GDPR施行前のラストチャンス ー オプトインメールから学ぶべきこと

EUの一般データ保護規則（GDPR）が施行される2018年5月25日を前にしてマーケッターは厳しいプレッシャーに直面しました。EU域内の見込み顧客データベースを守る最後の努力として、ポジティブな結果を得られるという見込みのない希望とともに、目まいがするような量の「オプトイン」メールを送信したのです。

ほとんどの場合、レスポンス率は絶望的なものでした。独立系のプライバシー・リサーチャー兼コンサルタントであるLukasz Olejnik氏は、International Association of Privacy Professionals（IAPP）において「多くの企業が同じことをしたために、ユーザーは受信箱にこれまでに見たことのない量の再同意を求めるメッセージを受け取ったのです。明らかに、機械的に ‘No, thanks’ をクリックするか、メールを全く無視するかという結果でした。」とコメントしました。

このラストチャンス・コミュニケーションは、もう一つのGDPRの原理である「個人データの収集と処理についてより高い透明性を確保する」についてのリトマス試験紙でした。消費者にオプトインについて納得させることが出来なかったとしても、これらのメールは、明確な同意のリクエストとコミュニケーションの目的を明確に説明するという企業の姿勢を示すうえでのポテンシャルとなるものでした。
企業はどのように対応したのでしょうか？　透明性という視点から分析してみます。

オプトイン101: 的外れな対応

全世界の、特にEU域内の消費者は、GDPRにより個人データとセキュリティについての関心を高めています。結果として、ソーシャルメディア上には透明性に欠ける企業からのオプトインメールの事例があふれ、苦労して築き上げたブランドイメージに傷をつける結果となったのです。
GDPRの要求に対応するための十分なサイズと予算を持つ企業においても、3つの共通の課題が見られます:

1.“ミスリードさせるメールのタイトル”

より低額なサービスを約束していたり、タイトルに "RE:" を使うなどして、パーソナルなメッセージへの返信であるかのように思わせるようにしているものがありました。このようなテクニックは開封率を高めるかもしれませんが、信頼の構築、透明性の確保、読み手のオプトインという目的からみれば理想とはほど遠いものです。

2.“同意のリクエストのバンドル”

多くの企業が、利用規約・プライバシーポリシー・マーケティングコミュニケーションへの同意を一挙に取得しようとしていました。これは読み手を混乱させるだけです。これらのリクエストをプロモーションとバンドルしようとしている企業もありましたが、プロモーションに参加するたった一つの方法が欲しくもないマーケティング・コミュニケーションへの登録であったことから、これは多くの読み手を混乱させ、怒らせるものでした。

3.“明確なオプトアウトの選択肢の欠如”

多くの企業が、オプトインを得るためにこれまでにない様々な試みをしていました。あまり好ましくないやり方としては以下のようなものがみられました

• 「オプトイン」の選択肢のみを表示する
• 「全てのコミュニケーションを受け取る」または「量を減らす」の2つの選択肢を提示する
• オプトインボタンを大きく鮮やかに表示し、オプトアウトボタンを小さく見つけにくく表示する

これらは全て、理解の欠如が未だに存在することを示しています。本質的に、GDPRは、それが離脱という結果を招くものであったとしても消費者がコントロールできるという状態を目指しています。GDPRの要求に対応するための駆け込みの努力において、多くの企業がGDPRの本質を侵害していたのです。

オプトイン101: 的確な対応

イギリスの情報コミッショナーオフィス（ICO）は、発行している「Guide to the the General Data Protection Regulation (GDPR)」において、同意のリクエストは「見つけやすく、簡潔で、他の諸条件から切り離されて、理解しやすい」ものであるべき、としています。ICOはまた、それぞれの同意のリクエストは、なぜその個人データを求めていて、どのように使うのかを説明すべき、としています。
これらの要求を満たすラストチャンス・コミュニケーションは以下のようなものであるべきです:

• その目的と頻度を含む、マーケティング・コミュニケーションについての明確な説明
• 収集されているデータとそれらをどのように使うかについてのわかりやすい説明
• 100%チェックの入っていない同意のチェックボックス
• プライバシー声明へのリンク
• いつでも同意を取り消せることについての通知
• オプトアウトへのわかりやすい機能
• レスポンスしない場合は自動的にオプトアウトされることについての通知

これらの要素を満たすメールがより高いオプトイン率につながるとは限りませんが、少なくとも送信者が消費者のプライバシーを重視しGDPRへの準備が出来ていることを示すこととなるでしょう。

オプトインメールラッシュからの重要なポイント

GDPRが施行され、透明性のあるデータ収集と処理はデジタルの顧客体験における必須事項です。この新しいレベルの透明性をどこまで確保できていますか？　顧客のプロフィール、プリファレンス、そして同意に関するデータといった全てのデータを、ライフサイクルを通じて集中管理する全体的な戦略を構築する必要があるのです。

プリファレンスデータと同意を取得する最初のポイントから始まります。「情報を与えられる権利」は、顧客に対して収集時点で個人データの収集と仕様について通知することを企業に要求しています。ほとんどの場合、個人データの処理の目的、データの保存期間、データを共有する相手先について顧客に伝えなければなりません。最初のCookieから、登録の完了、最初の購買、そして再訪問まで、同意を取得する全てのポイントにおいて簡潔で分かりやすい言葉でこの情報を提供する全体的なアプローチをデザインすることで、GDPRの要求に対応しつつ、顧客のプライバシーを尊重する姿勢を示すことが出来ます。

顧客がプロフィール、プリファレンス、同意のデータを預けてくれた場合は、監査に対応し、顧客からの閲覧・アップデート・削除・処理の凍結についての要求に適宜応えるために、これらのデータを集中化したセキュアな環境で保管します。

ビジネス全体を通じて正確に同意を反映させるために、カスタマー・ライフサイクルを通じて同意のバージョンの記録を維持します。利用規約やプライバシーポリシーは変化します。コミュニケーションの頻度は変化します。これら全ての異なるデータポイントを複数のサイロで管理するのではなく、これらの機能を一ヶ所に集中化することで、以下をより簡単に実行できます:

• 顧客がどのコミュニケーションやアクティビティに同意を与えているかをトラックする
• 監査に対応し、消費者のデータへのリクエストを満足させる
• 必要な場合に再同意を促す

いずれかのブランド、サイトやアプリ、下流のアプリケーションやサービスがこれらの要求を満たさないことで、企業全体が、顧客からの信頼の失墜はいうに及ばず、巨額の制裁金というリスクにさらされるのです。消費者の同意やプリファレンスを反映させ、全てのタッチポイントでそれらを尊重する責任は企業側にあります。それぞれの顧客の同意やプリファレンスに関するデータを単一の統一されたレコードに保管することで、全てのデジタルエコシステムを通じてそれらを反映させることはずっと簡単になります。

最後に、これらのデータを集中化することは顧客にとってはより直観的で完全なプリファレンスセンターとなり、自身のデータを簡単に閲覧・管理できるようになります。このインタフェースを通じて、顧客は同意を与えたり撤回したりすること、プロファレンスを変更すること、プロフィール情報を訂正することが出来ます。顧客は自身が尊重されていて自身のデータをコントロールできると感じるでしょうし、データの変更が企業全体を通じて反映されることでリスクから安全になるのです。

GDPRは、消費者のプリファレンスや同意の管理についてのゲームを変えました。GDPRにより、企業は推測をベースとしたオプトアウト型の戦略を諦め、その代わりに、明確な同意の選択肢と、それが離脱を招くものであったとしても自身の顧客体験を管理するための直観的な手段を提供することを含む透明性のある顧客体験を提供することを志向するようになるでしょう。
この新しい時代において、強調すべきは顧客データの量ではなく価値なのです。消費者がオプトインを選択してくれたということは、自社を信頼してくれているということです。その信頼を尊重し、その願いを企業全体に反映させる全体的な戦略は、より透明性を高め、顧客体験が重要視される市場環境において新たなポテンシャルを求める企業にとって重要な能力となります。

原文はこちらです。（SAP社サイトに遷移します）
The Good, the Bad and the Ugly: GDPR “Last-Chance” Opt-in Emails