Optimizelyプライバシー:Optimizelyはプライバシーをどのように処理しますか?
公開: 2022-02-09
A / Bテストプラットフォームが高度化するにつれて、それらを取り巻くプライバシーの懸念も高まります。
Optimizelyは、A / Bテスト分野で最も人気のある最適化プラットフォームの1つであるため、プライバシーに対するそのスタンスを理解することが重要です。 大きな力には大きな責任が伴います。 そして、大きな責任を伴うことで、プライバシーの必要性が高まります。
この記事では、Optimizelyがプライバシーにどのようにアプローチするか、およびこのデジタルエクスペリエンスプラットフォームを選択する前に知っておく必要があることを評価します。
Optimizelyが今日の主要なプライバシー法に準拠しているかどうかを分析することから始めましょう。
Optimizely GDPRに準拠していますか?
一般データ保護規則(GDPR)は、欧州連合および欧州経済領域におけるデータ保護とプライバシーを強化および統合することを目的とした重要な規則です。 Optimizelyは、必要なビジネスおよびテクノロジーのプライバシー制御を使用して、データを保護し、GDPRに準拠します。
Optimizely GDPRはどのように準備されていますか?
GDPRコンプライアンスは、Optimizelyのサービスと設計の重要な部分です。 GDPRに準拠するために行ったいくつかの手順は次のとおりです。
- GDPRの影響を受ける特定された製品および事業領域
- データ保護責任者(DPO)を任命
- データ処理契約を書き直しました
- GDPR要件を満たすために、製品、サービス、プロセス、および手順を改善および変更しました
- そのサブプロセッサを確認しました
- ファイナライズされ、データ保護機関(DPA)に完全に準拠していることを伝達
Optimizelyはeプライバシー規制を処理する準備ができていますか?
eプライバシー規制(ePR)は、Cookieの同意、ダイレクトマーケティング、および企業間(B2B)通信に関する規則を変革するための今後のプライバシー法です。 GDPRとは異なり、電子通信の非個人データも規制します。
企業がGDPRに取り組んでいるとき、この新しい規制の準備ができているかどうかを確認するのは興味深いことです。 OptimizelyがePrivacyを処理する機能を備えているかどうかを判断するには、まず、収集したデータを評価する必要があります。
訪問者データ
Optimizelyは、Webサイトへのアクセスを追跡し、ユーザーの行動に関する情報を収集します。 この集約された情報は「訪問者データ」と呼ばれ、次のものが含まれます。
- ユーザーエージェントデータ: Webブラウザーの種類や訪問者が使用するオペレーティングシステムの詳細など、デバイスのプロパティに基づくデータ。
- Webアドレス: Webページの場所に関する情報。
- イベントデータ:ユーザーの行動をログに記録し、訪問者がWebサイトのボタンをクリックしたか、または同様のアクションを実行したかを調べます。 これには、カスタム属性とイベントタグを含めることもできます。
- タイムスタンプ:イベントが発生した日時。
- エンドユーザーID(または訪問者ID):プロジェクトごとに訪問者に割り当てられるランダムに生成された識別番号(ID)。 これは、実験とパーソナライズのためのoptimizelyEndUserIdCookieに対応します。
- 実験IDとバリエーションID:訪問者がWebサイトにアクセスしているときにバケットした場所を特定します。
- 外部地理データ:国、都市、地域など、訪問者のIPアドレスに関連付けられた要素。
Optimizelyは、顧客が共有および受信するデータカテゴリを指定できるようにサービスを編成します。 これらのカテゴリは、必ずしもユーザーIDを明らかにするわけではありません。 ただし、Optimizelyが収集するURLに名前や電話番号などの個人情報(PII)が含まれている場合、またはPIIを含むページにリンクしている場合は、この情報も収集することがあります。
オープンプラットフォームとして、Optimizelyは、リピーター属性などの追加の訪問者データを提供します。 次のような特定の機能と構成に基づいてデータを収集します。
- 動的顧客プロファイル(DCP)
- 属性を一覧表示
- アダプティブオーディエンス
- 機能フラグ
- 統合
収集する個人データの量を最小限に抑えるために、Optimizelyは、訪問者が健康情報などの追加の個人情報または機密情報を提供することを禁止しています。
製品ユーザーデータ
Optimizelyは、ユーザーがアカウントを作成したり、ウェビナーやニュースレターにサインアップしたりするときに、ユーザー名、名前、仕事用メール、仕事用連絡先、役職などの基本情報を収集します。 これは製品ユーザーデータと呼ばれ、次のように項目化されています。
- アカウントを登録および作成する場合: Optimizelyvisitorsは、個人を特定できる情報を開示することなく、製品およびサービスの説明を読むことができます。 ただし、Optimizelyと取引して顧客になるには、アカウントを作成してプロファイルを設定する必要があります。 サインアップすると、名前、組織の名前、住所、および電子メールアドレスが要求されます。 また、パスワードを選択する必要があります。 登録ユーザーになると、プロファイルを更新して、ニックネームや特定のユーザー設定などの詳細情報を提供できます。
- ウェビナーに登録する場合、またはニュースレターをリクエストする場合:訪問者と顧客の両方がOptimizelyウェビナーに登録するか、ニュースレターをリクエストできます。 参照用にEメールアドレスのみをOptimizelyに保存します。
ePrivacyはPIIデータの収集を制限し、Optimizelyではユーザーが訪問者データを介してこのデータをURLに渡すことができるため、実際にはePrivacyに準拠していません。 代わりに、今後の多くの規制に備えるにはまだ長い道のりがあります。
Optimizelyは、EUのプライバシーを重視するブランドにとって良い選択ですか?
先に述べたように、eプライバシー規制はまだデータ保護法ではありません。 ただし、通過すると、EU官報に掲載されてから20日以内に採用され、その後2年間の猶予期間が適用されます。
したがって、ほとんどの企業が考えていることとは反対に、eプライバシー規制は、施行時にGDPRに取って代わるのではなく、補完するものです。
そのため、発効日まで、EUおよび世界中のすべてのプライバシーに配慮したブランドがOptimizelyを使用できます。 ただし、Optimizelyは、プライバシー基準の高い企業に関連性を保ち、適切な状態を維持するために、収集したデータに一貫性のある変更を加える必要があります。
ユーザーのプライバシーを尊重することに関して、どのA / Bテストツールプロバイダーが最高の実績を持っていますか? OptimizelyがConvertExperiences、VWO、およびABTastyにどのように対抗するかをご覧ください。
最適化されたHIPAAコンプライアンス
医療提供者は、医療情報に関連するデータセキュリティのリスクのために、デジタルプラットフォーム間でパーソナライズされたコンテンツを配信するのに苦労しています。 医療保険の相互運用性と説明責任に関する法律(HIPAA)は、医療会社の圧力を取り除き、非常に必要とされているガイダンスを提供します。
これは、名前、住所、連絡先の詳細など、サードパーティのサービスプロバイダーに開示される保護された健康情報(PHI)を保護します。
Optimizely HIPAAに準拠していますか?
HIPAAに準拠するには、すべてのサードパーティベンダーとヘルスケアプロバイダーが、機密性の高いヘルスケアデータを保護するために設計された書面による契約であるビジネスアソシエイト契約(BAA)を締結する必要があります。
OptimizelyはHIPAAに準拠する必要がありますか?
OptimizelyがHIPAAコンプライアンスを必要とするかどうかは、収集して使用するデータのタイプによって異なります。 基本的に、OptimizelyはHIPAAに準拠しておらず、利用規約に準拠していないことを具体的に示しています。
HIPAA非準拠。 お客様は、Optimizelyがビジネスアソシエイトまたは下請け業者ではなく(これらの用語はHIPAAで定義されているため)、OptimizelyサービスがHIPAAに準拠していないことを認めます。 「HIPAA」とは、医療保険の相互運用性と説明責任に関する法律、および更新または置き換えられた関連する修正と規制を意味します。 「規制対象データ」には、HIPAA規制対象のデータと、更新または置換されたグラム・リーチ・ブライリー法(または関連する規則や規制)の対象となるデータが含まれます。
HIPAAの非準拠をOptimizelyでどのように補正しますか?
Optimizelyのコンテンツ推奨事項は、データセキュリティの懸念に対処し、次の方法でHIPAAへの違反を補います。
- PHIの保存:セッション中のパーソナライズでは、PHIがコンテンツをパーソナライズする必要はありません。
- クロスパーソナライズ:セッションが期限切れになると、パーソナライズは停止します。
- Episerverコンテンツインテリジェンス:サイトにアクセスするたびにファーストパーティのインテントデータを提供するため、エンゲージメントの影響を拡大できます。
- パーソナライズのスケーリング:ルールは、変化する患者の状況や医療の進歩に対応できません。 Optimizelyは、機械学習(ML)アルゴリズムを使用して、無限の「if / else」ルールでチームを混乱させることなく、誰がどのコンテンツを取得するかを決定します。
Optimizely-Episerver Content Recommendationsが救いの手を差し伸べ、クロスパーソナライズとダイナミックヘルスケアのための効果的なソリューションを提供します。
訪問者はOptimizelyTrackingをオプトアウトできますか?
訪問者は、Optimizely API呼び出しを介して、Optimizelyトラッキングを簡単にオプトアウトできます。
オプトアウトとはどういう意味ですか?
- ユーザーは実験に参加しません
- バリエーションの変化は見られません
- プロジェクトJSはページ上で実行されません
- ユーザーは追跡されません
- Optimizelyを実行する場合は常に、オプトアウトされたままになります(つまり、上記のすべてのポイントが適用されます)。
タグマネージャなしでOptimizelyWebを使用する
サイトでタグマネージャを使用しない場合は、 optimizelyOptOutというCookieを「true」に設定することで、サイト訪問者を追跡しないようにOptimizelyに指示できます。 JavaScriptスニペットコンテンツを実行する前に、このCookieをOptimizelyでチェックします。 Cookieを直接設定するのではなく、公式にサポートされているoptOutAPIを使用することをお勧めします。
ページのOptimizelyスニペットの上にコードを追加する必要があります。 それ以外の場合、Javascriptスニペットが実行され、訪問者の追跡Cookieとストレージアイテムが設定されます。
optOutAPIの使用方法を見てみましょう。
<スクリプト>
window ["optimizely"] = window ["optimizely"] || [];
window ["optimizely"]。push({
"タイプ": "optOut"、
"isOptOut":true
});
</ script>
<script src =” https://cdn.optimizely.com/js/{project_id].js”> </ script>訪問者がCookieの追跡をオプトインした場合、optimizelyOptOutのCookie値を「false」に書き換えることにより、その訪問者の追跡を再度有効にすることができます。
たとえば、Cookieバナー(訪問者追跡の同意を求めるオーバーレイ要素)を表示する場合、次のコードで同意を取得した後、optOutcookie値をfalseに書き換えることができます。
window ["optimizely"] = window ["optimizely"] || [];
window ["optimizely"]。push({
"タイプ": "optOut"、
"isOptOut":false
});技術的には、このAPIを、訪問者が追跡に同意したときに実行されるロジックに関連付けます。
タグマネージャでOptimizelyWebを使用する
タグマネージャを使用すると、訪問者が同意した場合にのみ、条件付きロジックを使用してOptimizelyJavaScriptスニペットをロードできます。
Cookieのオプトインは、すべてのリージョンまたはすべてのCookieに必要なわけではないため、OptimizelyはデフォルトでoptimizelyOptOutCookieを設定しません。 サイトの所有者は、このCookieを設定する必要があるのか、必要に応じて上記の方法のいずれかを使用する必要があるのかを判断する責任があります。
OptimizelyOptOutをデフォルトで「true」に設定した場合(上記のとおり)、OptimizelyスニペットはoptOut APIが「false」に設定されている場合にのみ「通常」(サイトの訪問者を追跡)で実行されます。
オプトインソリューションでは、Optimizely Javascriptスニペットは、最初のページの読み込み時に無効になるため、訪問者がオプトインした後、ページの再読み込み時にアクティブになります。
Optimizelyフルスタック
Optimizely Full Stackは実験のためにCookieに依存しないため、eプライバシー規制のCookie関連の要件はこの機能に影響を与えません。
それでも、EUのフルスタックユーザーは、GDPRに準拠していることを確認する必要があります。 EU内で個人データを処理するには、企業が「正当な利益」を持っている必要があります。
データ管理者として、Optimizely Full Stackの実験に個人データを含める前に、同意を処理するための法的義務を果たすのは企業の責任です。
このため、実験にはユーザーエクスペリエンスを向上させるためのファーストパーティの取り組みが含まれ、ユーザーデータをサードパーティ(広告パートナーなど)と共有しないことを明確に示す必要があります。
また、ユーザーが同意を取り消す場合は、フルスタック実験からユーザーを除外する必要があります。
Optimizelyは、プライバシーの面で競合他社とどのように競合しますか?
Optimizelyはデジタルエクスペリエンスの巨人かもしれませんが、特にプライバシーを扱う場合は、その代替手段に注意する必要があります。 また、突然の価格変更について顧客を暗闇にさらした歴史もあります。 したがって、多くの企業が代替プロバイダーを検討しているのも不思議ではありません。
参考までに、OptimizelyのプライバシーオプションをConvertExperiencesおよびVWOのプライバシーオプションと比較します。 また、以下を調べます。
- 各ツールのサーバーの場所
- サードパーティのCookieの処理方法
- デフォルトのクロスドメイントラッキング
- ユーザーが追跡をオプトアウトできるかどうか
| Optimizely | エクスペリエンスを変換する | VWO | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| シングルサインオン(SSO) | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| EUベースのサーバー | バツ | ✓✓ | バツ | ||||||||||||||||||||
| 非PIICookieの有効期間 | 6ヵ月 | 6ヵ月 | 100日 | ||||||||||||||||||||
| サードパーティのCookie | ✓✓ | バツ | ✓✓ | ||||||||||||||||||||
| ブラウザの設定を追跡しない | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| オプトアウト機能 | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| GDPRコンプライアンスアプリ内ガイダンス | バツ | ✓✓ | バツ | ||||||||||||||||||||
| データ処理契約(DPA) | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| PCI-DSSコンプライアンス | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| eプライバシーコンプライアンス | バツ | ✓✓ | バツ | ||||||||||||||||||||
| データの匿名化 | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| デフォルトで許可されるクロスドメイン追跡 | ✓✓ | バツ | ✓✓ | ||||||||||||||||||||
| デフォルトで許可されるセグメンテーション | ✓✓ | バツ | ✓✓ | ||||||||||||||||||||
| 忘れられる権利 | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| データ侵害の通知 | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| データ保護責任者の指名 | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| 国境を越えたデータ転送 | EU-USおよびSwissU.S。 プライバシーシールドフレームワーク | EU-USおよびSwissU.S。 プライバシーシールドフレームワーク | EU-USおよびSwissU.S。 プライバシーシールドフレームワーク | ||||||||||||||||||||
| 設計とデフォルトによるデータ保護 | ✓✓ | ✓✓ | ✓✓ | ||||||||||||||||||||
| 機密性の高い個人データ | バツ | バツ | バツ |
Episerverの取得後のプライバシーにOptimizelyでどのような変更が加えられましたか?
2020年9月、EpiserverはOptimizelyの買収を発表しました。 1年後、Episerverは、ブランド認知度を高めるためにOptimizelyとして再導入されました。
Optimizelyの買収とブランド変更により、パーソナライズとコマース機能の必要性がより明らかになるにつれて、EpiserverとOptimizelyの両方の顧客に機会が生まれました。
プライバシーの観点から、Optimizelyは買収以来大幅に成長しています。
- Episerverは、設計とデフォルトでプライバシーを尊重します。 GDPRおよびその他の適用されるプライバシー法に準拠し続けるために、毎週新しいポリシーをリリースします。
- データ保護、セキュリティ、プライバシー、および個人情報に関する年次会議、トレーニング、セミナー、ウェビナー、および教育シリーズを開催しています。
- Episerverはまた、Optimizelyのデータ処理契約(DPA)を更新して、該当するすべてのベンダーがデータ保護とプライバシー規制に署名し、コンプライアンスを確保できるようにしました。
- Episerverは、GDPRおよびカリフォルニア州消費者プライバシー法(CCPA)に基づくデータ主体のアクセスおよび消去要求に関するOptimizelyのプライバシーに関する声明とポリシーを強化し、EUおよびカリフォルニアの居住者にアクセス権と削除権を提供しました。 現在、同意を取得し、必要に応じて情報を削除するための明確なモデルがあります。
- Episerverのセキュリティインシデント対応チーム(SIRT)は、潜在的なセキュリティまたはプライバシーインシデントを処理できます。 すべてのセキュリティインシデントを高優先度(P1)として分類し、専用チームにエスカレーションします。
- EpiserverはEpiserverTrustCenterを立ち上げ、顧客データを保護するための統合されたセキュリティ、コンプライアンス、およびプライバシー管理に重点を置いています。
EpiserverはOptimizelyを刷新し、GDPRコンプライアンスとプライバシー慣行の水準を引き上げて、強力な法的根拠を提供しました。
Episerverは、GDPRコンプライアンスを、製品開発とマネージドサービスの両方でグローバルに日常的に優先しています。
Peter Yeung、副社長、法務顧問、およびEpiserverのグローバルデータ保護責任者
Peterはさらに、Episerverは規制の厳しい業界や国で先駆者として長い歴史があり、コンプライアンスを念頭に置いて設計されたソリューションを生み出していると付け加えました。 これは、長年にわたる広範なクラウドインフラストラクチャの経験と知識と、データ保護、セキュリティ、およびコンプライアンスへの深い取り組みを組み合わせたものです。
将来の課題へのステップアップ
Optimizelyは、GDPR、CCPA、個人情報保護法(LGPD)、およびその他の該当するプライバシー法を遵守するために多大な努力を払ってきました。
買収後、データのプライバシーとセキュリティを確保するために強化された可能性がありますが、今後のeプライバシー規制についてはほとんど考慮されていません。 Optimizelyは、実験とデータ収集のためにレベルアップする必要があります。
データは、テスト仮説の作成から、よりパーソナライズされたユーザーエクスペリエンスの提供、テストの有効性の追跡まで、すべてを推進します。 つまり、実験チームはデータのプライバシーを優先する必要があります。
GDPRは一般的な(個人の)データのみを扱いますが、eプライバシーはGDPRを補完し、データのプライバシーを幅広くカバーおよび監査することを目的としています。 eプライバシー規制は、マーケティング、追跡技術の全リスト(Cookieを含むがこれに限定されない)を対象としており、透明性と肯定的な同意を得て、プロファイリングと行動広告に対抗することを目的としています。
OptimizelyがePrivacyを考慮に入れていない限り、パズルの本質的な部分が欠けています。 そして、それが今日始まったとしても、この作品を設置するのは簡単ではありません。
