マーケティングオートメーション導入に必要なセキュリティ・コンプライアンス対応
マーケティングオートメーション(MA)を導入すると、一連のマーケティングプロセスを自動化したり、効率良くリードを創出・育成するための取り組みが行えるため、デジタルマーケティングにおける施策効果を最大限に高めることができます。ただし注意しなければいけないのが、個人情報を扱うが故にコンプライアンス違反が発生してしまうことです。
そこで本稿では、マーケティングオートメーション導入に必要なコンプライアンス対応についてご紹介します。
コンプラアンスとは?
「コンプライアンス」という言葉は最近よく耳にするもので、日本語では「法令遵守」という意味です。そのままの意味として捉えれば「法律を守ること」ですが、最近では企業倫理や社会常識等を護って行動することも指します。
具体的には個人情報漏えい、粉飾決算、偽装事件、衛生管理問題、不正受給、賃金未払いなどがコンプライアンス違反にあたります。これらの違反が発生すると企業の社会的な信用が一気に落ちて、事業回復が難しくなります。ちなみに東京商工会議所が発表した調査(2017年度「コンプライアンス違反」倒産)によれば、2017年度のコンプライアンス違反を一因とした倒産は全体で195件あったようです。
倒産まで至らなくても信頼低下によるダメージは計り知れなく大きいため、コンプライアンス違反を起こさないために、様々な体制が必要です。
個人情報保護法と特定電子メール法
マーケティングオートメーションでは大量の個人情報が管理されるため、コンプライアンス違反が起こらないために色々な管理項目に注意しなければいけません。主に2つの法律が関係しているので、ここでご紹介します。
個人情報保護法
個人情報保護法(個人情報の保護に関する法律)は2005年4月1日に最初に施行され、個人情報の適切な取り扱い等について定めた法律です。2017年5月30日に法改正がされています。
同法律では個人情報を「「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と定義しています。ちなみに他の情報と組み合わせることで個人を識別できるものも個人情報の一種です。
個人情報保護法上の義務を負うものを「個人情報取扱事業者」と定義しており、改正前は5,000人分以下の個人情報を取り扱う企業は個人情報取扱事業者ではないと判断され、法令の適用対象外でした。それが先の法改正に伴い、5,000人分以下の個人情報を取り扱う企業もコンプライアンス違反に該当します。マーケティングオートメーションは少なからず個人情報を扱うツールですので、個人情報保護法が適用されます。
企業が個人情報を取得する際はその利用目的を通知または公表しないといけません。どちらも行っていない場合は不当に個人情報を取得したということで、法令違反の対象になります。
さらに、通知または公表する個人情報の利用目的は明確なものでなければならず、曖昧な利用目的も通用しないので注意しましょう。たとえば「サービス改善のために利用します」などフワッとした目的では、個人情報を不当に取得しているという認識を与えかねません。その反対に利用目的が限定的過ぎると、せっかく取得した個人情報を上手く活用できなくなってしまいます。
Webサイトを活用したマーケティング施策では個人情報の他に、Webサイト閲覧時に収集するクッキー(Cookie)がありますがこれも個人情報に分類されます。なのでWebサイトには次の2点の情報を記載しておきましょう。
- クッキーを取得して収集した行動履歴と個人情報を関連付ける場合があること
- サービス向上や商品の広告配信、宣伝のためにクッキーを利用すること
欧州ではクッキーを読み取る際にユーザーの承諾を得なければならず、今後は日本でも同様に法規制が行われる可能性があり、マーケティングオートメーションの導入を検討する際はクッキー法とも言われるeプライバシー指令に対応した機能を持つマーケティングオートメーションをおすすめします。
特定電子メール法
特定電子メール法(特定電子メールの送信の適正化等に関する法律)は広告や宣伝目的のメールを規制する法令です。2008年12月1日に施行されました。マーケティングオートメーションを導入することでセミナーの案内メールやフォローアップメール等、メールの一斉配信をする場合、特定電子メールの規制を受けることになります。
特定電子メールは送信先に対し、事前に配信許諾を得ることができた相手に限って送信できます。これをオプトイン規制といいます。
ただし、取引先企業の担当者や名刺の書面でメールアドレスを取得した相手等には、オプトイン規制は対象外となります。このように状況によってオプトインの取得は不要です。しかし、オプトインが無いと心象を悪くする可能性があるため、マーケティングオートメーションのメール配信リストにはオプトインを得たリードの連絡先だけを登録しておくとよいでしょう。また、どうしても営業が集めた名刺情報にメールを送りたい場合には、メールの文面に名刺交換した旨を記載するとともに、配信停止を希望するユーザー向けにしっかりとオプトアウト機能もつけるようにします。
以上がマーケティングオートメーションに関わる法令であり、これを遵守するために個人情報管理体制を強める必要があります。
マーケティングオートメーションから情報漏えいするリスクは?
マーケティングオートメーションは個人情報を扱い、それを様々な方法で活用するツールですので、サイバー攻撃を行う人からすれば格好の的になりかねません。一般的にマーケティングオートメーションはクラウドで提供されるソフトウェア製品であり、そのセキュリティはベンダーが行います。
つまり、個人情報をセキュアに保つためにはベンダーに依存するしかないのです。では、そうしたリスクを低減するために取れる行動とは何でしょうか?
セキュアな製品を選ぶ
先の通りマーケティングオートメーションの中にはクラウドで提供されている製品も多く、インターネットを通じて様々な機能を活用します。しかし、クラウド故にインターネット経由からのサイバー攻撃というリスクがあり、これを低減するためには極力セキュリティの高い製品を選ぶことが大切です。
このことからセキュリティに関する情報を公開していないマーケティングオートメーションツールの導入は避けたほうが良いと言えます。
例えば、耐障害性と可用性、アプリケーションやソフトウェアのセキュリティ、データセンターの保護状態などの公開は必要ですし、セキュリティ 監査や脆弱性評価、侵入テストなどに関するレポートも必要でしょう。
また、外部の監査をしっかりと受けているのかも確認することをお勧めします。いくらベンダーがセキュリティは問題ないと言っても信用に値するかわかりません。例えばEU・米国間プライバシー シールド フレームワークへの適合認定や、企業のプライバシー保護を評価するTRUSTe認定、データセンタープロバイダーのためのISO 27001などがそれにあたります。最近では、クラウドセキュリティプロバイダーであるSkyhighによる評価を受ける企業が多くなっています。
ID・パスワードの管理を徹底する
前述のようにマーケティングオートメーションにはクラウド製品が多く、これを扱う際はIDとパスワードの管理を今まで以上に徹底する必要があります。クラウド製品にはIDとパスワードさえあればログインできるため、個人情報に簡単にアクセスできてしまいます。
ログインする人の職種や役割に応じて細かなアクセスコントロールをしっかりと行うようにしましょう。
まとめ
以上のように、マーケティングオートメーションはセキュリティやプライバシー保護の観点から様々な対策が必要であり、さらには法令にも遵守しなければいけません。コンプライアンス違反が発生すると信用は低下し事業が低迷したり、あるいは問題が長期化し多大なコストが発生する可能性があります。
そうした事態にならないためにも、マーケティングオートメーションをセキュアに運用するようにしましょう。そうすれば最大限に利便性を高めて、安心安全なマーケティング活動を行えます。