セキュリティ関連法規制が進む中でのEnsightenの見解【後編】

コンセントマネジメントツールの一つとして、グローバルでも高い評価を得ており、注目度の高い『Ensighten』。COOのMatthew Hauck氏、Principal Technical ConsultantのRandy Ransom氏が来日した際に行ったインタビューを前後編でお送りしています。今回は後編です。

前編では、世界各国で施行され始めているセキュリティ法規制について「グローバル規模で同じ方向に進み始めている」と話していた、Matthew Hauck氏。企業のマーケティング担当者にとって重要なことの一つは、企業と顧客との信頼関係を築くことであり、そのためには顧客データ管理を徹底的に、明確化していくことが欠かせないと言います。

今回の後編では、Ensightenのツールとしての強みや今後の機能追加、また、各国で施行され始めているセキュリティ法規制に対し、日本企業と海外企業でどのように対応が異なるのかについてご紹介します。

Ensightenで実現可能なのは「確実なデータガバナンス」

ーこれまでのお話をふまえて、世界各国のセキュリティ法規制に対し、Ensightenではどのような対策が可能なのでしょうか。

Hauck氏:
Ensightenの強みの一つは市場における成熟度が高いということです。 先ほども申し上げたように、Ensightenでは2013年にPrivacyメニューにて特許を取得して以来、7年近くにわたってをデータ・セキュリティを扱ってきているわけです。 そのため、この数年で登場してきたような企業やサービスと異なり、幅広い範囲で企業の課題に対応できるのです。
長きに渡って培ってきた経験や技術があるからこそ、Ensightenをきちんと活用してさえいれば、わざわざGDPR、CCPAに特化した対策を取るまでもないという状態にすることができるのです。

忘れてはいけないのは、先ほどもお伝えした通り、消費者には、自身のデータを個人情報として、提供先の企業側にきちんと管理してもらう権利があり、逆に企業側には、提供された個人情報を透明性を持って管理する責任があるということです。 国や地域によって法規制の内容が細かな部分で異なるので、ツールとしては、最新のものに合わせて随時更新は行っていますが、顧客と企業の個人情報の取扱いに対しての根本的な考え方は一貫していると言っていいでしょうね。

ー競合が増えている現在、Ensightenが他社のツールと大きく異なる特徴はどのようなものでしょうか。

Hauck氏:
最も大きな違いは、データガバナンスにおける取り組み方だと言えるでしょう。

Ensightenでは、ブラウザレベルでのデータ管理を実現しています。 許可されていない第三者に対してのデータ流出を目的としたリクエストが行われようとした場合でも、そのリクエスト自体を無効にしてしまうことが可能です。 この「リクエストを無効にする」技術こそが、2013年に特許を取得したものあり、Ensighten社が培ってきた経験の結果でもあるのです。 顧客データが不用意に流出してしまうことを防げるため、顧客側からデータのオプトアウト(第三者への提供の停止)や削除の依頼があった場合でも、即座に対応することが可能になります。

他社のツールにおいてもデータガバナンスを謳っているものがありますが、大抵の場合、実質的にはデータの流れまでは管理しきれていない部分が否定できません。 他社の技術ではデータの流出をブラウザ側で防ぐことは難しく、ベンダーとの間で「データを許可のない第三者に渡さないこと」と「合意」しながらも、実際にデータの第三者への提供を行うかどうかの判断はベンダー側に任せるしかないというケースが少なくありません。 その場合、ベンダーを通じて意図せずデータが流出してしまうことがあり、自社で顧客データが管理しきれなくなるリスクが発生してしまうのです。

一方、タグマネジメントという面では、Ensightenにてホワイトリスト運用を実装することであらかじめ把握しているタグ以外は一旦ブロックし、ウェブサイトの安全性を維持することが可能です。

この機能を他社のタグマネジメントツールと比較した場合、大きく異なるのは想定外のタグが埋め込まれた場合の対応でしょう。 他社のツールでもホワイトリスト運用に似たものが実装可能ですが、例えばアプリやウェブサイトなど、タグマネージャー外の環境に例えば悪意のあるタグを埋め込まれたような場合にはツール自体ではブロックができないことがほとんどです。

Ransom氏:
Ensightenは他社のツールとの連携が必要なく、自立したツールです。 そのため、タグマネージャー機能で把握しているタグであるかどうかに関わらず、許可・ブロックといった対応が可能なのです。

何らかの機能で他社のツールとの連携が必要な場合、そのツールの仕様変更などに影響を受けてしまうことが考えられますが、そういったものが全くありません。 これはEnsightenの強みの一つといえると思いますね。

ー近い将来、Ensightenに追加される予定の機能などはありますか?

Hauck氏:
現在Ensighten社として注目しているものの中で一つ大きなものを挙げるとすれば、データ流出を仕掛けることで企業などの収益に悪影響を与えるような仕組みです。

昨今、カスタマー・ハイジャッキング(※不正な広告等を通して、ウェブサイトに訪れた顧客を競合他社のサイトへ誘導する手法)が多発していますが、Ensightenではその仕組みを把握し、ウェブサイトから情報が流出してしまわないよう対策を講じています。

その上で、次の段階としては、第三者がウェブサイトに悪意のあるコードを挿入し、情報やユーザーを奪おうとした際の対策に取り組もうとしています。2018年に多く見られたMagecartによる攻撃などは、ウェブサイトへのコード挿入によりデータを盗み取ろうとするケースとしてとても分かりやすいものの一つです。Magecart攻撃が発覚してから、Ensightenではデータの「抜け穴」をふさぐ機能を追加で実装しました。

敵も賢いですから、トラブルが発生してから対応するだけでは足りません。そのため、Ensighten社内には各種ブラウザのアップデート等の調査チームを設けています。近い将来にリリースされる新たな技術やサービスについてあらかじめ調査をし、対応することで予測に基づいた危機管理ができると考えています。

今、日本企業が意識すべきは「各国のセキュリティ法規制が持つ意味」

ーセキュリティ法規制への対応状況や考え方について、日本企業と海外の企業とで異なる印象はありますか?

Hauck氏:
企業のマーケティング担当者としては、できることならこういった法規制に対応せずに済ませたいというのが本音でしょう。これはどこの国でも同じだと思います。これまで10年以上の間、マーケティングの世界では「顧客データをいかに得るかが重要」「データをもとに顧客と一対一の関係性を築いていかなければならない」と言われてきたわけですから。

日本のような国で今必要だと感じるのは、各国で制定されてきているセキュリティ法規制がどのような意味を持っているのか、企業側がきちんと知ることでしょう。例えばGDPRにおいては、EU市民の権利を守ることが大前提となっています。EU市民であれば、アメリカの屋台でクレジットカードを使用したといったような場合でも、カード情報等の個人情報は保護されなければならない。各国の法律で権利を認められたユーザーが世界中のあらゆるウェブサイトを訪れるわけですから、日本企業だから無関係とは言っていられないはずです。

ー今回の来日を通して日本企業に対して受けた印象はいかがでしょうか?

Hauck氏:
今回、法規制対応を検討されている日本企業に何社か訪問させていただきましたが、改めて強くお伝えすべきと感じているのは、法律が存在するか否かに関係なく、データ流出への対策は必ずしなければならないということです。

GDPRやCCPAといった法規制が存在しなかったとしても、顧客データを流出させてしまった場合のコストは莫大なものになります。特に機密データに値するものなら、訴訟により何億円、何十億円といった支払いが発生する可能性もありますし、機密なデータほどでない場合でも、公的に謝罪を行ったり、顧客に対する説明をする必要が出てきますし、企業にとっては恥ずべき事態です。 本来は自社の商品やサービスについてなど、顧客に対して企業としての方向性やメッセージを伝えるはずの時間を、データ流出の謝罪や説明に使わなければならなくなるのは明らかな機会損失です。

そういった意味で、法規制が存在するか否かは関係ありません。データガバナンスと顧客データ管理をきちんと行うことは企業として当たり前のことではないでしょうか。

Ransom氏:
正直なところ、日本国内ではまだ「国内法が整備されていないから、企業としても本格的には対策していない」というケースが多い印象ですね。ただ、日本でも2020年に個人情報保護法が改正されるとのことですし、これから本格的に取り組んでいく企業は増えると考えています。

ー2018年のGDPRに続き、今年1月にはアメリカのCCPAが施行、また日本国内でも今年は個人情報保護法の改正が行われるなど、各国でセキュリティ法規制が整備され始めています。企業としては、グローバルのトレンドとしてどのような方向に進んでいるかを考えた上で、いかに早く対策を講じられるかが重要になってきますね。
本日はありがとうございました。

あわせて読みたい記事