無関係ではなく、EEA域内に拠点を置き、個人データを収集・使用する企業のほか、EEA域内に拠点がなくともEEA域内の顧客へサービス・商品を提供している企業もGDPRの対象となります。GDPRにおいては、氏名や生年月日、所在地だけでなく、以下の情報も保護すべき個人データだと定義されています。

 

• Cookieデータ

• 電話番号

• メールアドレス

• IPアドレス

 

GDPRにおいて、Cookieをはじめとした個人データを取得・処理する際には、本人から明確な同意を得なくてはなりません。また、改正個人情報保護法と同様に、ユーザーから個人データの削除や利用制限を要求された場合にはこの要求へ速やかに対応する必要があります。個人データの利用用途や、保管機関を明示することも義務付けられています。GDPRに違反するとみなされると、高額な制裁金を課される可能性があります。例えば、2019年1月にはGoogleが5,000万ユーロの制裁金が課されています。2022年には、NTTデータがスペインへ展開していた子会社・NTTデータスペインが6万4,000ユーロ（約940万円）の制裁金を課されました。

このように、個人情報の保護に関する法規制は国内外で強化されています。CMPは、法的リスクを回避してビジネスを展開するために欠かせないツールだといえるのです。

 

CMPに搭載されている機能

CMPには、同意の取得やデータ管理の機能以外のほかにも、多様な機能が搭載されています。以下で、CMPの機能例を5つご紹介いたします。

 

●同意取得及びデータの管理

CMPの基本的な機能です。Webサイトやアプリに訪問したユーザーに対し、Cookie情報の取得・利用許可を求めます。その後、ユーザーの同意状況を記録し管理できる機能です。これにより、企業側はユーザーからの同意取得と同意状況の一元管理が可能になり、ユーザー側は自身のCookie情報がどのような目的で記録・使用されるのかを把握したうえで、同意するか否かを決定できます。

取得した情報を元に、同意を得られた情報のみを対象にCookieを発行するコントロール機能もあります。くわえて、同意を得られていないユーザーに対してはCookieを発行せず、そのままWebサイトやアプリを利用してもらえる「ゼロクッキーロード」が搭載されたCMPツールもあります。

 

●外部システムとの連携

CMPツールは顧客管理システムやタグマネージャーなど、各種マーケティングシステムなどと連携できるものがあります。同意情報とマーケティングデータを紐づければ、法的リスクを回避しつつ、効率的にマーケティング施策を打てます。ただし、カスタムが必要であったり連携自体が不可だったりするCMPツールもあるため、事前の確認は必須です。

 

●同意取得バナーの配信設定

訪問ユーザーのデバイスやアクセス元に応じて、各法規制に沿った同意取得バナーを配信できる機能です。2023年時点では、改正個人情報保護法やGDPRなど、各国やエリアによって異なる法規制が展開されています。各法規制に沿った同意取得バナーを作成・配信できれば、国・地域をまたいで安全にサービスの提供ができます。

 

●法改正に合わせた自動アップデート

国内外の個人情報保護に関する法規制が改正された場合に、改正内容に沿ったアップデートを随時行う機能です。個人情報を適切に管理するためには、法改正の動きに柔軟に合わせられる体制が必要です。法改正に合わせて自動アップデート機能は、その体制づくりの一助となるでしょう。

 

●同意状況の分析

CMPツールを使えば、ユーザーの同意取得率を随時チェックできます。使用デバイスやアクセス日・アクセス期間などを可視化したり、複数の検索条件を指定して同意状況のレポートを作成できたりするCMPツールもあります。「どのような文言やバナーであれば同意してもらいやすいのか」「どのようなユーザーが同意しやすいのか」といった点を分析でき、マーケティング施策へ活かすことも可能です。

 

CMPを選定する際のポイント

自社に合ったCMPツールを選ぶためのポイントを、以下でピックアップしました。各国規制への対応度合いや連携機能、導入費用など、特に注目したいポイントを解説いたします。

 

●各国規制への対応

国内の個人情報保護法だけでなく、海外の法規制にも対応できるツールを選ぶことが理想です。世界には、以下のような個人情報保護関連の法律があります。

 

• GDPR（EU及びEEA域内）

• FTC法第5条（アメリカ）

• CCPA（カリフォルニア州）

• 個人情報保護法（中国）

• データ3法（韓国）

• 2011年情報技術規則（インド）

 

各国の法規制によって、個人データの定義や同意取得が求められるケース・対象は異なります。例えば、日本の改正個人情報保護法におけるCookieは「個人関連情報」と定義され、これは「個人情報・仮名加工情報及び匿名加工情報のいずれにも該当しないもの」とされています。一方、GDPRでは個人データとして、CCPAでは個人情報の中の間接的な識別子として定義されています。こうした違いに柔軟に対応するためにも、各国規制への対応度は重要な要素です。

 

●改正電気通信事業法への対応

CMPツールを選ぶ際は、「改正電気通信事業法」に対応しているかもチェックしましょう。

「電気通信事業法」とは、インターネットをはじめとした電気通信事業の健全な発達や利便性を高めるための法律です。2023年6月には、「外部送信規律」という新たなルールが設けられました。これは、Cookieをはじめとした利用者情報を対象としたルールです。各種データの利用目的やデータの送信先、当該情報を取り扱う組織または個人の名称などを通知することが求められています。そのうえで、ユーザーから同意を得る、もしくはオプトアウト（拒否）する方法を明示しなくてはなりません。

改正電気通信事業法は国内の法律であるため、日本製のCMPツールであれば対応可能なツールが多くあります。海外製のCMPツールを検討している場合は、「国内の法改正への対応が追いついているか」「カスタマイズが可能か」などのポイントに注目しましょう。

 

●ほかのシステムとの連携機能

各CMPツールによって、連携できるシステムの種類が異なります。「自社の既存システムとの連携が可能か」という点をチェックしておきましょう。

また、マーケティングツールだけでなくチャットツールや分析ツールなどと連携可能なCMPツールもあります。情報の一元管理を重視するのであれば、こうしたCMPツールを検討しましょう。幅広いシステムとの連携が可能なCMPツールであれば、個別で同意状況を管理する手間が省け、効率的に作業を行えます。

 

●各種費用

初期費用や運営費用など、各コストも確認しておきましょう。初期費用で数十万円、運営費用（月額費用）が数千円という料金体系になっているツールや、導入費用は無料、月額費用のみで利用できるツールなどがあります。また、導入時にサポートを利用する際は別途費用がかかるケースもあります。「サポートにどの程度の費用をかけられるのか」といった点も考慮して予算計画を立てましょう。

 

●Cookie同意バナーのカスタマイズ性

CMPツールによって、同意取得バナーの設置場所やデザインは異なります。「自社のWebサイトやアプリにマッチしたバナーを作成できるか」「マッチするバナーへカスタムできるか」といったポイントに注目しましょう。また、「同意が必要な項目をすべて表示しきれているか」「各項目の内容は変更できるか」などの点も重要です。

 

●サポートの充実度

CMPツールの導入には、個人情報保護法の知識だけでなく各国の規制動向や各種システムとの連携など、幅広いジャンルの知識が不可欠。そこで重要となるのが、ツール提供元のサポート体制です。導入サポートや利用方法のレクチャー、法務コンサルティングなどのサポート体制があれば、導入から運用までをスムーズに進められるでしょう。なお、海外のCMPツールを導入する際は日本語によるサポートの有無をチェックすることも重要です。

「CMPツールの導入にあたり、どこから手を付ければ良いのかわからない」「どのようなツールと連携させれば良いのか悩んでいる」といった課題に直面し、CMPの導入が思うように進んでいないというケースもあるのではないでしょうか。そんな時は、システム開発会社と発注会社のマッチングサービス「発注ナビ」をご活用ください。

発注ナビでは、開発の外注を依頼したい企業と受託したい企業のマッチングサービス を展開しています。ITに特化した知識豊富なスタッフが丁寧なヒアリングを行い、4,000社以上の開発会社データベースの中から、お客様のニーズに合った開発会社をご提案しています。「自社に合った開発会社がわからない」「選定にできるだけ時間をかけずにスムーズに導入したい」とお考えのご担当者様はぜひ一度ご検討してみてはいかがでしょうか。

 

 

 

■システム開発に関連した記事