プライバシーの懸念が高まる時代における顧客データの管理方法

世界は、顧客データを基盤に動いています。実際、多くの有識者がデータを「新たな石油」と称するのは、その価値と可能性の大きさゆえです。しかし、顧客データの管理には、リスクと課題が年々増え続けています。

データ侵害が増加する中、懸念を抱く消費者は、自分の情報を共有する相手をこれまで以上に慎重に選ぶようになっています。McKinseyの調査によると、87％の消費者は、データプライバシー管理に不安がある組織とは取引をしないと回答しています。また、多くの消費者が DuckDuckGoやBraveのようなプライバシー重視のブラウザーや検索エンジンに乗り換えつつあることも示されています。

こうした懸念を抱えているのは消費者だけではありません。草の根の団体や非営利のプライバシー権利保護団体も、より強固な保護を求めて世間への啓発活動を行い、政府へのロビー活動を進めています。また、アメリカ自由人権協会（ACLU）のような老舗の社会正義団体も、消費者データが市民権に関わる問題として浮上していることを受け、データ保護への取り組みに重点を置き始めています。

かつてヨーロッパは、データ保護政策の施行において唯一無二のリーダー的存在でしたが、今ではオーストラリアをはじめ他の国々も取り組みを強化しています。アメリカでは主に州レベル で対応が進められており、カリフォルニア州の政策立案者たちは規制の改善を続けています。

リスクを抑え、信頼を高めるためには、データに対して包括的な「三つのアプローチ」が不可欠です。地域および国際的な法律について従業員を教育すること、テクノロジーとデータ管理の戦略を構築すること、そして顧客を最優先に考えるマインドセットを育むことです。これからの章では、その実践方法の概要と、収集したデータを最大限活用するためのテクノロジー導入におけるベストプラクティスをご紹介します。

データプライバシーへの取り組みは国によって異なり、比較的最近着手した国もあれば、先駆的な国もあります。スウェーデンは1973年にデータ法を制定し、コンピュータおよびデジタル情報の窃盗を犯罪とするとともに、データ主体が自分の記録へアクセスする権利を認めました。一方、米国では 1998 年に、児童オンラインプライバシー保護法（COPPA）が制定されるまで、データ権利を明確に扱う政策は存在しませんでした。

現在、データプライバシー規制は国や地域によって大きく異なっており、グローバル化が進む経済の中で、組織が対応すべき環境は一層複雑になっています。さらに、規制は業界や収集する情報の種類によっても変化します。国によっては、組織がどこに拠点を置いているかに関係なく、自国の居住者に対して保護を適用する法律も存在します。

現在、欧州連合（EU）は、世界でも最も強力で包括的なデータ保護制度を持つ地域の一つです。EU理事会と欧州議会は、2016 年の承認から2年後の2018年に一般データ保護規則（GDPR）の施行を開始しました。この規則では、企業が収集できるデータ量を業務遂行に必要な範囲に限定するとともに、個人が自分のデータを請求する権利を認めています。場合によっては、個人が自分の情報の消去を要求することも可能です。

これに対して米国には、データ保護を包括的に規定する単一の法律は存在しません。その代わりに、医療保険の携行性と責任に関する法律（HIPAA）、家族教育権・プライバシー法（FERPA）、グラム・リーチ・ブライリー法（GLBA）、そして前述の COPPA といった個別のプライバシー関連法規が組み合わさり、連邦レベルでは断片的（パッチワーク状）な監督体制が形成されています。

いくつかの州は独自のデータプライバシー法を制定しており、その数はさらに増え続けています。2018年に制定されたカリフォルニア州消費者プライバシー法（CCPA）は、住民に GDPR と同様の権利と保護の一部を付与しました。この法律のもとでは、組織は顧客データの利用方法や共有方法を開示し、顧客が自身のデータの販売を阻止したり、完全に削除したりできるようにする義務があります。

2022年3月、ユタ州は消費者プライバシー法に署名し、カリフォルニア、ネバダ、バージニア、コロラドに続く5番目の州となりました。また、ミシガン、ニュージャージー、オハイオ、ペンシルベニアでも同様の法律が提案されています。

影響力のある企業の中には、時代の先を行くために独自のデータ保護方針を策定するところも出てきています。2021年、Appleは一連のプライバシー強化策を発表し、開発者に対して、サードパーティアプリやウェブサイトでユーザーの行動を追跡する前にユーザーの許可を得ること、またアプリがどんな情報を収集し、どのように利用するのかを明確に説明することを義務づけました。さらに最近では、Googleが医療関連の機微情報をより強固に保護する取り組みを発表しており、今後さらに多くの組織が同様の動きを見せると予想されています。

消費者と立法者の双方でデータプライバシー管理に対する懸念が高まるなか、企業はデータ収集と管理ポリシーについて、先手を打って取り組むことが不可欠です。世界のサイバー経済を調査するCybersecurity Venturesは、サイバー犯罪による被害コストが2025年には年間10.5兆 USドルに達する見込みだと発表しています。それにもかかわらず、世界経済フォーラムの調査では、59%の組織が「社内の技術スキル不足によりサイバーセキュリティインシデントへの対応が難しい可能性がある」と回答しています。

多くの組織はすでに、規定に沿ってデータを安全に保存・報告・削除するためのポリシーや仕組みを整えています。しかし、規制は常に変化するため、将来のリスクに対応する戦略が必要です。

変化が起きてから対処するよりも、先回りして準備しておく方が、時間もコストも抑えられます。顧客データプライバシーの仕組みを将来に対応できる形にしておくことで、変化が激しいデータ環境をスムーズに乗り越えられます。既存のポリシーを作り直す、あるいは新しく構築する場合には、慎重な調査と計画が欠かせません。

将来に対応できる顧客データ管理ポリシーとは？

多くの組織はすでに、顧客データガバナンスの初期段階における戦略面の課題――どの情報が必要か、それをどう取得するか、どのように保管するか――を乗り越えてきました。次の段階では、正確性の向上や、データサイロや不要な情報の排除によって、顧客データの最適化と効率化が進みました。現在では、データプライバシー規制への対応と、顧客からの信頼の獲得が、収益に影響する重要なテーマとなっています。　

将来を見据えたデータ管理ポリシーを構築する

以上のガイドラインは、顧客データ管理ポリシーの目的を明確にするものですが、実行に移すことはまた別の課題です。　

新しいポリシーを策定するには、まず 現行のデータプライバシー法を調査すること から始めます。自社の市場を規制する法律や、国際的なビジネスコミュニティに影響を与えるルールを特定しましょう。政府機関のウェブサイトでは、コンプライアンス規則の全文や、内容をわかりやすく解説した資料を探すことができます。EUは、GDPRに準拠するための チェックリストを公開していますし、Digital Impactのような団体は、非営利組織がデータプライバシーコンプライアンスを改善するための ツールキット を提供しています。

次のステップは、現行ポリシーを監査し、グローバル基準に準拠できていない点を明らかにすることです。必要な変更点と今後の更新方法をリストアップしましょう。

この監査は、グローバル基準を適用する際の潜在的な課題を関係者が指摘するための機会にもなります。顧客データ管理に関わる各部門の専門家から、ポリシーの下書き段階で意見を求めましょう。彼らはIT部門や法務部門よりも実務上の課題に精通しています。プロセスの早い段階から彼らと連携することで、現場の納得感が高まり、導入および展開をよりスムーズに進められます。

最後に、機密性の高い顧客データを取り扱うすべての従業員に対し、組織の新しいポリシーに関するトレーニングを実施しましょう。この研修では、従業員に次の内容を理解させる必要があります。

顧客データ管理ポリシーの遵守責任者、規制変更に伴う改定担当者を明確にした社内体制を構築しましょう。また、研修後に従業員が疑問を相談できる連絡体制を整えることも重要です。

このプロセス全体を通して、データプライバシーのコンサルタント、弁護士、その他の専門家の知見を活用し、ポリシーが法令に準拠し、柔軟に更新できる状態を保ちましょう。この課題に、どの組織も単独で取り組む必要はありません。

拡張可能なカスタマーデータ管理システムが重要な理由

顧客データ管理ポリシーは、実行されてこそ意味を持ちます。カスタマーデータ管理システムやプラットフォームは、顧客情報を一元的に管理するダッシュボードであり、プライバシーポリシーの遵守を実施するための中心的なツールです。このテクノロジーは、ポリシーと同様に拡張性があり、将来を見据えた設計である必要があります。

データ管理システムは、組織が定めたプライバシーポリシーに沿って運用できるものであるべきです。しかし、それだけでは十分ではありません。導入するプラットフォームは、バックエンドで必要なコンプライアンス要件に対応している必要があります。たとえば、現時点でGDPR（EU一般データ保護規則）に完全準拠していないポリシーを策定していたとしても、将来ヨーロッパ市場に進出する可能性があるなら、プラットフォーム側はGDPRに準拠していることが望ましいでしょう。そうでなければ、ポリシーの改定に加え、新しい技術ソリューションを探す必要が生じます。

最初からグローバルなコンプライアンスに対応したテクノロジーを採用することで、コンプライアンスの抜け漏れを防ぎ、業界最高水準の基準に組織を整えることができます。これは、地域社会・顧客・見込み客との信頼関係を築く基盤にもなります。この点については、次の章でより詳しく解説します。

購入とロイヤルティにおいて、価格に次いで「信頼」が最重要

各ブランド属性を最重視すると回答した人の割合

参考文献：Edelman

多くの点で、新しいデータプライバシー規制が求められているのはまさに今と言えます。組織はこれまで以上にデータ漏洩のリスクにさらされており、規制強化やコンプライアンスの徹底は、顧客を守り、信頼を取り戻し、デジタル経済の未来を守るために不可欠です。

しかし、より複雑化したプライバシーポリシーは、データ漏洩に至らなかった場合でも、コンプライアンス違反のリスクを高め、重大な責任問題につながります。コンプライアンス違反には主に次の3つの原因があります。

従業員は、コンプライアンスに準拠したサードパーティアプリと、そうでないアプリの違いを理解する必要があります。そして、その違いを周知し教育することは、組織側の重要な役割です。

顧客データ管理を積極的に進める姿勢

適切な指導やサポートがなければ、従業員は意図せず顧客データを危険にさらしてしまう可能性があります。この現実を直視することが、組織と顧客を守る唯一の方法です。

従業員にデータプライバシーコンプライアンスについて教育し、準拠したサードパーティソリューションの利用もサポートしましょう。包括的なデータ管理戦略は、顧客体験の向上にもつながります。

Deloitte’s 2022 Global Marketing Trendsレポートが一貫して強調しているメッセージは、「顧客を第一に考える」ということです。数多くのアプリやデジタルサービスに触れている消費者は、高度にパーソナライズされた顧客体験に慣れており、あらゆる組織にも同じレベルを期待しています。顧客体験とデータ管理ポリシーを結びつけることは、顧客中心の姿勢を実践するうえで最適なアプローチです。しかしその実現には、自社のデータを完全にコントロールできる状態が欠かせません。

ファーストパーティデータを中心とした組織づくり

ここ数十年、企業はウェブサイトやソーシャルプラットフォーム間でユーザーを追跡する クッキー を通じて顧客を理解してきました。しかし、Cambridge Analyticaのようなスキャンダルを受け、消費者は企業が自分のオンライン行動を追跡することにますます警戒心を抱くようになっています。Googleのような企業はクッキーの使用を完全に廃止する方向に動いており、GDPRでは、クッキーを利用するサイトが、ユーザーから明示的な追跡許可を得ることを義務づけています。

クッキーに依存しない時代では、企業自らが顧客データを収集する責任が、これまで以上に求められます。ファーストパーティデータを活用する企業であれば、収集するデータの内容や取得チャネルを自社で細かく設計でき、データプライバシーのコンプライアンスをより確実にすることができます。

意外に思われるかもしれませんが、多くのビジネスリーダーは、ファーストパーティデータへの移行が成長を促す大きな要因であると実感しています。実際、高成長フェーズにあるブランドの61％がファーストパーティデータへ移行しているのに対し、業績が縮小傾向にある企業では 40％にとどまっています。この取り組みを効果的に進め、継続的な成長につなげるためには、スケーラブルでオープンなAPIソリューションが不可欠です。

顧客データ管理システムがその課題を解決

自社で取得したファーストパーティデータを最大限活用するには、適切なカスタマーデータ管理システムが欠かせません。膨大なデータを効率よく活かすための最適化を支援してくれるためです。では、包括的なデータ管理システムを導入することで、どのようなメリットが得られるのでしょうか？

高度な分析

データを保存するだけでなく、分析し、顧客関係をより深く理解する段階へ進みましょう。データアナリストはデータを活用して行動可能なインサイトを導き、顧客体験を向上させ、パーソナライズの強化や新しい製品や機能の開発につなげることができます。

独自データを保管する専用ストレージ

クッキーの利用が難しくなる中、収集した情報を保存するためのストレージ容量の確保が求められています。専用のシステムとサーバーを導入することで、情報を一元化し、すべての顧客データを信頼できる安全な単一の情報源として活用できます。

自社開発アプリとの統合

中央データベースがあれば、自社開発アプリをより簡単に作成できます。データ管理プラットフォームと互換性のあるインターフェース設計が可能になり、複数のソリューションを組み合わせた場合に発生しがちなAPIや互換性の問題を大幅に減らすことができます。

サードパーティアプリによる高いセキュリティ

データ管理プラットフォームは、シングルサインオン（SSO） や、複数のIDプロバイダーを横断して認証できるMulti SSO、そしてSOC 2コンプライアンスの運用などを通じて、サードパーティアプリとの連携におけるセキュリティも強化できます。多くのプラットフォームは、どの顧客データがどのアプリと共有されているかを可視化し、共有範囲を制限するオプションも提供します。また、連携すると危険性があると判断されるサードパーティアプリについては、ユーザーに警告を発することも可能です。

将来にわたって持続可能なプライバシーポリシーを構築するためには、包括的な顧客データ管理システムの導入が欠かせません。しかし、データプライバシーへの準拠は検討すべきポイントのひとつに過ぎません。ソリューションを比較・評価する際には、次のような機能や基準も考慮する必要があります。

維持管理性

組織は、ソリューションを選定する際に、スピードよりも長期的な成長を優先すべきです。実際、推定では55％の企業が、保守性よりスピードを優先することで技術的負債を増大させ、将来のテクノロジー投資を妨げる可能性があるとされています。

セキュリティ

プラットフォームは、ハッキングやサイバー攻撃に対してどれほど安全なのでしょうか。データ保存や暗号化などにおいて、業界標準および国際的なセキュリティ基準に準拠していますか。また、データ共有やアクセス制限の機能はどの程度カスタマイズ可能で、強固な設計になっているのでしょうか？

カスタマイズ可能

ユーザーはどこまでプラットフォームを個別にカスタマイズできるのでしょうか。ブランドに合わせた体験を提供できますか。条件分岐や自動入力によって顧客体験を向上できますか。マーケティングやカスタマーサービスなど、部門間のデータサイロを解消し、より効果的に連携できますか。そして、共有性とコンプライアンス、その両立を可能にできるでしょうか。

ノーコード

従業員はコーディングスキルがなくても、プラットフォームを利用し、カスタマイズできる必要があります。ノーコードソリューションは、バックエンドとフロントエンドの両面でユーザー体験を最大化します。

モバイル／クラウドベース

このハイブリッドワーク時代に、従業員はどこにいても、セキュリティやコンプライアンスを犠牲にせず、顧客データへ安全にアクセスできなければなりません。

プラグ＆プレイ

理想的なソリューションは、複雑なインストール作業を必要とせず、すぐに使い始められることです。従来の業務ソフトウェアは、販売側によるカスタマイズに数週間から数カ月かかることもありましたが、最新のデータ管理システムは、ユーザーが手順に沿って簡単に導入できるよう設計されています。

エンドツーエンド

理想的なプラットフォームは、データの収集から活用、移行までを一気通貫で実現するエンドツーエンド型である必要があります。顧客調査、データ分析、共有、外部レポート作成を可能にし、さらにコミュニケーションや管理ワークフローを自動化することで、業務負担を大幅に削減します。

スケーラブルなプラットフォームがあれば、顧客の機密データを保護することを含め、顧客体験を向上させるための各種ツールを活用できます。Gartnerの予測によると、2023年には世界人口の 60％ 以上が自らのプライバシー権を行使できるようになる見込みです。

個人データの利用を最小限に抑え、セキュリティ侵害に迅速に対応する企業は、消費者からより高い信頼を得やすくなります。一方、収集しているデータの種類について透明性を示さない組織は、競争力を失う可能性があります。

顧客データ管理を積極的に進める姿勢

データ管理において顧客中心のアプローチを採用することは、市場シェアを維持するための手段にとどまりません。進化し続けるデータプライバシーの潮流を乗り越えるために、不可欠な取り組みです。

規制当局は違反に対する罰金の適用をますます厳格にしており、その額も拡大しています。2021年には、ルクセンブルクのデータ保護当局がAmazonに対し、GDPR違反で8億8,700万USドルの罰金を科しました。同じ年、WhatsAppも同様の違反により、アイルランドのデータ保護委員会から2億6,600万USドルの罰金を受けています。

2021年におけるデータ侵害の平均コストは 424万USドルに達しましたが、このうち罰金や修復対応に充てられるのはごく一部にすぎません。最も費用がかかるのは、コスト全体の約3分の1を占める「事業機会と収益の損失」であり、これはあらゆるデータ侵害において最大の負担となります。大規模なデータ侵害が発生すると、組織の評判は長年にわたって損なわれ、回復の歩みが大きく妨げられることがあります。

顧客を中心に据えた組織づくり

データを活用して顧客体験を向上させるには、まずファーストパーティデータをより多く取得するための戦略が必要です。この戦略には、どのように情報を収集するのか、従業員がその情報をどう活用するのか、そしてお客様の声に耳を傾けていることをどのように示すのかまでを含めるべきです。

まずはお客様とのコミュニケーションを始めることから始めましょう。アンケートや評価システムを作成してフィードバックを収集し、ファーストパーティデータベースの構築を進めてください。参加者には、割引やその他の特典を提供してインセンティブとすることも検討しましょう。

顧客データ管理プラットフォームを使ってフィードバックを記録し、データを分析して新しい機能、製品、サービス、カスタマイズオプションを開発します。多くの企業では、収益、生産性、顧客ロイヤルティを高めるために、すでにこのような取り組みを行っています。

Trader Joe’sは、在庫と営業時間を最適化するために顧客からのフィードバックを導入していることで知られており、1平方フィートあたりの売上高が1,750ドルという驚異的な数字を達成しています。Salesforceは、顧客フィードバックフォーラムをIdeaExchangeというオンラインコミュニティに変えたことで有名です。もともとは顧客からの提案を集めるために始まったこのコミュニティは、瞬く間に企業経営者同士の交流の場へと発展しました。

透明性は、カスタマーエクスペリエンスを向上させ、新たなデータプライバシー規制を遵守するためのもう一つの鍵です。データを収集または追跡する理由を説明し、その価値を強調し、データ収集から逃れる機会を提供する必要があります。これらのメッセージは、あなたの会社の実際のリーダーから発信してもらいましょう。例えば、データプライバシーの新機能を紹介するメールを、IT部門の責任者からのメッセージと見なしてください。

組織の文化、リーダーシップのプロセス、意思決定をより深く理解することで、顧客エンゲージメントを劇的に向上させることができ、それが利益にもつながります。消費者が組織の目的を理解すると、その企業から購入する可能性が4倍高くなります。

あなたの組織の最も忠実な信者のための諮問委員会を形成することによって、顧客中心のアプローチをより深くします。これは、意思決定や製品開発に影響を与える機会を与えるとともに、彼らが何を求めているかを知るのに役立ちます。顧客データを分析して、彼らがどのような人物かを特定し、参加を呼びかけましょう。

顧客中心の組織になるために最も重要なのは、顧客がいる場所で接点を持つことです。つまり、オンラインを通じたデジタル体験です。ノーコード型のデータ管理プラットフォームなら、顧客ごとに適切なタッチポイントを設けられるうえ、コラボレーション、データ収集、データ保管を効率化できます。

データ活用の最大の課題は、活用方法そのものではなく、いかに安全に保管するか、そしてその安全性によって顧客の信頼を獲得できるかにあります。企業は、法規制の遵守、顧客が求める安心感、自社のデータ活用ニーズの間で、慎重なバランスを取らなければなりません。これらを効果的に管理できるかどうかが、今後組織の成功を左右する大きな指標となるでしょう。

「顧客中心主義」はこの10年で頻繁に使われる言葉になりましたが、組織は預かった貴重な情報を守るうえで、この概念を単なるスローガンではなく本質的な姿勢として受け止めなければなりません。幸い、セキュリティとコンプライアンスの強化、そしてITインフラの刷新に取り組む過程で、組織はこれまで以上に透明性を高め、顧客との新たな関係性を築くことが可能になります。エンドツーエンドのエンタープライズソリューションを選べば、国際的なデータプライバシー法への準拠を維持しつつ、より大きな市場へ拡大するためのリソースを確保できます。さらに、カスタマイズ可能なノーコードのエンタープライズソリューションを活用すれば、組織は顧客データ管理や市場での成功に向けた最適な基盤を手にすることができます。