• ホームページ
  • 記事
  • SEO
  • プライバシーに準拠したA/Bテストツールの選択方法(ドイツのオプティマイザー向けガイド)

プライバシーに準拠したA/Bテストツールの選択方法(ドイツのオプティマイザー向けガイド)

公開: 2022-04-27
プライバシーに準拠したA:Bテストツールの選択方法(ドイツのオプティマイザー向けガイド)

プライバシー法が世界中で施行されるにつれ、消費者は個人情報に関する認識と管理を強化しています。 たとえば、EUは2018年に画期的な一般データ保護規則(GDPR)を可決し、データプライバシー規制を強化し、カリフォルニア州は2020年にカリフォルニア州消費者プライバシー法(CCPA)を施行しました。

A / Bテスト会社は現在、これらの新しいルールに準拠するための追加の対策を講じています。 たとえば、多くのユーザーは、メーリングリストに追加する前にユーザーに同意を求め、簡単にアクセスできるプライバシーに関する声明と開示を提供し、ユーザーが個人情報にアクセス、変更、または削除できるようにしています。

今日の世界ではデジタルプライバシーが欠如していますが、ドイツは市民の個人データの保護に引き続き取り組んでおり、旧ドイツ連邦データ保護法(BDSG)などの法律は世界で最も厳しいものの1つと見なされています。

次のガイドでは、ドイツの各データプライバシー法について説明しているため、A/Bテストツールを選択する際に最も情報に基づいた決定を下すことができます。

隠れる
  • データプライバシーの選択基準
  • 以下の基準は、ドイツ国内で準拠しているA/Bテストプラットフォームを選択する際のガイドとして役立ちます
    • 1. A / Bテスト会社はデータコンプライアンスの準備をどのように行いましたか?
    • 2. A / Bテストツールには処理アクティビティの記録がありますか?
    • 3. A / Bテストツールはどのような法的根拠に基づいて個人データを処理しますか?
    • 4. A / Bテストツールにはデータ保護の影響評価がありますか?
    • 5.データ保護責任者は任命されていますか?
    • 6. A / Bテスト会社は、データ保護違反をタイムリーに監督当局に報告することをどのように保証しますか?
    • 7. A / Bテストツールはどこにデータを保存しますか?
    • 8. A / Bテストツールは追跡しない(DNT)設定を尊重しますか?
    • 9. A / Bテストツールは匿名化された追跡を可能にしますか?
    • 10. A / Bテストツールはサーバーログに何を保持しますか?
    • 11.データの所有者は誰ですか?
    • 12. A / Bテストツールは現在の技術スタックと統合できますか?
    • 13. A / Bテストスクリプトをセルフホストするオプションはありますか?
    • 14.国際データ転送は許可されていますか?
    • 15.設計によるデータ保護とデフォルトは尊重されていますか?
  • では、どのA / Bテストプラットフォームがプライバシーに優しいのでしょうか?

データプライバシーの選択基準

1970年にドイツで最初に採択されたデータ保護法は、その後、ドイツの16の州と連邦のデータ保護当局によってサポートされ、重要な人権に成長しました。 A / Bテストプラットフォームを選択するときは、次の法律を遵守することが重要です。

  • EU一般データ保護規則(GDPR)(2018)

    • EU市民のデータを保護するために設置されます。
  • 連邦データ保護法(BDSG)(2018)

    • GDPRを変更し、従業員の個人データを処理する際の個人の権利の例外を許可します。
  • 電気通信およびテレメディアにおけるデータ保護とプライバシーの規制に関する連邦法(TTDSG)(2021)

    • 電気通信法(1996年)と電気通信法(2007年)を組み合わせて、電気通信データ(ビジネス用電子メールアカウント、ビジネス電話、インターネットブラウザの履歴など)へのアクセスを禁止し、第5条(3)に従ってCookieの同意要件を確立します。 eプライバシーの。
  • eプライバシー(Cookie法)(2002)

    • 「電子通信部門における個人データの処理に関して、プライバシーと機密性」を確保します。

以下の基準は、ドイツ国内で準拠しているA/Bテストプラットフォームを選択する際のガイドとして役立ちます

1. A / Bテスト会社はデータコンプライアンスの準備をどのように行いましたか?

GDPR、BDSG、TTDSGの法律にどのように備えましたか?

上位の選択肢を絞り込んだら、手順、関与した領域、開始された対策を簡単に説明できることを確認してください。 計画されたすべての対策が完全に実施されていない場合は、実施状況を説明できる必要があります。

これにより、使用されたアプローチの概要と、さまざまな法律の実施方法に関する彼らの立場に関する自己評価が提供されます。

答えられるべき一般的な質問は次のとおりです

  1. 個人データ(人材、IT、販売/顧客サポート、マーケティングなど)を扱う重要な企業部門はすべて関与していましたか?
  2. これらの法律に関するトレーニングが実施されたという証拠はありますか?
  3. 会社が計画している対策はすべて実施されていますか?

たとえば、Convertは公開ロードマップを投稿しました。このロードマップでは、GDPRに準拠するためにどのようなアクションが取られたかを明確に示しています(必要な記事ごとに)。

ConvertExperiencesGDPRコンプライアンス
ソース

検討するA/Bテストプラットフォームごとに、同様のロードマップが存在する必要があります。

2. A / Bテストツールには処理アクティビティの記録がありますか?

選択するツールが、処理活動の記録にすべての個人データ処理業務を含んでいることが重要です。

次のことを自問してください。

  1. 処理活動の記録が定期的に見直され、必要に応じて更新されることは明らかですか?
  2. この記録は、GDPR第30条の法的要件に対応していますか?

    1. 彼らは責任者の名前と連絡先の詳細を提供していますか?
    2. 処理の目的は述べられていますか?
    3. 関係者のカテゴリ(従業員、顧客など)と個人データのカテゴリ(従業員マスターデータ、申請者データ、顧客連絡先データ、信用度データなど)が記述されていますか?
    4. 個人データの第三国または内部組織への転送についての声明はありますか?
    5. さまざまなカテゴリのデータを削除するための想定される期限は示されていますか?

以下は、Convertが各データ処理アクティビティに対して保持するレコードの例です。

ConvertExperiencesのデータ処理アクティビティのプライバシーコンプライアンス

3. A / Bテストツールはどのような法的根拠に基づいて個人データを処理しますか?

GDPR第6条によると、会社が個人データの処理に依存する合法的な基盤が必要です。

次の質問をします。

  1. 法的根拠はプライバシーポリシーに記載されていますか?
  2. 同意の宣言は理解しやすいですか(つまり、同意の付与を説明するときにデータ主体の内容が明確かつ単純になっていますか)?

Convertが依存するいくつかの合法的な基盤があり、それらは当社のプライバシーポリシーで公開されています。 それらはGDPRを中心としており、

  • 契約:私たちはあなたに対する私たちの契約上の責任を果たします(あなたが顧客として登録するとき、私たちから購入するとき、または私たちのサービスを使用するときなど)。
  • 同意:お客様は、特定の方法で個人情報を使用する前に同意する必要があります(つまり、クロスドメイントラッキングを有効にする場合、プロジェクトに複数のドメインを追加する場合、オーディエンスセグメンテーションをオンにする場合、または追加のログを要求する場合)。
  • 法的義務:特定の文書(つまり、請求書のコピーと支払いに関する情報)を提供することが法的に義務付けられています。
  • 正当な利益:私たちは、プライバシーへの影響を最小限に抑え、または説得力のある正当な理由がある場合にのみ、お客様が公正に期待できる方法でお客様の個人データを使用します。
個人データのエクスペリエンスの使用を変換する

4. A / Bテストツールにはデータ保護の影響評価がありますか?

DPIA(データ保護影響評価)は、組織がデータ処理に関連するプライバシーリスクを特定、評価、軽減、または最小化するのを支援します。 これらは、新しいデータ処理技術、システム、またはテクノロジーを導入するときに特に重要です。

DPIAは、組織がGDPRの基準に準拠するのを支援し、コンプライアンスを確保するために十分な措置が講じられたことを実証するため、説明責任の原則も推進します。

必要なときにDPIAを実施しないと、GDPR違反となり、組織の年間グローバル収益の最大2%または1,000万ユーロのいずれか高い方の罰金が科せられる可能性があることをご存知ですか?

ConvertのGDPRプロジェクトの一環として、Convertは、DPIAを実行するために使用されるスタッフ向けのガイダンスとテンプレートを開発しました。 これは、影響を受ける人々の権利と自由に対して高いリスクが予想される処理操作を確実に特定するのに役立ちます。

事前に記入されたスクリーニング質問を含むテンプレートは、ここにあります。

5.データ保護責任者は任命されていますか?

データ保護責任者(DPO)の主な責任は、組織の従業員、顧客、プロバイダー、またはその他の個人(データ主体とも呼ばれます)の個人データが、該当するデータ保護規則に従って処理されるようにすることです。 GDPRでは、各EU組織および組織がDPOを確立する必要があります。

企業のデータ保護責任者の資格と、それらが組織にどのように統合されているかを明確にするために、次のことを自問してください。

  1. DPOに関する現在の十分な専門知識を文書から推測できますか? (データ保護に関するトレーニングとさらなる教育、データ保護に関する経験の範囲/期間、専門的なトレーニング(弁護士、コンピューター科学者など)、および確立されたデータ保護ネットワークへの参加を評価します。
  2. DPOの連絡先の詳細の出版物はありますか? 会社のウェブサイトで? DPOの連絡先の詳細はそこで簡単に見つかりますか?

Convertのデータ保護責任者は、[email protected]にいつでも電子メールで送信できます。

6. A / Bテスト会社は、データ保護違反をタイムリーに監督当局に報告することをどのように保証しますか?

すべてのドイツの組織は、GDPR第33条に基づき、個人データを安全に保ち、72時間以内にデータセキュリティ違反(場合によってはデータ保護責任者への違反の報告を含む)に適切に対応する義務があります。

個人の負傷、業務上の損害、および深刻な財務、法律、評判のコストの危険を回避するために、データのセキュリティまたは機密性の実際の、可能性のある、または疑わしい違反が発生した場合に迅速に対応することが重要です。

プライバシーに準拠したA/Bテストツールを探すときは、次の質問をしてください。

  1. データ保護違反を報告するためのプロセスは、わかりやすい方法で提示されていますか?
  2. 報告プロセスでは、責任(誰が何をするか)が明確に規制されていますか?
  3. 72時間の期間は著しく考慮されていますか?
  4. 従業員がこのプロセスを認識していることは明らかですか?

Convertには、[email protected]でリクエストできる独自の個人データ侵害エスカレーションポリシーがあります。

7. A / Bテストツールはどこにデータを保存しますか?

オーストリアは最近、プライバシー保護がより制限されている米国にデータが保存されているため、GoogleAnalyticsの使用を禁止しました。 EUで合法的にデータを保存するA/Bテストプラットフォームを見つけることが最も安全な方法です。

組織のプライバシーポリシーのどこにデータが保持されているかを知ることができるはずです。 一般に、データストレージ情報は「サブプロセッサ」と「サードパーティサービス」のセクションにあります。 この情報が簡単に見つからない場合、または不明な場合は、組織に連絡して説明を求めてください。

Convertは、2016年以来、ドイツのフランクフルトにデータを保存しています。これは、厳格なデータ保護ポリシーのために選択したものです。

ConvertExperiencesデータストレージカーボンニュートラルサーバー

8. A / Bテストツールは追跡しない(DNT)設定を尊重しますか?

プライバシーを心配しているユーザーのために、いくつかのブラウザには「追跡しない」機能があります。この機能をオンにすると、Webサイトや分析ツールにユーザーの行動の追跡を停止するように指示できます。

原則として、この設定は、訪問者のブラウザがマーケターや他の企業にオンラインの習慣や興味を知らせる「Cookie」を受け入れないようにする必要があります。 ただし、Webサイトはこれらの制限に技術的に拘束されていません。 したがって、ユーザーのプライバシーを考慮し、システムがこれらの要件に準拠していることを確認するためにさらに一歩進んだA/Bテストツールを見つけることが重要です。

Convertは、エンドユーザー情報の利用方法を制御する簡単な方法を用意することが重要であると考えているため、DoNotTrackをサポートしています。 私たちは、データの使用方法に関するあなたとあなたのエンドユーザーからのシグナルとして、DNTを真剣に受け止めています。

Convertは、ユーザーに次のオプションを提供します。

  1. 追跡しない(追跡をオプトアウトする)
  2. 追跡(追跡にオプトイン)
  3. ヌル(優先なし)

デフォルトでは、Webブラウザは「Null」を使用します。これは、エンドユーザーが追跡するかどうかを表明していないことを示します。 「追跡しない」が選択されている場合、Convertはスクリプト/エクスペリエンスをロードせず、代わりに他の2つのオプションをロードします。

プロジェクト構成には、「ブラウザ設定を追跡しない」という行があります。これはデフォルトでオフになっていますが、ドロップダウンメニューを使用して変更できます。

ConvertExperiencesはブラウザ設定を追跡しません

ヒント:EEAの国別リストについては、このページにアクセスしてください。

9. A / Bテストツールは匿名化された追跡を可能にしますか?

匿名化により、A / BテストツールはGDPRに準拠しながら、レポート用のデータを追跡できます。 GDPRガイドラインによると、A / Bテストツールは、「データ主体が識別できない、または識別できなくなるような方法で匿名でレンダリングされる」限り、特定のデータを収集できます。 これは、個人を特定できない人口統計データを追跡したい企業にとって重要です。

Convert Experiencesのデータ匿名化オプションを使用すると、Webサイトで、訪問者のバケット化されたエクスペリエンス/バリエーションの名前に関するすべての受信データと履歴データをクレンジングできるため、マーケティングチームとITチームはプライバシーを危険にさらすことなく重要な追跡データを保持できます。

エクスペリエンスデータの匿名化オプションの変換

10. A / Bテストツールはサーバーログに何を保持しますか?

GDPRによると、IPアドレスは個人データと見なされます。 A / Bテストツールのサーバーログに訪問者のIPアドレスが含まれている場合、それらには個人データが含まれています。

GDPR準拠のサーバーログの基本的なガイドラインは次のとおりです。

  1. GDPR準拠のログを保持するための最も簡単な解決策は、ログをまったく保持しないことです。
  2. サーバーログが必要な場合は、できるだけ短時間保持してください。 古いログを自動的に削除するサーバーログローテーションポリシーを作成します。
  3. IPアドレスやその他の個人データなしでログを収集する場合、GDPRに準拠しています。
  4. 彼らは特定の条件下で同意なしにログを収集することができますが、プライバシーポリシーでこれを通知する必要があります。

Convert Experiencesのライブログは、エンドユーザーがWebページをリアルタイムで操作している様子を追跡します。 目標がトリガーされたときのタイムスタンプ、トリガーされたイベントタイプ、エンドユーザーに表示されるバリエーションなどの情報をキャプチャします。 ライブログはIPアドレスやその他のPIIデータを保存しないため、GDPRに準拠していると見なされます。

Experiencesサーバーログの変換

11.データの所有者は誰ですか?

GDPRの主要な要件の1つは、個人データを処理するための適切な測定を実施することです。 EUでの消費者取引にリンクされたデータは、EUまたはGDPRが適切と見なすデータ保護措置を講じた国に物理的に保存する必要があります(ユーザーがデータを他の場所に保持することに同意した場合を除く)。

このルールは、EUに拠点を置いていない企業にいくつかの課題をもたらしますが、これらの問題のいくつかは、明確なデータ所有権ポリシーを備えた分析パッケージを使用して軽減できます。

Convertは、定義された所有権ステートメントを配置することにより、ユーザーに安心感を与えます。 これは、「お客様の書面による明示的な承認なしに第三者とデータを共有することはなく」、「要求に応じてサービスの購読を解除したお客様に関連するデータを削除する」ことを示しています。

12. A / Bテストツールは現在の技術スタックと統合できますか?

新しいA/Bテストツールが、CMS(コンテンツ管理システム)やeコマースプラットフォームなど、残りの技術スタックで適切に機能することを確認する必要があります。 現在の技術スタックを新しいソリューションに接続するにはコストがかかる可能性があるため、現在使用しているすべてのツールのリストを作成し、統合またはAPIを使用して新しいツールと同じ統合を再作成できるかどうかを確認してください。

調査を行うときは、次の質問に留意してください。

  1. 選択したツールは、CRMなどのシステムの他の部分とどの程度適切かつ迅速に統合されますか?
  2. そのような接続を可能にするための承認された統合はありますか? そうでない場合は、コードを変更して機能させることができますか?
  3. 必要に応じて、データを別のツールに簡単に変換することは可能ですか?
  4. ベンダーロックインの証拠や、データを別のプロバイダーにシフトする際の問題はありますか?

Convertは100以上のツールと統合されており、それぞれについて、統合を実現する方法に関する具体的な手順を提供します。

ConvertExperiencesツールの統合

13. A / Bテストスクリプトをセルフホストするオプションはありますか?

Software-as-a-Service(SaaS)とセルフホスティングのどちらを選択するかは難しい場合があります。 コスト、使いやすさ、利便性を考えると、ソフトウェアの大部分をクラウド経由で提供するのは理にかなっています。 ただし、SaaSは、政府や銀行などの一部の企業や組織にとって最良の選択ではない場合があります。

オンプレミスのA/Bテストソリューションは、データとストレージの場所を完全に制御することを望む企業にとって最も好まれるオプションです。 GDPRへの準拠という点でも最も簡単です。

これらの明確な質問を自問してください。

  1. A / Bテストツールでクラウドホスト型ソリューションを使用することは許可されていますか?
  2. インフラストラクチャでツールをホストするためのリソースはありますか?
  3. プランに含まれるデータ制限を知っていますか?

Convertを使用すると、テストをローカルで開発できることをご存知ですか?

14.国際データ転送は許可されていますか?

現在、データ転送は非常に一般的であるため、ほとんどの人はデータ転送が行われていることにさえ気づいていません。 それでも、それらは扱いが面倒である可能性があり、元のデータ収集契約(データの場所と同様)で合意する必要があります。

最近まで、企業はプライバシーシールドフレームワークを使用して、事前の承認を必要とせずにEUとスイスから米国にデータを送信していました。 しかし、2020年に、ヨーロッパの裁判官は、アメリカのデータ保護が不十分であり、フレームワークを無効にしたと判断しましたが、これらの危険なデータ転送は他の法的理由で依然として発生しています。

潜在的な脅威を回避するために、A / Bテスト会社は、設計によるデータ保護の戦略を使用する場合があります(これについては次のセクションで説明します)。それ以外の場合は、同意を要求し、データの保存場所と移動場所を指定できます。

Convertはプロアクティブなアプローチを採用しており、アプリ内メッセージを通じてアクティブユーザーとトライアルユーザーに情報を提供し続けます。 幸いなことに、EUデータ転送がすでにSCC(EU標準契約条項)でカバーされているクライアントに対しては、何もする必要はありませんでした。

15.設計によるデータ保護とデフォルトは尊重されていますか?

設計によるプライバシーの概念は、プライバシーに配慮したA/Bテストツールの中心です。

私たちは、事後にプライバシーの侵害に対処するよりも、プライバシーの侵害を防ぐことを好みます。また、データの最小化と目的の制限を使用して、積極的に行動し続けます。

データの最小化とは、特定の目標を達成するために必要なデータのみを処理することを意味しますが、目的の制限とは、データを処理する前に、データを処理し、記録し、人に通知するという目標を特定することを指します。

収集および処理されたデータは、取得されたタスクの期間中のみ維持する必要があります。

設計によるデータ保護では、処理の計画段階で技術的および組織的な保護手段を使用する必要があります。 これにより、組織はプライバシーとセキュリティのメカニズムを最初から確実に導入できます。 具体的な手順はユースケースによって異なりますが、データの匿名化、データの監視、またはA/Bテストソフトウェアへの新しいプライバシー保護機能の追加が含まれる場合があります。

では、どのA / Bテストプラットフォームがプライバシーに優しいのでしょうか?

ドイツ国内のウェブサイト、デジタル製品、またはモバイルアプリからデータを収集して分析する方法を探している場合は、選択するプラットフォームが重要です。

ほとんどのA/Bテストソリューションはプライバシーを念頭に置いて構築されておらず、主要なプラットフォームは特定のもの(データの匿名化や所有権など)を正しく取得しますが、他の領域(データの場所など)では不十分です。

幸いなことに、最近では、データのプライバシーを維持しながらWebサイトでエクスペリエンスを実行できるA/Bテストソフトウェアに対する需要が高まっています。 これは、プライバシーに配慮したA/Bテストツールがこれまでになく利用できるようになったことを意味します。 簡単な要約については、最も重要なメトリックを含む以下の表を参照してください。

A-Bテストプラットフォームのプライバシーに配慮した表
Banner-for-Tools-Comparison-Blog
Banner-for-Tools-Comparison-Blog-mobile