同意と正当な利益:マーケティングのためにどちらを選ぶべきですか?

公開: 2019-06-06
同意と正当な利益:マーケティングのためにどちらを選ぶべきですか?

GDPRの第6条では、ユーザーの個人データを、同意と正当な利益を含む6つの合法的な基盤の下で処理することができます。

GDPR第6条(1)(a)–データを処理するための合法的な根拠としての同意:データ主体は、1つ以上の特定の目的のために自分の個人データを処理することに同意しました。

GDPR第6条(1)(f)–処理は、管理者または第三者が追求する正当な利益のために必要です。ただし、そのような利益が、データ主体の利益または基本的権利および自由によって上書きされる場合を除きます。特にデータ主体が子供である場合の個人データの保護。

これら2つは、マーケティング目的で個人データを処理するための最も議論されている法的根拠でもあります。

これらのうち、同意ベースは非常に簡単に機能します…ユーザーがデータ処理に「同意」したためです。

ただし、同意を得た場合の問題は、マーケティングプロセスに必ずしも適しているとは限らないことです。

これにより、マーケターは正当な利益の規定を得ることができます。

一見すると、Legitimate Interestsは、多くの個人データ処理を可能にする包括的な用語のように見えます。 ただし、正当な利益を法的根拠として使用する場合は、データ処理が実際に必要な場合にのみデータを処理するための合法的な根拠と見なすことができるため、慎重に検討する必要があります。

推奨リソース:GDPRの詳細:「正当な利益」と見なされるもの

マーケティング目的での同意と正当な利益のどちらかを選択する

同意は「ゴールデンスタンダード」であるため、法的根拠として同意を使用して個人データを処理することは非常に安全であると見なされます。

また、明確であるため、正当な利益の根拠よりもデータを処理するためのはるかに強力な根拠です。 ユーザーに尋ねると、ユーザーは「はい」と答えました。

ただし、特定の種類の個人データを処理するたびに同意を得るということは、ユーザーにさまざまな同意フォームのホストにオプトインさせることを意味します。

実際、GDPRは、合法的に同意を求める方法について、非常に明確で厳格な指令を提供しています。

[…]同意の表示は明確であり、明確な肯定的な行動(オプトイン)を伴う必要があります。 特に、事前にチェックされたオプトインボックスを禁止します。 また、個別の処理操作には、個別の(「きめ細かい」)同意オプションが必要です。 同意は他の利用規約とは別にする必要があり、通常、サービスにサインアップするための前提条件とすべきではありません。

一方、合法的な利益の合法的な根拠は非常に柔軟です。

何よりもまず、GDPRにより、マーケターは、合法的な利益に基づいて、ダイレクトマーケティングの目的で個人データを処理する場合を行うことができます。

…ダイレクトマーケティングを目的とした個人データの処理は、正当な利益のために実行されたと見なされる場合があります。

さらに、ICO(情報コミッショナーオフィス、GDPRなどの英国のデータプライバシー法を適用する方法について企業を指導する英国を拠点とする独立機関)は、マーケティングへのそのような正当な関心(「売り上げの増加」など)がどのようにできるかを説明していますデータを処理するための真の目的を作成します。

[W] eは、売り上げを伸ばすために既存の顧客に商品を販売することに正当な関心を持っています。

ICOはまた、次のような複数の事例において、正当な利益がどのように最も適切な根拠となるかについても説明しています。

  • 処理は法律で義務付けられていませんが、あなたや他の人にとって明らかに有益です。
  • 個人に対するプライバシーへの影響は限られています。
  • 個人は、あなたが自分のデータをそのように使用することを合理的に期待する必要があります。
  • 個人に完全な事前管理(つまり同意)を与えることはできません。または、処理に反対する可能性が低い場合は、破壊的な同意要求で迷惑をかけることはできません。

手元にあるマーケティングのニーズ(または目的)ごとに、マーケティング担当者は、使用するさまざまな合法的な基盤を慎重に決定する必要があります(GDPRがデータ処理を許可する6つの合法的な基盤の中から)。 これらの6つのうち、同意と正当な利益は、一般的な(またはログインしていない)訪問者のWebサイトのパーソナライズによく使用される2つの合法的な基盤です。 (この記事では、正当な利益の合法的な基盤を使用してWebサイトのエクスペリエンスをパーソナライズする方法に焦点を当てています。)

一般に、正当な利益の規定に基づく訴訟を含めるには、多くの考慮が必要です。 これをいくらか簡単にするために、ICOは、手元にある目的が正当な利益の規定に基づく合法的な根拠であると実際に適格であるかどうかを識別するのに役立つ3部構成のテストを設計しました。

GDPRに基づく正当な利益を決定するためのICOの3部構成のテストは次のとおりです。

  1. 目的テスト–処理の背後に正当な関心がありますか?
    正当な利益を個人データを処理するための合法的な根拠として使用するには、まず、関連する個人データを処理する必要性を説明する必要があります。 あなたはそれを処理したいという背後にある明確に明確な目的が必要です。
  2. 必要性テスト–その目的のために処理が必要ですか?
    個人データを処理するための合法的な根拠として正当な利益を使用するには、目的を達成するためのより侵襲性の低い方法が他にないこと、および処理が「比例し、その目的を達成するために適切に対象とされていることを示す必要があります…
  3. バランステスト–正当な利益は、個人の利益、権利、または自由によって上書きされますか?
    最初の2つのテストでケースが適格になった後、関連する個人データの処理が、個人データが処理される個人の権利と自由を侵害していないことを確認する必要があります。

それでは、GDPRの正当な利益の規定に該当する可能性のある非常に一般的な個人データ処理の例をいくつか見てみましょう。

正当な利益を利用した個人データ処理の根拠の10例

実際の例を見る前に、以下にリストされているすべての例には注意点の大きなリストがあることを理解してください。 これらの例は、正当な利益の規定の下で調査できるマーケティング目的のいくつかの提案を提供することを目的としています。

ここに行く…

1.IPアドレスデータ処理

キャプチャするデータの量によっては、IPアドレスから多くのことがわかります。 たとえば、これを使用して訪問者の場所を検索したり、訪問者がどの会社で働いているかを検索したりできます(詳細については、ABM 101の記事を参照してください)。

正当な利益は、ユーザーのIPアドレスデータ(個人データとして分類される)の処理に使用できる合法的な根拠の1つです。 IPアドレスを使用した正当な利益の規定に基づくマーケティング目的の例は、ローカライズされたオファーを提供することです。

たとえば、eコマースストアでは、モンスーンシーズンの地域からブラウジングしている人にレインコートを宣伝できます。 あるいは、オンラインストアは、訪問者の位置データを使用して、訪問者の地域に期間限定の送料無料のオファーを提供する場合があります。

同様に、B2B企業は、訪問者の会社(IPアドレスから識別される)を使用して、会社の名前や業界などでパーソナライズされた画像またはコンテンツの形式で動的なパーソナライズを表示できます。

注:訪問者のIPアドレスを使用してWebサイトのエクスペリエンスをパーソナライズする場合、天気予報や位置情報サービスに使用したことがある場合は、それらをデータベースに保存しないことをお勧めします。 このように、同じ場所にいる人に関する複数のデータポイントを収集する場合、このデータは問題になりません。

2.ウェブサイト分析データ処理

ほとんどのWebサイトは、パフォーマンスを最適化する目的で訪問者の閲覧データを収集します。 これは通常、正当な利益の規定の対象となります。 一般に、このようなデータは匿名化されることが多く、Google Analyticsなどのほとんどの分析ツールではPII(個人情報)の処理/保存が禁止されているため、問題にはなりません。

このようなデータ処理の傾向を利用して、さまざまなパーソナライズされたWebサイトエクスペリエンスの基盤を形成できます。

たとえば、Google Analyticsを使用すると、ほとんどのリードを失ったWebサイトのページを特定できます。 また、Google Analyticsの高度なセグメンテーションオプションのいくつかを使用して、ドロップオフするオーディエンスセグメントを特定することもできます。 このようなデータ処理により、人口統計や失われているトラフィックに関する多くの洞察を得ることができます。

これらの洞察を使用して、これらのセグメントによりパーソナライズされたWebサイトエクスペリエンスを提供することをテストすることもできます。

たとえば、eコマースストアは、特定の商品ページのドロップオフ率が高いことを発見した場合、オーディエンスの人口統計情報を使用して、商品ページのメッセージを微調整できます。

このようなパーソナライズは、微妙で意味のあるものであるだけでなく、処理される個人データも煩わしいものではありません。

ウェブサイト分析データ処理
画像ソース

3.通信データ処理

電子メールまたはSMSを介してパーソナライズされたマーケティングコミュニケーションを実行するには、常に明示的な同意が必要です。

また、GDPRを投稿し、CRMにユーザーのメールを追加して、連絡フォームからメールで連絡したという理由だけでマーケティングメールを送信することは違法です。 お問い合わせフォームの下にある同意ボックスを使用して、訪問者の許可を明示的に求める必要があります。

その上、GDPRは単独では機能しません。 したがって、電子メール(またはSMS)のマーケティングキャンペーンは、ユーザーに購読解除リンクを提供するなど、関連する法規制に準拠する必要があります。

とは言うものの、サブスクライバーからそのような通信の同意を得ている場合は、マーケティングEメールまたはSMSとの相互作用に基づいて、そのようなサブスクライバーのWebサイトのエクスペリエンスをパーソナライズできます。 これは、正当な利益の規定の下で合理的にカバーされるべきです。

たとえば、旅行会社は、加入者との通信履歴を使用して、パーソナライズされたページを表示できます。 たとえば、高級旅行に興味を示した(たとえば、リンクをクリックして)加入者には、高級ホテルでの滞在パッケージを宣伝するページが表示される場合があります。 あるいは、予算重視の旅行者には、格安ホテルのいくつかの厳選された取引が表示される場合があります。

4. Cookie、Webビーコンなどを介した行動データ処理。

行動データ処理は、ウェブサイト分析データ処理と非常によく似ています。 ウェブサイト分析データと同様に、行動の洞察に基づくキャンペーンを強化するために使用される個人データも匿名化されます。 また、GDPRは、匿名化されたデータの処理に非常に柔軟です。

Cookie、Webビーコンなどを介した行動データ処理。
画像ソース

訪問者のWebサイトとの対話からの洞察(たとえば、閲覧したページやクリックデータ)を使用して、コンテキストに富んだWebサイトエクスペリエンスを提供できます。

たとえば、エンタープライズレベルのソフトウェア会社は、訪問者の行動データを追跡し、再訪問時にさらにパーソナライズされたエクスペリエンスを提供できます。 たとえば、特定のソリューションを検討していると思われる訪問者には、次のWebサイトへのアクセス時に、同じソリューションの試用ページまたはサインアップフォームが表示される場合があります。

5.プロファイルデータ処理

Webサイト分析や行動データ処理と同様に、企業はLegitimate Interestsベースを使用して、匿名化された個人データを使用してユーザープロファイル(プロファイリング)を作成できます。

たとえば、ガジェット比較Webサイトは、ユーザーの匿名化された個人データを使用して、主要なオーディエンスタイプを識別します。 次に、パーソナライズされたオファーやプロモーションキャンペーンをそれぞれに提供できます(たとえば、ハイエンドのオーディエンスセグメントにハイエンドの携帯電話を提案したり、予算に優しいセグメントに予算の携帯電話の割引を表示したりできます)。

正当な利益の使用に関するガイダンスに関するドキュメントは、正当な利益の下で個人データを処理するための合法的な根拠などの根拠を示唆しているだけでなく、ソーシャルメディアデータを使用したそのようなユーザープロファイリングもサポートしています。 ドキュメントには、会社が使用できると記載されています。

…ソーシャルメディアプロバイダーが提供するアルゴリズムで、広告を「そっくりさん」、つまりそのビジネスの顧客と同様の特徴を持つ他の個人に的を絞ったものにします。 この企業は、ソーシャルメディアターゲティングを可能にするために必要最小限の個人データを顧客にアップロードしますが、マーケティングに反対した人は除外します。 プロファイリングは、ターゲティングを可能にするためにソーシャルメディアプラットフォーム内で実行されますが、それは純粋にマーケティング目的であり、ビジネスは、それらの個人に法的または同様に重大な影響を与えないと評価しました。

6.セカンドパーティおよびサードパーティのデータ処理

ファーストパーティのデータ(つまり、企業が独自に収集するデータ-たとえば、Google Analyticsアカウントからのデータ)に加えて、かなりの数の企業がセカンドパーティおよびサードパーティのデータも使用しています。

パートナーやデータ交換から得られたこのデータは、マーケターに、オーディエンスのサイコグラフィック、テクノロジー、人口統計に関する強力な洞察を提供します。 これは通常、詳細な顧客プロファイルを作成するために使用されます。 これは、より関連性の高いコンテンツとメッセージングを作成し、それらを一般の視聴者から主要なセグメントに配信するために使用されます。

たとえば、B2Bビジネスは、そのようなデータを使用して、オーディエンスの主要なセグメントを識別し、パーソナライズされたコンテンツの推奨事項で各セグメントをターゲットにすることができます。

このようなソースデータを使用する必要がある場合は、公正かつ合法的なデータ収集および処理の慣行に従うデータプロバイダーおよび取引所とのみ提携するようにしてください。

7.購入履歴データ処理

eコマースストアは、訪問者の取引履歴に基づいて、パーソナライズされた製品の推奨事項を提供する場合があります。

DPN(データ保護ネットワーク、データ保護とプライバシーに関する専門家のアドバイスを提供する英国を拠点とする組織)は、正当な利益の使用に関する多くのガイダンスを提供します。 これは、パーソナライズされた製品の推奨を行うためにオンラインストアがユーザーの購入履歴を使用することが、個人データ処理の法的根拠の良い根拠になる可能性があることを示唆しています。

製品範囲の広い小売業者は、顧客が関心を持っている可能性のある他の製品やサービスを予測する目的で、顧客の取引履歴に基づいた自動処理を実行します。

8.アカウント履歴データ処理

アカウントデータ処理は、購入履歴データ処理と同等と見なすことができますが、B2B設定の場合です。

B2B企業は、ユーザーのアカウント履歴データを使用して、より豊富なコンテキストコンテンツエクスペリエンスを提供できます。 たとえば、B2B企業は、顧客のデータを使用して、より関連性が高く、より適切なアップグレードまたはクロスセルのオファーを提供できます。

9.クッキーデータ処理

Cookieデータが、邪魔にならず関連性のあるパーソナライズされたWebサイトエクスペリエンスを提供するのに役立つ方法はたくさんあります。 効果的なエクスペリエンスを実現できるCookieの種類のほとんどは、使用方法とオプトアウトの手順がWebサイトのプライバシーページで説明されているため、ユーザーの明示的な同意さえ必要ありません。

たとえば、企業のWebサイトでは、Cookieデータを使用して、見込み客に配信するコンテンツを決定し、販売ファネルでさらに移動させることができます。 プライバシーに配慮した方法でもCookieデータを使用する方法は無限にあります。 実際、上記の例のすべてのデータは、ほとんどが収集され、何らかの形式のCookieに保存されています。

推奨リソース同意とCookie:GDPRとeプライバシー規制はWebサイトにどのように影響しますか?

正当な利益に関する条項に基づくデータ処理のその他の例については、EU一般データ保護規則に基づく正当な利益の使用に関するガイダンスをご覧ください。

まとめ…

マーケティング目的で2つのオプション(正当な利益または同意)のいずれかを選択するには、ケースバイケースで検討する必要があります。 正当な利益は、ほとんどのマーケターにとって個人データを処理するための最も一般的な合法的な根拠である可能性がありますが、注意して使用する必要があります。

また、正当な利益の規定は多くのWebサイトのパーソナライズ戦術をカバーできますが、それでも正当な利益の評価を受け、法的なオンラインプライバシーの専門家に助けを求めて、それに頼る前に二重に確認する必要があります。

Convert Experiencesでは、GDPRに安全でプライバシーに配慮したパーソナライズされたウェブサイト体験をユーザーに提供するために、あなたと同じようにマーケターに力を与えます。 また、このようなパーソナライズを強化するために、正当な利益の規定に基づいて使用するすべてのデータの徹底的なLIAを実施しました。 こちらでチェックしてください。 また、設計によるプライバシーとデフォルトのプライバシーを提供するWebサイトのパーソナライズを提供したい場合は、ConvertExperiencesを確認してください。

無料トライアル
無料トライアル