この記事では、ユーザープロセスとペルソナの概要およびプライバシー管理に関する一般的な情報を提供します。

この記事では、主に GPDR に重点を置きます。アクセス要求および削除要求の設定および使用方法は、GDPR と CCPA で共通です。 

GDPR とは?

GDPR では多数の要件が追加されたり強化されたりしていますが、現在の EU におけるデータ保護要件の中核をなす原則は変わりません。Adobe Campaign を利用するデータ処理者に必要な GDPR 関連の機能の多くは、現在の Adobe Campaign の機能で既に対応可能ですが、GDPR へのスムーズな対応を可能にするために、この機会を活用してできる限り機能を追加しました。アドビは、顧客との連携を通して、顧客自身がデータ管理者として GDPR に対応できるようにするための協力を惜しみません。

  • データ主体 - Adobe Experience Cloud では、データ主体とは、アドビのお客様、消費者、またはエンドユーザーを指します。

  • データ管理者 - Adobe Experience Cloud では、データ管理者とは、アドビのお客様を指します。データ管理者は、自社の消費者(データ主体)についてのデータを所有および管理します。データ管理者は通常、プライバシー管理者など、GDPR 要求について顧客の窓口となる担当者を指定します。この担当者は、通知をおこなったり、エンドユーザー情報を収集するために必要な同意を取得したりする責務を担います。また、データ主体の身元を検証したり、データ主体から適切な情報を取得して Adobe Campaign など各種ベンダーに渡したりするのも、データ管理者の責務です。重要:要求者であるデータ主体の身元の確認、および要求者に返されるデータがデータ主体に関するものであることの確認は、データ管理者がおこないます。

  • データ処理者 - アドビはデータ処理者となります。アドビは法人顧客(データ管理者)との間の指示や合意に基づいてデータを処理します。

  • 同意:データ主体に関する個人データの処理についてデータ主体からの同意を得ることを指します。同意を得ることはデータ管理者の責務となります。

  • アクセス(アクセスする権利)- 主体のアクセス権とも呼ばれます。データ主体が、データ管理者が保有している自分の個人データにアクセスしたり、そのデータの情報を取得する権利です。

  • 削除(忘れられる権利)- データの完全消去とも呼ばれています。データ主体はデータ管理者に対して、自分の個人データの消去、および第三者によるデータ処理を防止するために、データ拡散の停止を指示できることを指します。

注意:アドビは法的な助言はしていません。各自社内の法務担当者と相談のうえ、GDPR に対応するために必要なすべての手続きを進めてください。

データのアクセスおよび削除要求の準備

  • プライバシー担当者の指定など、データ主体からの要求の受理や対応をおこなうためのプロセスを明確にしてください。

  • Adobe Campaign に保存されている各種の顧客データを確認し、それぞれに一意の識別子を設定してください(通常は複数あります)。

  • データ主体の身元確認に関する検証や認証のポリシーおよびプロセスを決めてください。

  • データ主体への応答がわかりやすいものであることを確認してください。

同意についての考慮事項

  • GDPR に関連するデータ取得がおこなわれるすべてのタッチポイントの一覧を作成し、必要に応じて更新してください(例えば、言語、同意の方式、同意の記録などを考慮します)。

  • すべてのマーケティング用 E メールに購読解除用のリンクが記載されていることを確認してください。

  • E メールマーケティングの戦略をグローバルに評価し、各個別地域の実装を決定してください。

データの理解

  • Adobe Campaign に取り込まれるすべてのデータのインポート元や取得元を確認し、マーケティング対策にどのフィールドが使用されているかを記録してください。

  • Adobe Campaign データベースから、使用されていないデータ属性をすべて削除してください。

  • Adobe Campaign から取得可能なデータは、受信者に対して高度にパーソナライズされたエクスペリエンスを提供するために使用してください。

  • Adobe Campaign のユーザーが自分のキャンペーンに必要なデータのみ利用でき、それ以外のデータは利用できないよう、データアクセス権を確認および更新してください。

  • Adobe Campaign の各ユーザーについて、要求されるタスクの実行に必要なアクセス権限が設定され、それ以外のタスクをおこなう権限が設定されていないことを確認してください。

特定のマーケティング活動で同意が必要となる場合、消費者の同意が有効であり(例えば、何もしないことが同意となったり、チェックボックスがあらかじめオンになっていたりすることがない)、バンドルされていない状態である必要があり、またサービス提供の条件としてはいけません。また、データを継続利用するにあたって特定の同意を更新することが必要となる場合もあります。GDPR の同意に関して強化されたこれらの要件をマーケティング業界におけるリスクと考えるよりも、新しく導入された同意要件をブランドエンゲージメントやロイヤリティ、顧客の満足度や信頼度が正しく反映される指標として捉えることができます。

Adobe Campaign には既に同意管理機能が提供されており、カスタマイズされたデータフィールドや各種サービスを利用した場合よりも詳細に同意を管理できます。各自社内の法務担当者に業務の進め方を確認のうえ、Adobe Campaign に組み込まれている機能を活用してください。例えば、Adobe Campaign のデータモデルを拡張することにより、ユーザーがオプトインしたかどうかを追跡するだけでなく、オプトインのタイムスタンプや、同意の正確な範囲を把握するための特定の指標を追跡することもできます。

標準テーブルやカスタムテーブルも含め、データ主体に関連するすべてのデータが削除されます。技術的には、integrity="own" としてデータ主体にリンクされているすべてのデータが削除されます。データ管理者は、データスキーマで定義されているリンクの整合性を変更することにより、これをカスタマイズできます(例えば、業務上正当な理由から特定のデータを削除しないようにする場合)。

Adobe Campaign のレポートは、配信ログとトラッキングログを集計したデータから計算された指標に基づいています。その結果、各ログを削除しても、レポートに表示される測定値には影響はありません。

削除要求を受け取った場合、当該データ主体に関するすべてのデータをシステムから削除する必要があります。

データ主体のデータが Adobe Campaign から消去された後に、当該データ主体が再度オプトインしたり、新しい受信者として登録することは可能です。監査証跡を使用すると、前回の削除が実行された日時や、新しい受信者が作成された日時の詳細を確認できます。

ペルソナとフロー

Adobe Campaign には、GDPR 対応に役立つ機能(アクセスする権利削除する権利同意管理データ保持および権限管理)が含まれています。

ここでは、これらの機能について説明します。また、一般的なフローや、関係する各種ペルソナ(データ主体データ管理者データ処理者)について理解しやすいように、GDPR の使用例を紹介します。

主要機能

Adobe Campaign には、GDPR 用の主要な機能が 5 つあります。

GDPR の使用例
  • アクセスする権利:データ主体は、データ管理者により取得された自分の個人データのコピーを受け取ることができます。これには Adobe Campaign に保存されているデータも含まれている場合があります。

  • 削除する権利:データ主体は、データ管理者により取得された自分の個人データを消去することができます。これには Adobe Campaign に保存されているデータも含まれている場合があります。

  • 同意管理:データ主体は、自分の個人データの処理について同意(または拒否)できます。

  • データ保持:Adobe Campaign の各テーブルには特定の保持期間が設定されています。これにより、データの保存が制限されます。

  • 権限管理:Adobe Campaign では、アクセス権限を提供することにより、どのユーザーがどのデータにアクセスできるかを管理できます。

使用例シナリオ

ここでは、GDPR に関連して提供される顧客体験のおおまかな使用例を紹介します。

GDPR フロー

この例では、Adobe Campaign のお客様として航空会社を想定しています。この会社がデータ管理者で、この航空会社のすべての利用者がデータ主体です。ここで、Laura はこの航空会社の利用者です。

この例は次のペルソナで構成されます。

  • Lauraデータ主体で、航空会社からメッセージを受け取る受信者です。Laura はリピーターですが、ある時点で、航空会社からのパーソナライズされた広告やマーケティングメッセージの受信を希望しないことにしました。そのため、航空会社に(所定のプロセスに基づいて)リピーター番号を削除するよう要求します。

  • Annデータ管理者で、Laura からの要求を受け取り、このデータ主体を識別するための有意な ID を取得して、要求内容を Adobe Campaign に登録します。

  • アドビデータ処理者です。

この例での一般的なフローを以下に示します。

  1. データ主体は GDPR 要求をデータ管理者に E メール、カスタマーケア、Web ポータルのいずれかを利用して送付します。

  2. データ管理者は、インターフェイスまたは API を使用して、この GDPR 要求を Campaign にプッシュします。

  3. Campaign が情報を受け取ると、GDPR 要求に対する処理を実行し、応答または確認通知をデータ管理者に送信します。

  4. データ管理者は、情報をレビューし、それをデータ主体に返します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

リーガルノーティス   |   プライバシーポリシー