なぜこれがあなたのデスクを直撃するのか?苦情はまずあなたに届くからです。ISPは送信者の評判を判断する。そして規制当局は、ベンダーの言い訳ではなく、クリーンなソーシングを期待しています。そこで今日は、個人情報保護法とデータブローカーについて詳しくお伝えします。
このガイドでは、点と点を結びます。データブローカーが何をするか。レジストリはどのように機能すべきか。EFF/PRCの調査結果がリスクに対して意味すること。そして、リスクとベストプラクティスを取り上げ、今日から実行できるチェックリストを示します。
EFFとPRCの調査で明らかになったこと
電子フロンティア財団(EFF)とプライバシー・ライツ・クリアリングハウス(PRC)の研究者が、すべてのマーケティング担当者が立ち止まるべき事実を明らかにした。カリフォルニア州で291社、テキサス州で524社、オレゴン州で475社、バーモント州で309社である。
リストを買ったり、データを追加したりする人にとっては赤信号だ。
これらの登録法は日光を作り出すために存在する。データブローカーをリスト化するためだ:
- 彼らが誰なのか、
- どのようなデータを販売しているのか、
- また、どのようにすればこれらのデータベースから自分を削除することができるのか。
しかし、何百もの企業が登録を省略すると、その透明性は失われてしまう。消費者は自分の詳細がどこにあるのかわからなくなり、規制当局は誰が市場にいるのかわからなくなる。
報告書はすべての非登録者の名前を公表していないが、パターンは明らかだった。何十もの企業が、ある管轄区域で登録したにもかかわらず、ほぼ同じ規則を持つ他の管轄区域を無視していた。中には、書類を提出していない州で、子会社を使ってひっそりと営業しているところもあった。
なぜ警告灯なのか?
データブローカーは、Eメールリストのレンタル、データエンリッチメント、オーディエンスモデリングなど、多くの一般的なマーケティングプロセスに貢献しています。ブローカーがある分野で規則を曲げるなら、他の分野でも手を抜いている可能性があります。ブローカーと一緒に仕事をすると、あなたの会社は調査やブラックリストにさらされたり、もっと悪いことに、プライバシーを侵害するベンダーとつながりがあるということで、世間から恥をかかされたりする可能性があります。
データブローカー登録の仕組み
このような制度がある各州は、ブローカーに以下を義務付けている:
- 連絡先の詳細を提出する、
- どのような種類のデータを扱うかを説明する、
- 同意の収集方法を説明する、
- およびオプトアウト手続きの開示。
中には、情報が正確であることを証明するために、毎年更新を義務付けているところもある。
つまり、 人々は自分のデータを誰が保有しているのかを知ることができ、彼らが望むのであれば、それを止めさせることができるということだ。
企業にとって、この透明性は倫理的なパートナーシップのベースラインとなる。ベンダーを吟味する際には、その登録記録を調べ、どのようなカテゴリのデータを取引しているかを確認し、削除要請を尊重しているかを確認することができる。
しかし、こうしたシステムはブローカーが参加して初めて機能する。プレーヤーの半分が隠れたままであれば、公開リストは不完全になり、信頼性も低くなる。
電子メール/データ同意に関する規制の状況
ほとんどの地域では、オプトインが先である。
EUでは、GDPRとePrivacy規則がEメールを個人データとして扱っているため、マーケティングを送信する前に明確なインフォームドコンセントが必要です。いつ、どのように取得したかの証拠を残しておきましょう。よりリスクの高い同意については、ダブルオプトインが最も安全です。ドイツでは裁判所の判決で義務付けられており、オーストリアでは義務として扱われています。他のいくつかの欧州市場でも、義務化されていないにせよ、推奨されている。
米国では、CAN-SPAMのもとでオプトアウト・モデルを使用しているが、それは「何でもあり」という意味ではない。すべてのメッセージに、真実の件名、目に見える配信停止、物理的な郵送先住所を記載する必要がある。また、設定された期限内にオプトアウトを迅速に処理する必要もある。
カナダはCASLで厳格な立場にあり、各メッセージに明示的な同意と明確な識別を要求している。また、メッセージがカナダの受信トレイに届くと、国境を越えて届きます。
*オーストラリアとニュージーランドはオプトイン方式。オーストラリアとニュージーランドはオプトイン。英国は、英国のGDPRと並んで、独自のPECR規則でEUのアプローチを反映している。
さて、リスクの高い練習についてだ。
- 1.購入したリストは、後で修正できない同意のギャップを生み出します。人々はあなたのブランドからの連絡に同意していないため、苦情が増え、配信率が低下します。
- 2.スクレイピングとハーベスティングは、プライバシーとアンチスパムの両方の問題を引き起こす。
- 3.曖昧なフォームも罠である。サインアップボックスに、人々が何をどのくらいの頻度で受け取るかが書かれていなければ、監査時に同意は成り立たない。
クリーンな同意文言、明確な期待、そして証拠となるログが、トラブルを未然に防ぐ。
電子メールのコンテンツ要件に関する簡単な現実チェック
- 1.送信者の詳細を正直に保つ。
- 2.件名と本文を一致させる。
- 3.配信停止リンクと住所を明記すること。
これらの基本はシンプルに聞こえますが、多くのチームがつまずくところです。また、メールボックスプロバイダーは受信箱とスパムを判断する際にこれらのシグナルを確認するため、送信者のレピュテーションを守ることにもなります。
もうひとつは、トラッキングとパーソナライゼーションだ。
より厳格な司法管轄区では、開封とクリックの追跡には、クッキーの同意と同様の個別の同意が必要な場合があります。何をトラッキングしているのかを伝え、選択肢を与え、それを文書化する。サインアップ時の約束のために実際に必要なデータのみを使用する。そうすることで、プログラムを厳重に保ち、監査証跡を明確にすることができます。
コンプライアンスに準拠していないブローカーからデータを調達するマーケティング担当者のリスク
現実的な面について話そう。怪しいデータに頼るとどうなるか?
#1位 リーガル
御社が自らデータを収集しなかったとしても、合法的に収集されなかった情報を使用した場合、規制当局は御社の責任を問うことができます。州によっては、未登録ブローカーのデータを購入または使用することを、同じ違反行為への参加として扱うところもある。
#2位 評判
人々のプライバシーに対する意識は年々高まっています。もし、あなたの購読者データベースが調査中のブローカーから提供されたものであることが表面化すれば、視聴者の信頼は急速に失墜する。いったんこの話がネット上で広まれば、どんなプライバシー・ステートメントもその溝を埋めることはできません。
#3配信性
インターネット・サービス・プロバイダーやスパムフィルターは、規制当局よりも早く苦情のパターンを察知する。怪しげなブローカーから入手したリストには、時代遅れの受信者ややる気のない受信者が含まれる傾向がある。これは、高いバウンス率、スパム苦情、そして最終的には大手メールプロバイダーによるフィルタリングにつながります。
#4 ドキュメンテーション
ほとんどのプライバシーポリシーやマーケティングプラットフォームの規約では、すべてのコンタクトデータを適切な同意のもとで収集することが義務付けられています。監査によってベンダーがこれらの基準を満たしていないことが判明した場合、自社のポリシーやメールサービスプロバイダの規約に違反している可能性があります。その結果、アカウントの停止やマーケティングツールの利用ができなくなる可能性があります。
#5位 コントロール
不透明なブローカーに依存すると、データがどのように取得されたのか、同意がまだ有効なのかどうかについての可視性が失われてしまいます。対照的に、直接オプトインまたは確認済みフォームを通じてアドレスを収集すると、証拠、タイムスタンプ、明確な監査証跡が得られます。どの地域にとっても、より安全な方法です。
結局のところ、コンプライアンスによって、精査に耐えうるマーケティングプログラムを構築することができる。そして、EFFの調査結果が私たちに気づかせてくれたように、手抜きをすれば、今日の時間は節約できるかもしれないが、明日、規制当局や顧客が訪ねてきたときのコストははるかに高くつくのである。
コンプライアンスに準拠したデータソーシングとベンダー吟味のベストプラクティス
まず第一に、コンプライアンスは最初のキャンペーンを送るずっと前から始まっています。連絡先データの出所を選択した瞬間から始まります。最も安全な方法は?
▢既に透明性テストに合格しているブローカーまたはプラッ トフォームのみと提携する。
すること:
➡️ 事業を行っている各州の公的登録簿に掲載されているかどうかを確認する。簡単に調べるだけで、登録済みかどうか、連絡先が更新されているかどうか、オプトアウトの方法が記載されているかどうかがわかる。記録がない場合は、最初の赤信号だ。
次に、表面だけでなく、より深い部分にも目を向けましょう。信頼できるベンダーは、収集するデータのカテゴリー(ビジネス、人口統計、行動)と、それぞれの同意を得る方法を正確に説明している。その答えが曖昧であったり、法的な霧に満ちているようであれば、その場から立ち去りましょう。真の透明性は、専門用語の後ろに隠れる必要はありません。ですから:
▢パートナーについてもっと知る。どのようなデータを取得しているか説明しているか。どのように管理しているか。
すること:
➡️ 各連絡の発信元と元の許可の内容を示す文書を要求する。あなたは難しいことをしているのではなく、会社のコンプライアンス・ストーリーを守っているのです。
さらに、”適格なリスト “の定義も考え直す。パーミッションベースの、自分で調達したオーディエンスは、大量に購入したものよりも常に優れたパフォーマンスを発揮します。購入したリストは、「オプトイン」と宣伝されていても、あなたのブランドには及ばない包括的な同意に依存していることが多い。だからこそ、そうすべきなのです:
▢リストを購入する代わりに、自社の登録フォームまたは検証済みのパートナーを通じて直接オーディエンスを構築する。
すること:
➡️ 「クイック・リスト」に誘惑されることがあれば、すべての接触者が明示的にブランド固有の許可を与えたこと、およびブローカーの登録がすべての関連法域で最新であることを書面で確認するよう求める。
また、リスクが高いと感じる場合(国際的なキャンペーンや機密性の高い分野など)には、ダブルオプトインを使用します。2回目の確認クリックは、アドレスの所有権を証明し、同意の日付、時間、方法などのデジタル証跡を作成します。つまり、要点は
▢ダブルオプトインを使用する。
すること:
➡️ この情報を安全に保存する。理想的には、各記録を正確な登録フォームに結びつけるシステムに保存する。監査証跡がより正確であればあるほど、規制当局のチェックの際、あなたのプログラムはより安全になります。
自社のプライバシー資料もストーリーを語る。すべてのフォームとランディングページが理解できるようにしてください。複数のブランドが1つのプラットフォームを共有している場合は、各送信者を特定しましょう。平易な言葉は信頼を築き、隠れた同意の主張からあなたを守ります。
▢登録フォームとプライバシーポリシーは、透明性を保ち、理解しやすくする。
すること:
➡️ 購読の目的、連絡頻度、購読解除の方法を明確にしましょう。メールの頻度や目的が変わるたびに、この文言を更新しましょう。
最後に、データ監査は年に一度の雑用ではなく、定期的なメンテナンスとして扱うこと。
▢データソースとベンダーの契約を定期的に見直す。
すること:
➡️ 定期的なレビューを予定し、情報源がコンプライアンスを維持していることを確認する。ベンダーの契約を更新し、個人情報保護法の遵守と補償に関する条項を盛り込む。パートナーが規則を破った場合、書面で保護する。
どのようなコンプライアンス&透明性ツール/オプションがあるか
データ・ソーシングの実践がクリーンなものになったら、次のステップは証明と可視性を維持することだ。幸いなことに、多くのツールが助けてくれる。
まず、各州の登録から始めよう。カリフォルニア州、テキサス州、オレゴン州、バーモント州はそれぞれ、登録ブローカーの検索可能なオンライン・データベースを保持している。ブックマークしておこう。契約にサインする前にパートナー候補のステータスをチェックすれば、数分で済み、ルールを守っているかどうかも確認できる。ほとんどのリストには、登録日、業務連絡先、提供されたオプトアウトURLなどが表示されている。
そして、同意管理プラットフォームがある。これらのツールは、GDPR、CCPA、および同様のプライバシーフレームワークの下で購読者の許可を記録し、管理します。タイムスタンプとIPアドレスですべての同意アクションを記録し、コンプライアンスの証明を整理して簡単に検索できるようにします。また、多くはメールソフトウェアと同期し、有効な同意がないアドレスに自動的にフラグを立てることができます。
より深くコンプライアンスを把握するために、プライバシーと透明性の監査を計画しましょう。内部監査では、フォーム、データベース、自動化されたワークフローが、進化するプライバシー・ルールに沿っているかどうかをチェックします。外部監査(コンサルタントや法的パートナーが実施)は、貴社のプログラムを規制や実施パターンに照らしてストレステストを行います。
大規模な組織では、データ保護責任者の監督も必要でしょう。DPOは、データがマーケティングスタックをどのように流れるかをレビューし、新しいツールが導入されたときにプライバシー影響評価が行われていることを確認し、ベストプラクティスについてチームを訓練します。小規模の企業でも、プライバシー担当者を任命することができます。
もうひとつ、あまり使われていない戦術に方針の見直しがある。退屈に聞こえるが、実を結ぶ。四半期ごとに、プライバシーポリシー、同意文言、ベンダーとの契約を見直しましょう。新しい地域の法律ができたときや、マーケティングスタックが変わったときには、それらを更新しましょう。
最後に、規制当局の報告書を読みましょう。EFF、PRC、および様々なデータ保護当局のような組織は、既存の法律の新しい解釈に関する最新情報を定期的に発表しています。彼らの報告書に従うことで、施行が追いつく前に変化を予測することができます。
実践チェックリスト
背景、リスク、ツールについてはお分かりいただけたと思います。では、あなたのマーケティングを1年中プライバシー保護に保つための即効チェックリストをご覧ください:
▢ すべてのブローカーの登録状況を確認する。
データパートナーをオンボーディングする前に、関連するすべての州登録でその名前を確認する。その詳細が契約エンティティと一致し、登録が失効していないことを確認する。
▢ 文書による同意のみを受け入れる。
許可の明確な証拠(日付、方法、同意文)を示すことができる第三者と協力すること。スクリーンショットも、曖昧な記述も、”私たちを信頼してください “もなし。
▢ 賭けが高いときは、ダブルオプトインを使う。
個人情報保護法がより厳しい国をターゲットにする場合や、機密データを扱う場合は、必ず確認メールを有効にしてください。タイムスタンプ、デバイス、確認パスなどのメタデータを記録します。これが最善の法的保護策です。
▢ プライバシーに関する文言は、明確で人間的なものにする。
サインアップページには、購読者が何をどのくらいの頻度で得られるかを正確に記載する必要があります。隠しボックスや曖昧な約束は避けましょう。オプトアウトは簡単にできるようにし、すべてのメッセージで目に見えるようにする。透明性を確保することで、信頼性を獲得し、紛争を避けることができます。
▢ 法改正を定期的に監視する。
州レベルのプライバシー保護法は拡大し続けているデータ保護機関やプライバシー監視団体のニュースレターを購読する。毎月スキャンするだけで、時代遅れの慣行からあなたを守ることができます。
リストを超えて、コンプライアンスを生きたプロセスとして扱う。更新を文書化する。監査メモを残す。プライバシーをマーケティング文化の一部にする。
個人情報保護法とデータブローカーについての最後の言葉
マーケターへのメッセージは実にシンプルだ。透明性を保ち、真の同意を得、データの出所を正確に把握すること。個人情報保護法やデータブローカーがいかに厄介な存在になり得るか、お分かりいただけただろう。登録と監視におけるこれらのギャップは、赤信号のようなものであり、それはそのままあなたのキャンペーンに波及する可能性がある。
賢い方法は、先手を打つことだ。コンプライアンスを証明するブローカーのみと仕事をする。本物のオプトインによってリストを構築し、同意の記録を厳重に保管する。パーミッションを追跡するツールを使い、新しいルールに常に関心を持ち、誰かに言われる前にプライバシー資料を更新する。
メールマーケティングやリスト検証でお困りの際は、Bouncerをお試しください。私たちのツールは、あなたのリストをクリーンで、コンプライアンスに準拠し、高いパフォーマンスを維持するのに役立ちます。
