同意管理プラットフォーム

CONSENT MANAGEMENT PLATFORM
読み: どういかんりプラットフォーム

読み: どういかんりプラットフォーム

同意管理とはCookie対応の要点

同意管理プラットフォームは、WebサイトやアプリにおけるユーザーのCookie同意や個人データの利用許諾を一元管理するツールである。CMPとも呼ばれる。GDPRや日本の改正個人情報保護法への対応として、Cookieバナーの表示と同意記録の保存を自動化する仕組みとして普及が進んでいる。

かんたんに言うと

Webサイトを開いたときに表示される「Cookieを許可しますか」というポップアップ。あれを管理画面から設定し、誰がいつ何に同意したかを記録し続けるのがCMPの役割である。

Cookieバナーの裏側で同意管理プラットフォームが動かしている仕組み

Cookieバナーは見た目こそシンプルだが、裏側ではかなり複雑な処理が走っている。
ユーザーがバナーで「全て許可」を押した場合と「必要最低限のみ」を選んだ場合で、サイト内のスクリプトの実行可否が切り替わる。Google Analyticsのトラッキングコード、Facebook Pixelの広告タグ、ヒートマップツールのスクリプト。これらの発火を同意状態に応じて制御する。
CMPはIAB Europe策定のTCF(Transparency and Consent Framework)に準拠するものが多い。TCFはCookieの目的を「必須」「パフォーマンス」「マーケティング」などに分類し、目的ごとに同意を取得する標準フレームワークである。
同意の記録はCMPのサーバーまたはサイト所有者のインフラに保存され、監査時に「この人はこの日時にマーケティングCookieに同意した」と証拠を提示できるようになっている。

OneTrustやComplianzに代表される主要ツール

CMP市場ではOneTrustが最大手で、グローバル企業の導入実績が多い。管理画面から国別の規制要件に合わせたバナーを生成でき、法改正時のテンプレート更新も提供される。ただし料金は年間数百万円からで、中小企業にはハードルが高い。
WordPressサイトならComplianzが選択肢に入る。プラグインとしてインストールするだけで、GDPRと日本の個人情報保護法の両方に対応したバナーを生成できる。無料版でも基本的な同意管理は賄える。
CookiebotやTrustArcも定番ツールである。
選定時に見落としがちなのは「スキャン機能の精度」である。CMPがサイト上のCookieを自動検出し、カテゴリ分類するスキャン機能を備えているが、JavaScriptで動的に生成されるCookieを取りこぼすケースがある。スキャン結果を鵜呑みにせず、手動で補完する運用が現実的である。

GDPRと日本の改正個人情報保護法への対応

GDPRはEU圏のユーザーに対してCookieの事前同意を義務づけている。同意なしにマーケティングCookieを発火させれば、最大で全世界売上高の4%の制裁金が科される。
日本の改正個人情報保護法は2022年に施行され、Cookieそのものは個人情報に該当しないが、他の情報と照合して個人を特定できる場合は「個人関連情報」として規制対象になる。個人情報保護委員会はこの規制を段階的に厳格化している。
実務的に面倒なのは、日本向けサイトとEU向けサイトで同意要件が異なることである。日本では「Cookieバナーを出さなくても直ちに違法ではない」状況が続いているが、GDPRの域外適用を考えると、EU圏からのアクセスがあるサイトは対応が必要になる。CMPのジオターゲティング機能を使い、アクセス元の国に応じてバナーの表示内容を切り替えるのが実務上の標準的なアプローチである。

導入時の落とし穴と形骸化のリスク

CMPを入れて安心してしまう企業は少なくない。しかし導入後に起きる典型的な問題がある。
まず、新しいタグを追加するたびにCMPの設定更新が漏れるケース。マーケティング担当がGoogle Tag Manager経由でタグを追加したが、CMPのCookieカテゴリに登録し忘れて、同意なしでCookieが発火し続けていた。こういう事故は珍しくない。
次に、バナーのデザインが「ダークパターン」になっていないかの確認。「全て許可」ボタンだけを目立たせ、拒否ボタンを小さくグレーアウトする設計は、GDPRの監督機関から明確にNGと指摘されている。
CMPは入れて終わりではなく、タグの追加削除に連動して設定を更新し続ける運用の仕組みが本体である。ツール導入よりも運用フローの設計に時間を割いたほうがいい。

当社の見解

当社はAIの安全運用のために3層防御を設計・実装している。万が一インシデントが発生しても数分以内に復旧できるバックアップ体制を持つ。実際にAIが暴走してテスト環境を停止させた経験があり、その教訓から「失敗を防ぐ」だけでなく「失敗しても戻せる」設計が本質だと確信している。加えて、AIは事実でないことを断定する。この前提で事実/推測の強制分離とファクトチェックを実装した。安全性は仕組みで担保するものだ。

関連用語

データガバナンス個人情報保護委員会ゼロトラストCTGDPR

同じ失敗を二度としないAIエージェント

今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。

当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。

古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。

相談する