【一問一答】「 CMP 」とは?:GDPR対策に必要な技術インフラ

欧州で5月25日に施行される「一般データ保護規則(General Data Protection Regulation:以下、GDPR)」。その準備に取り組んでいる人なら、CMPという新しい用語を耳にしたことがあるかもしれません。

これは「同意管理プロバイダー(Consent Management Provider)」の略語ですが、一体どういうものなのでしょうか。また、なぜCMPが必要なのでしょうか。

デジタルマーケティングの未来に示唆を与える用語をわかりやすく説明する「一問一答」シリーズ。今回は、このCMPを取り上げます。

――CMPとは何ですか?

CMPは技術インフラの名称です。パブリッシャーはCMPを使って、ユーザーから使用範囲と使用目的について同意を得たデータを収集、保管します。その後、デジタル広告サプライチェーンの特定のパートナーにそのデータを提供します。CMPの狙いは、サプライチェーン内のすべてのパブリッシャーが、どのようなデータをどのような目的に使用できるのかを把握できるようにすることにあります。通信会社など一部のブランドは、すでに数年前から同意管理のシステムを利用しています。また、アドブロック対策を手がけるテックプロバイダーのあいだでも、自社の製品にCMPの機能を組み込む動きが出はじめています。

――GDPRでは、CMPの利用がパブリッシャーに義務付けられているのですか?

義務付けられてはいませんが、推奨されています。欧州インタラクティブ広告協会(IABヨーロッパ)は、データ管理者に分類されているパブリッシャー(ファーストパーティデータを所有するWebサイトオーナー)がコンセントフレームワーク(同意の枠組み)を利用する場合には、CMPを導入する必要があると述べています。コンセントフレームワークは、デジタル広告サプライチェーン全体で同意の獲得方法を標準化するために利用します。

――CMPでほかにできることは何ですか?

パブリッシャーによっては、データプリファレンスセンターを構築し、ユーザーが自分のプライバシー設定を管理できるようにすることが可能です。このセンターは、ユーザーが最初に同意した時点から同意プロセスを追跡し、そのユーザーが同意内容を修正したり同意を取り消したりした場合に、そのことを記録します。これにより、パブリッシャーがデータの利用許可を与えたすべてのアドテクベンダーがコンプライアンスを徹底できるようにします。ベンダーは、自分たちがデータの利用に関する同意を得られているのか、API経由でのデータ利用ができなくなっているのかといったことを確認できます。

――CMPはどれも同じですか?

CMPによって機能のレベルが異なる可能性があります。もっともシンプルなCMPは同意の獲得を管理するだけですが、高度なCMPは、オプトインとオプトアウトだけでなく、オプトダウン(企業からのメールを完全にオプトアウトするのではなく、メールの数を減らす)などさまざまなレベルの同意を管理します。「(CMPは)同意の管理を専門に行う既存のデータシステムと統合できる」と、アドテクベンダーのスマートパイプ・ソリューションズ(Smartpipe Solutions)でCMOを務めるチャド・ウォーレン氏は述べています。「(顧客との)タッチポイント(コールセンターや店舗など)に組み込むことで、さまざま機会にさまざまな段階の同意が得られるようになる」というのがウォーレン氏の説明です。

――よくわかりました。では、問題点は何でしょうか?

GDPR対策が一筋縄ではいかないように、CMPも簡単な話ではありません。まず、CMPの機能が多くなれば、それだけコストがかかります。複数のブランドを抱えるパブリッシャーは、親会社のために同意を管理するだけでなく、ブランド単位で同意を管理する必要があります。また、自社でデータを使用するための同意を得るだけでなく、アドテクパートナーがデータを使用するための同意も得る必要があります。さらに、同意を得られたとしても、そのデータは特定の目的にしか使用できません。

「GDPRは同意について幅広い解釈を可能にするため、企業は最初からさまざまな同意を一度に得ようとしがちだ。だが実際には、まず基本的な同意を得ることを考え、それから少しずつ取り組みを進めて、いろいろな製品の同意を獲得していく必要があるのだ」と、ウォーレン氏は述べています。

GDPRについてより詳細を知りたい方は、無料PDF「GDPR入門ガイド」をダウンロードしてください。

Jessica Davies(原文 / 訳:ガリレオ)