GDPRの具体的対応〜不測の流出を防ぐためにピギーバックを理解する〜

GDPR(EU一般データ保護規則)の施行ももう目前となりました。施行日は2018年5月25日、施行まで残り2週間もありません。 これまでも本ブログではGDPR関連記事を掲載しているため、ぜひ過去記事もご覧いただければと思います。

理解しておくべきピギーバック(ピギーバッキング)

ピギーバック(ピギーバッキング)というデジタルマーケティング用語を聞いたことはありますか? 元々の用語としては「ピギーバック輸送」といった使い方で、荷物を積載したトレーラーを貨物列車に載せて運ぶ、と言うものです。 日本的には親亀の上に子亀、子亀の上に孫亀をイメージしてもらえれば分かりやすいでしょうか。

ピギーバック

ビギーバックの語源としては、「Pick pack」でおんぶするといったことから派生したようです(諸説あり)。 転じて、ピギーバックは、デジタルマーケティングでは、タグの中にタグを配置するという使い方をする場合に使います。 この手法自体はメリットがあり、普段は発火しないものの、とあるタグが発火する際に同時に発火させる事ができ、通信負荷を下げるなどの目的で使われます。

不正に近いピギーバック

何事も正しく使用する方法もあれば不正(に近い)使用方法もあるものです。 タグの使い方では、事業者に対して第三者がタグを提供する際に、親のタグ(タグAと仮称)を隠れ蓑にし、ひっそりと別の不正なタグ(タグBと仮称)も発火させるという手法があります。このようなタグAの後のタグをまとめてFourth Party Tagと呼びます。

具体的なシーンは次のようなものです。
事業者と第三者でやり取りがあり、事業者サイトにタグを埋めることが必要になりました。第三者は一見正当なタグAを事業者に提供します。しかし、第三者はそのタグAを隠れ蓑にタグBを仕込んでおきます。事業者からは一見タグBが見えません。そのまま事業者がタグAを埋めた後、事業者サイトでタグAが発火した際には人知れずタグBも同時に発火する。ということになります。

第三者は事業者の知らないところで、例えばユーザーからの情報を手に入れるということが出来てしまうのです。勿論、タグBの中にタグCを、更にタグCの中にタグDを…どこまでも仕込むことも可能です。第三者に悪意がなくとも、第四者、第五者に悪意がであると、結果として4thPartyTagを経由し、事業者の知らないところで情報が事業者外へ流れていってしまうことになります。

Ensighten
あるサイトのタグの経由を図解したもの

GDPRとピギーバックの関係とは

GDPRでは個人情報の厳格な取り扱いを求めています。事業者がユーザーから個人情報を取得するには、大前提としてユーザーの同意が必要です。そして、同意を取得する際には、どういった情報をどういった目的で取得するのかをユーザーに伝達する必要があります。無論、伝達以上の用途で使用することは許されません

ここで、もし事業者サイトにピギーバックで仕込まれたタグが埋まっていたらどうでしょう? せっかく事業者がプライバシーポリシーなどで、取得する個人情報とその用途をきちんとユーザーに伝達していたとしても、モレがでてしまうことになります。 そしてモレが出るということは、GDPR違反とみなされる可能性が高くなります

事業者はデジタル環境を構築する際には、そのタグがピギーバックで見知らぬタグを発火させていないかを事前にチェックすることが必要になるのです。

そもそも、今現在でも事業者サイトにピギーバックで仕込まれたタグが入っていないかを確認しなければならないのは言わずもがなです。

デジタルツールで防ぐピギーバック

如何にタグのマネジメントを厳格に行っていたとしても、3rdPartyタグ(タグB)までならばまだしも、4th,5th,6th…と続いてしまっていっては、人的にどうにかするのは難しいところもあるでしょう。 GDPR対応ツールと謳う製品も多く出てきていますが、アンダーワークスでは少なくともピギーバックにも対応出来るGDPRツールではEnsightenが一押しと考えています。

Ensightenは母体がタグマネジメントツールであり、その技術をGDPR対応用のツールに転用してリリースしています。Ensightenを一押しできる特徴が2つあります。

  • タグマネジメントで培った技術力から、ピギーバックも含めタグを正しく制御する技術を導入
  • Ensightenをタグマネとして導入する必要がなく、現状他タグマネをしつつ使用していても制御が可能

Ensightenの詳細はホワイトペーパーを御覧ください。

事業者は、自分自身は正しくGDPR対応していると思っていても、抜け道を見逃しているかもしれません。これからのマーケターは各種デジタルツールの選定、実装はより一層、十分に慎重になることが求められることになるでしょう。

サービス:アンダーワークス提供のGDPR対策をみてみる。

ホワイトペーパー:マーケティング担当者がGDPRを遵守し、GDPRの価値を理解するためのガイドを入手する。

 

あわせて読みたい記事