GDPRがCROデータ収集に与える影響:簡単な要約
公開: 2019-11-13ウェブサイトのコンバージョン率を最適化するための基本は、ウェブサイトを操作する訪問者に関するデータの体系的な収集と分析です。
ユーザーデータの収集は、訪問者がWebサイトのさまざまな部分をどのように使用、理解、および好むかを測定するために重要です。 しかし、2016年4月に欧州議会によって導入され、2018年5月に最終的に施行された一般データ保護規則(GDPR)の下で、欧州連合における個人データの収集と処理は統一され、制限されました。
素人の言葉で言えば、企業は正当な理由なしにデータを収集して保管することはできなくなりました。 また、データを好きなように処理することもできません。 そして最後に、データには有効期限が付いています。 ユーザーと顧客のエクスペリエンスを具体的な方法で改善するために、使用されていないデータを定期的にパージする必要があります。
GDPRの目的は、欧州連合のデータプライバシー法を調和させ、EU市民のデータプライバシー権を強化し、データ侵害を防止することです。 GDPRに準拠していない組織は、年間売上高の最大4%または最大2,000万ユーロ(いずれか高い方)の罰金を科せられる可能性があります。
罰金はすでに課されています。 たとえば、情報コミッショナーオフィス(ICO)は、50万人の顧客の個人データを危険にさらしたデータ侵害と、GDPRの侵害により、ブリティッシュエアウェイズに1億8,339万ポンドの罰金を科すと発表しました。
したがって、GDPRの一般的なモットーは、収集する個人ユーザー情報が少ないほど良いということです。 しかし、それは、GDPRに基づく多額の罰金のリスクを冒さずに、コンバージョン率を最適化する目的でEU市民からユーザーデータを収集することは不可能であることを意味しますか?
必ずしも。
追跡ツール、Cookie、処理ソフトウェア、またはデータ評価プログラムを通じてEU市民の個人データを収集する場合は、収集されるデータの種類、保存場所、処理方法、および最終的に削除される時期を知る必要があります。 。 近年、個人の個人情報を保有する企業や組織の考え方を変える必要性が高まっています。
GDPRの個人データの移植性のセクションでは、企業は個人のデータを所有できず、データ主体はデータを別の組織と共有する権利があると述べています。 したがって、GDPRの下では、企業や組織は、ウェブサイトの訪問者のデータを収集および処理するための同意契約を取得することが法的に義務付けられています。 さらに、データを収集する理由とその使用目的を明確に説明するために、同意書をわかりやすい言葉で書く必要があります。
一見すると、これは圧倒的で日常的に実行するのが難しいように聞こえます。 ただし、この記事はGDPR要件に対処するのに役立ちます。
さらに、この記事では、GDPRの下で個人データと見なされるものの概要、コンバージョン率最適化(CRO)の目的で個人データを収集しながらGDPRに準拠する方法、およびGDPRが一般的なCROツールにどのように影響するかについて説明します。 Webサイトを最適化するために使用されます。
個人データを構成するものは何ですか?
GDPRの第4条は、個人データを構成するものを定義しています。
個人データとは、自然人を直接的または間接的に特定できるあらゆる形式の情報です。 自然人とは、EUに住む個人のことです。 人を識別する最も簡単な方法は、通常、フルネームを使用することです。 ただし、EUには同じ名前の個人が複数存在する可能性があります。 ただし、1つの特定の個人を識別するには、異なるデータポイントの組み合わせで十分な場合があります。 識別可能なデータポイントは、たとえば、名前、場所、電子メールアドレス、ログイン情報、IPアドレス、およびユーザーIDやトランザクションIDなどの一意の識別子である可能性があります。
前のセクションを読んでいると、一般的に使用されているコンバージョン率最適化ツールのほとんどが、前述の識別可能なデータポイントを収集して処理していることに気付いたと思います。 しかし、サードパーティのデータ処理ツールがEUのデータ保護規則に準拠していることを確認する責任はありますか?
サードパーティのCROツール:それらを使用する方法
GDPRは、データ収集プロセスが2つの異なるエンティティ(データ「コントローラー」とデータ「プロセッサー」)によって実行されることを説明しています。 データ管理者は、収集されたデータの目的、範囲、および意図を決定します。 したがって、ほとんどの場合、データ管理者がWebサイトの所有者です。 一方、データプロセッサは、収集されたデータを処理して、データコントローラに代わって所定の目標を達成します。
データプロセッサは通常、ヒートマップ、テストツール、フォーム分析、A/BテストツールなどのサードパーティのCROツールです。 サードパーティのツールを使用する前に、Webサイトの所有者の名前でサードパーティのツールが実行できることについての合意が、Webサイトの所有者によって承認される必要があります。
これは、データプロセッサとしてのサードパーティツールがデータコントローラの拡張として機能することを意味します。
一般データ保護規則では、データ管理者はデータ処理者の行動に対して法的に責任を負うと定められています。 したがって、サードパーティのCROツールの形式のデータプロセッサがGDPRに準拠していない場合、データコントローラも同様に非準拠であり、ペナルティに直面する可能性があります。 したがって、Webサイトに使用するマーケティングおよび追跡ツールが収集するデータの種類を確認することをお勧めします。
今、あなたはおそらく自分自身に問いかけているでしょう。「GDPRの下での私の責任は何ですか? また、GDPRに確実に準拠するために、ウェブサイトの所有者とサードパーティのデータ処理ツールとの間の合意にどのような措置を記載する必要がありますか?」 次のチェックリストは、サードパーティツールの最も重要なGDPR要件と、独自の要件の概要を示しています。
サードパーティツールのGDPR要件のチェックリスト
- GDPRセクションが追加されたデータ処理契約が更新されました
- 契約書には、文書化された指示にのみ基づいて行動することを明記する必要があります
- データ処理の方法の期間、目的、保存およびプロセス
- ウェブサイト訪問者の同意の記録は、GDPR要件によって予測される短期間に維持する必要があります
- データセキュリティ対策は、サードパーティツールの契約に記載する必要があります
- データ処理者は、保存されたデータにアクセスするユーザーの権利、与えられた同意の撤回、忘れられる権利、および特定の情報を消去する権利において、データ管理者を支援する必要があります。
- サードパーティのツールは、どのタイプの個人データが収集および処理されるかを示す必要があります
- データ処理者とデータ管理者の間の合意には、各当事者の権利と義務を説明するセクションを含める必要があります
ウェブサイト所有者のGDPR要件のチェックリスト
- 情報監査:どのような個人データを収集/処理/保存しますか?
- 個人データを収集するための法的正当性を持っている(第6条、7-11)
- 必要以上にデータを保持しないでください(第5条)
- 有効なオプトインオプションを介して、個人データを収集するための同意を取得し、与えられた同意を証明するために同意を保存します(第4条)
- 可能な限り個人データを暗号化および仮名化する(第32条)
- 顧客が同意、収集、および収集したデータの削除の可能性を簡単に取り消せるようにします(第15、17、18、21条)
- あなたの名前で個人データにアクセスまたは収集するサードパーティのツールに名前を付けます
- EEA以外の国への個人データ転送の制限に従ってください(第44-50条)
GDPRコンプライアンス:エクスペリエンスとコンバージョン率への影響の可能性
GDPRの下では、収集されるすべてのデータは、ユーザーの明示的な同意を得た後に行う必要があります。 これがビジネスに潜在的に有害である可能性がある2つの方法があります:
- フォームには同意が組み込まれていません(事前にチェックされたボックス)。フォームは、個別の種類のデータ処理ごとに同意を要求する必要があります。 つまり、ブラウザがリードマグネットにサインアップしている場合は、ニュースレターで受信トレイへのアクセスを自動的に開始しないでください。 これにより、見込み客とのタッチポイントの数が減るだけでなく、フォームがUXを念頭に置いて設計されていない場合、同意オプションはフラストレーションと疲労を引き起こし、完了/提出率を低下させる可能性があります。
- Cookieの同意ポップアップ。 Convertによるこの投稿では、サイトで使用できるさまざまな種類のCookieと、トラフィックからそれらを使用するための許可を取得する方法について説明しています。 あなたが考えているクッキーがサイトブラウザからのうなずきを必要とする場合、恐ろしいクッキー同意書が行く方法です。 ほとんどのツールには、カスタマイズオプションが非常に限られた独自のCookie同意バナーがあります。 さまざまなソリューションのCookie同意を統合できる集約ツールは不十分であり、ユーザーがオプトインまたはオプトアウトするには、既存のページをクリックするか、既存のページから移動する必要があります。
GDPRの前後で、トラフィック、エンゲージメント、または目標の完了率の低下に関する正式な調査は行われていませんが、ほとんどの企業が苦しんでいます。
ただし、この苦しみにより、同意率の最適化手法と、より優れた設計とUXに投資する必要が生じました。これにより、企業が見込み客とやり取りし、購入/消費サイクルを進める方法が最終的に改善されます。
GDPRと、世界中で具体化されている志を同じくするデータプライバシー法は、よりプライベートで自由なデジタルの未来に向けた一歩です。しかし、これらの法を施行するための技術的ソリューションは、バランスが取れて微妙な違いがあることが重要です。インターネットの自由で普遍的な部分に資金を提供しているインターネットの経済を壊さないようにするためです。
ダニエル・ヨハンセン、CybotのCEO、Cookiebotの作成者。
個人データの保存、消去、分類
CROの目的でデータの収集に影響を与える可能性のあるもう1つのGDPR要件は、個人データの保存と処理です。 多くのCROツールが個人データを保存し、多くの関係者がデータ分析プロセスに関与する可能性があるため、これは特に複雑になる可能性があります。 したがって、Webサイトに使用するCROツールの数によって異なりますが、使用するCROツールでの個人データの長期保存を制限することはほとんど可能です。
組織や企業によって収集および保持されているデータを消去する必要性は、長年にわたって議論されてきました。 GDPRの下では、個人はそれ以上の遅延なしに個人データの消去を要求できます。 ただし、データのプライバシーと会社のポリシーに関する質問が発生するため、組織がデータ削除の証拠をどのように提示する必要があるかは完全には明確ではありません。
対処する必要のあるもう1つのポイントは、個人データの適切な分類です。 組織として、ビジネスを成功させるために収集する必要のあるデータの種類を知る必要があります。
GDPRのデータ収集規則では、企業が法的に正当な理由がある場合にのみ個人データを収集することの重要性について説明しています。 合計で、データを収集するための6つの法的根拠があります。同意、契約、法的義務、重要な利益、公務、および正当な利益です。 個人データを収集および処理するための一般的な法的正当性は、正当な利益です。 これは、たとえば、リターゲティングまたはダイレクトマーケティングの目的でのデータの処理である可能性があります(リサイタル47)。 これにより、サードパーティのツールによる個人データの不正使用も制限され、データ盗難のリスクが軽減されます。
結論:
必須のGDPR要件は、コンバージョン率の最適化のためのデータ収集プロセスに部分的に影響を与える可能性があります。 特に、収集されるデータの量は、Webサイトの「オプトイン」同意フォームの影響を受けます。 さらに、データを収集するサードパーティのCROツールをチェックして、サードパーティのGDPR違反の可能性があるため、最も重要なGDPR要件が契約に含まれているかどうかを確認できるようにする必要があります。
ただし、全体として、これらは前向きな変化であり、データの誤用の根本的な恐れなしに、見込み客とブランド間のより自由な相互作用の形で実を結ぶでしょう。 現在のコンバージョン率の低下は、意識の高いブランドがコンプライアンスを推進し、同意取得のプロセスを可能な限り苦痛のない(さらには楽しい)ものにすることに焦点を当てた実践の開発に投資することで補償されます。