Adobe AnalyticsとEU一般データ保護規則(GDPR)

マーケティングキャンペーン管理
一般データ保護規則(GDPR)とは、EUで新たに定められたプライバシー法で、調和されかつ時流に沿ったデータ保護の要件を定めたものです。新たな要件や強化された要件も数多くありますが、中核となるのはデータ保護の一般的な原則です。新しいルールでは個人情報の定義が広範囲にわたっており、適用範囲が拡大されているので、EUに在住する個人に対して製品やサービスのマーケティングを展開するあらゆる企業が影響を受けます。アドビは、信頼されるべきデータ処理者(data processor)の立場としてGDPR遵守に努め、企業のGDPR対応への取り組みを支援します。

Adobe Analyticsは、Adobe Experience Cloudソリューションの認定取得済みのセキュリティ制御テクノロジーを基盤として構築されており、GDPR対応を進める企業をサポートするため、さらなる新機能の開発も進めています。

space

検討すべきポイント

GDPRの施行に先立ち、アドビでは企業に対して以下のポイントを検討することをお勧めしています。

データ主体としての個人の権利

GDPRの施行により、個人(データ主体、Data Subject)は、企業が保有する個人情報に対して強い権利を持つことになります。データ管理者(data controller)となる企業は、個人からのデータアクセスやデータ削除の要求に対応するための準備を整える必要があります。

 

推奨事項
  • 個人の権利を守るための既存のワークフロー、社内プロセス、連絡窓口を見直し、分析データの収集方法を現在のプロセスに合ったものとする。
  • データ主体の要求を受け、対応するためのプロセスを確立する。それらの要求を管理するための自動ツールの構築を検討する。
  • プライバシーメールボックスやwebベースのフォームなど、データ主体から個人情報を収集する方法を検討する。
  • Adobe Analytics内のデータは、個人が自分で入力する電子メールアドレスなどの認証済みデータではなく、IPアドレスやCookie IDなどの間接的に個人を特定できるデータが多いので、認証と検証の要件を検討する。
    • 特定の種類のID確認をサポートするためにアドビが提供するJavaScriptの役割を検討する。
  • データ主体が本人のデータを確認できるようにする前に、データレビューを実施する。監査証跡を確立するための手順を文書化する。
space

同意

特定の種類の分析をおこなう際には、同意の取得が必須となる場合があります。企業には、Adobe Analyticsへデータを取り込む方法と、取り込まれるデータを決定する責任があります。GDPRへの対応を進めるにあたって、どのデータソースとデータの種類が自社のユースケースに最も近いかを把握し、ユースケースごとに同意の必要の有無を検討することをお勧めします。

 

同意取得の必要性の評価とそのアプローチの確立に必要な検討事項
  • 現在収集しているデータと今後収集する必要があるデータを見定める。
  • 収集したデータの使用方法と、データ処理の法的要件を検討する。
  • 同意が必要な場合に、データ管理者として同意を取得する方法を検討する。また、現在の同意取得アプローチで十分かどうかも検討。同意の管理は社内でおこなうこともできるが、サードパーティの同意管理テクノロジーを利用しておこなうこともできる。 プライバシーテクノロジーベンダーの一覧は こちら(一部のベンダーは同意管理テクノロジーを提供)。
  • 個人がオプトアウトを表明したり同意を撤回したりできるようにする上で最適なアプローチを検討すると共に、コンテクストに即した企業固有の同意エクスペリエンスをデザインし、プライバシーをエクスペリエンスの一環として取り扱うかどうかを検討する。

space

データ最小化とデータ保持

収集するデータの種類を特定の目的を達成するために必要な範囲に限定するなど、GDPRのデータ最小化要件に対応できるように、この機会を活用してデータ収集方法を見直します。

次の手順に従って、ビジネス上のニーズと個人の権利にもとづく要求の保持、セキュリティ確保、対応にかかるコストを評価し、バランスを調整します。
  • タグとCookieを見直し、現在のユースケースに合わせて調整します。マーケティング目標に合せてデータ収集方法を調整する。
  • 現在利用されていないデータをAdobe Analyticsのインスタンスから削除することを検討する。
  • 契約を取り交わしたAdobe Analyticsデータ保持ポリシーの内容を理解し、アドビの担当者に連絡して自社データの保持期間が適切に設定されていることを確認する。
space

データガバナンス

データガバナンスはデータ管理の戦略、プロセス、ポリシー、テクノロジーを定義するためのフレームワークを確立するうえで役立ちます。データガバナンスに関しては、将来を見据えた対応をお勧めします。数多くの利点に加えて、このアプローチにはデータ主体からのアクセス要求や削除要求への対応が容易になるため、差別化された好印象な体験を一人ひとりに提供できます。

 

データ管理プロセスの見直し手順
  • 前述の方法で、ID確認の戦略とプロセスを定義する。
  • Adobe Analyticsを通じて収集するデータの種類と収集の目的、収集したデータの共有先、データを保持する期間、データ保護のためのセキュリティ措置を把握する。これは処理活動の記録にも役立つ。
  • データガバナンスの取り組みとポリシーを実践できるように、Adobe Analyticsのデータラベリングツールを活用する。
  • EUから一定数の訪問者がある場合などは、アドビの担当者と協力してIPアドレスの最後のオクテットを難読化したり、最初の処理の後にIPアドレスを完全に削除したりできるよう準備する。
  • Launch by Adobeなどのタグ管理システムを使用して、デジタルマーケティングタグやwebビーコンのライフサイクルを管理することを検討する。
  • コンプライアンスを長期的に維持できるよう、Adobe Analyticsの使用方法の変更を確認するプロセスを確立する。

アドビとGDPR

GDPRへの対応を進める上で、どのようにアドビのソリューションが役立つのかをご覧ください。
エクスペリエンスビジネス
Adobe Audience Manager
Adobe Campaign