データプライバシーを巡る規制は、ここ数年で世界的に急速に強化されている。日本でもWebサイト運営において「どのようなデータを、どの目的で取得しているのか」を明示したうえで、ユーザーが同意するか、同意しないかをスムーズに判断できるよう、分かりやすい導線を提示することが重要になっている。こうした流れの中で導入が進んでいるのが、同意管理ツール(CMP:Consent Management Platform)だ。ただ、CMPは単に同意を得るだけではなく、法規制対応、データ管理、マーケティングとの両立といった複雑な要件を満たす必要がある。そのため、導入コストや運用負荷が課題となるケースも少なくない。

さらに近年は、円安や人件費高騰の影響を受け、企業のIT投資はより厳しい費用対効果が求められている。コンプライアンス対応は不可欠だが、コストは抑えたいという難題に対し、どのような解があり得るのか。その一つとして注目されているのが、インターネットイニシアティブ(以下、IIJ)が提供するCMPツール「STRIGHT」だ。本稿では、同サービスの開発・運用を統括するIIJ ビジネスリスクコンサルティング本部 副本部長の中西 康介 氏に、市場背景やSTRIGHTのコストパフォーマンスについて話を聞いた。

  • 人物画像_IIJ ビジネスリスクコンサルティング本部 副本部長 中西 康介 氏

    IIJ ビジネスリスクコンサルティング本部 副本部長 中西 康介 氏

内製化によりコスト最適化と高度な専門性を両立

IIJの特徴は、単なるITベンダーではなく、データ保護コンサルティングとシステム開発を一体で提供している点だ。STRIGHTもその強みを色濃く反映したプロダクトだ。

中西氏は、「ビジネスリスクコンサルティング本部では、プライバシーやデータ保護、各国法令への対応を支援するコンサルティングを行っています。弁護士やITセキュリティの専門家を社内に抱え、それに関連するSaaSサービスも自社で開発しています」と説明する。

  • 人物画像_IIJ ビジネスリスクコンサルティング本部 副本部長 中西 康介 氏

通常、CMPの開発・運用には、法務と技術の両面における高度な知見が求められる。そのため外部の専門家に頼らざるを得ず、結果としてコストが上昇する傾向にある。しかしIIJはこれらを自社で完結できるため、コストの最適化が可能になるという。

「法律の理解からシステム開発までを自社で対応できるため、外部コストを抑えられます。また、ネットワーク事業者としての知見も活かし、トラフィック処理の最適化も実現しています」(中西氏)

クッキーバナーは一見するとシンプルな機能に見えるが、実際には大量のアクセスを処理するインフラの一部である。安定したレスポンスを維持するには、ネットワークやサーバー処理における高度な設計が不可欠だ。長年にわたりインターネットインフラの構築・運用に携わり、豊富なノウハウを蓄積してきたIIJは、この点においても優位性を持っている。

定額制×フルパッケージが生む高いコストパフォーマンス

こうした内製化とインフラ最適化の結果、STRIGHTは低価格かつ極めてシンプルな価格体系を実現している。月額9,800円、年額11万7,600円のライセンス料で、1日あたりのWebサイト平均訪問者数が50万人までであれば固定料金で利用できるモデルだ。

この価格設計について、中西氏は次のように語る。

「多くの企業が求めているのは、シンプルで分かりやすい料金体系だと考えています。STRIGHTではデイリーアクセス数のみを基準とし、すべての機能をフルパッケージで提供しています」

従来のCMPは、機能ごとのオプション課金やアクセス数、同意数に応じた従量課金が一般的だった。そのため、導入当初の想定を超えてコストが膨らむケースも少なくない。一方でSTRIGHTは定額制であるため、予算計画が立てやすく、小・中規模サイトから大規模サイトまで幅広く適用できる。

実際、1日あたりのWebサイト平均訪問者数が50万人に満たないサイトが市場の大半を占める中、この価格帯でフル機能を利用できる点は、導入障壁を大きく下げる要因となっている。

また、中西氏はSTRIGHTの機能や特長について、次のように話す。

「STRIGHTは、日本語の導入マニュアルを備えており、専門的な知識が無くてもスムーズに導入できます。グローバル対応や長年に渡り培ってきた製品開発力に加え、IIJとして3000ドメイン以上のCMP導入支援実績を有しており、その知見を活かした導入後のサポート体制を提供しています。こうした要素が高い水準でバランスよく備わっていることこそが、STRIGHTの最大の強みだと考えています」(中西氏)

実際に導入した企業からは、STRIGHTのコストパフォーマンスについて、次のような声が寄せられている。

コストパフォーマンスの良さも重要な選定ポイントでした。料金体系が明確で比較的低価格で、提供される機能やサポートを考えると、コストパフォーマンスは非常に高いと思います。中小企業でも導入しやすいと思いました。

ユーザーの信頼を損なわないUI設計とグローバル対応

CMPにおいて近年重要視されているのが、ユーザーの意思を歪めないUI設計だ。いわゆる「ダークパターン」は規制対象となりつつあり、企業リスクの一因にもなっている。STRIGHTでは、この問題に対してテンプレート設計で対応する。

「設定テンプレートを使えば、ダークパターンにならない形でバナーを設計できます。ユーザーの信頼を獲得できる設計を標準で用意しているのです。また、クッキーバナーのサイズや表示位置などを高い自由度で設定できることも特長です」(中西氏)

  • 図_STRIGHTの7つの強み

さらに、STRIGHTは世界149の国・地域の言語に対応し、世界各国の法規制にも網羅的に対応している。こうしたグローバル対応も大きな魅力だ。

STRIGHTでは、IPアドレスを基にアクセス元の国を判定し、地域ごとに最適なバナー表示を行う機能を標準装備している。これにより、欧州のGDPR(General Data Protection Regulation:一般データ保護規則)や米国カリフォルニア州のCCPA(California Consumer Privacy Act:カリフォルニア州 消費者プライバシー法)といった地域特有の規制にも自動対応が可能だ。

さらに大きな特長なのが、法改正や新たなガイドラインが示された際にも、迅速にアップデートをする点である。規制内容の変更やGPC(Global Privacy Control)への対応については、IIJがテンプレートへ随時反映することで、常に最新の規制要件に対応する。変化の激しいプライバシー規制の動向に追随し続けられる点は、CMP選定において大きな安心材料となる。

「私たちは国内外の法規制やガイドラインの動向を常にキャッチアップし、サービスへと反映しています。法改正があった場合でも、サービス側でスピーディーかつ適切に対応します。法対応への安心感という点では、STRIGHTは他のサービスに引けを取らないサービスだと自負しています」(中西氏)

BCR(Binding Corporate Rules:拘束的企業準則)やCBPR(Cross-Border Privacy Rules:越境プライバシールール)といった国際的な認証も取得しており、グローバル水準のデータ保護体制を確立しているIIJならではの強みといえるだろう。

クッキーに依存しない本質的なCMPの設計思想

STRIGHTのもう一つの特徴は、「クッキーに依存しないデータ検知」にある。多くのCMPがクッキーの有無をベースに制御するのに対し、STRIGHTはより広範なデータ送信を対象とする。

「法律が求めているのはクッキーではなく、ユーザー情報の外部送信です。われわれはクッキー以外のデータ送信も検知し、適切に同意取得を行います」(中西氏)

  • 人物画像_IIJ ビジネスリスクコンサルティング本部 副本部長 中西 康介 氏

これは、今後の規制強化を見据えた設計ともいえる。トラッキング技術が多様化する中で、クッキーだけに依存した管理は限界がある。STRIGHTはその先を見据え、より本質的な「データ保護」を実現する仕組みを提供している。

さらに、Google同意モードへの対応により、ユーザーがクッキーの利用に同意しなかった場合でも、機械学習を用いたモデリングデータにより、欠損したデータを補完・推定することができる。これにより、マーケティング施策とプライバシー保護の両立が可能になるという。

CMPだけに留まらない─IIJの包括的なプライバシー保護支援への信頼性

中西氏はSTRIGHTの価値は、IIJがCMPツールだけでなく、データプライバシー全体をカバーする包括的な支援をしている点にもあると強調する。

「クッキーバナーは、企業がプライバシーに対して責任を果たす姿勢を示すものです。IIJでは、ポリシー策定、各国法対応、契約、インシデント対応までワンストップで提供できます」

そのため、導入した企業は「コストパフォーマンス」のほか、「信頼性」の面でも高い評価をしており、次のような声が寄せられている。

重要な判断材料であるサービス提供価格が納得のいくものであったことに加え、STRIGHTに限らず、他にもさまざまなサービスを広く展開しているIIJの実績にも魅力を感じました。そうした企業としての信頼性が、判断を強く後押しする結果となりました。

CMPは信頼の土台となる─企業価値を左右するプライバシー対応

データ活用が競争力の源泉となる現代において、プライバシー対応は単なる義務ではなく、企業価値そのものに直結する要素となっている。自社のビジネスが欧州のGDPRや米国のCCPAの影響を受けないとしても、ユーザーは自身のデータがどのように扱われるかに関心をもっており、CMP導入は、企業の信頼性向上の必須のツールになりつつある。

最後に中西氏は、CMPは単体での機能ではなく、さまざまな要件に対応できる総合力が重要である点を強調した。

「企業がグローバル規制に対応しようとすれば、プライバシーポリシーを正しく書くなど、各国規制に対応した記述をしなければなりません。また、EUや英国に拠点がなくても、Webやスマホアプリを通じて、EUや英国の個人データを取得している場合は、EU代理人やUK代理人を置かなければいけないといったGDPR27条への対応も必要な場合があります。さらに、Webサイトが外部ベンダーを使っている場合は、外注契約も各国の規制に対応したもので契約しないといけません。IIJは、これらすべてをワンストップで提供できます。そういったサービスも含めて提供しているからこそ、STRIGHTはお客様に信頼感を持って使っていただけていると思っています」(中西氏)

なお、IIJではCMP導入やプライバシー保護規制対応に関するセミナーを継続的に開催しており、過去セミナーのアーカイブ配信も行っている。CMPの基本から導入時のポイント、企業が押さえておくべきプライバシー保護規制対応の要点までをわかりやすく解説しているため、今後CMP導入を検討している企業は、アーカイブ動画の視聴や受付中セミナーへの参加を検討してみてはいかがだろうか。

STRIGHT セミナー 一覧はこちら

STRIGHTをもっと知るにはこちら

    <クッキーバナー初級編>

    <クッキーバナー中級編>

    <クッキーバナー上級編>




    海外のプライバシー保護規制や対応ポイントについてはこちら

関連リンク

[PR]提供:インターネットイニシアティブ