ファーストパーティ・データとゼロパーティ・データの区分

　「ファーストパーティ・データ」は“Behavioral & Transactional Data（行動データとトランザクションデータ）”と解釈され、「ゼロパーティ・データ」は“Trusted Data（ユーザーと相互信頼のあるデータ）”として区分される。

　ファーストパーティ・データとは多くの場合、販売時やフォームの入力時に収集された住所や生年月日等の登録データが、その後の購入履歴や行動履歴などの日々のやり取り（トランザクション）と結びつけられたもの。「ロイヤリティ・プログラム」や「メンバーズポイント」などもこの範囲内だ。

　この経路で収集した社内データは「本人の明示的な利用許諾のあるデータ」とは言いにくい。これらが既にGDPRやCCPA基準にひっかかるだけでなく、2022年春頃から稼働する日本の個人情報改正法にもそぐわない。さらにデータ価値も「推量（本人の知らぬ所で勘ぐる）」を目的としたデータであり、本人の「○○したい」意思、までは理解できていない程度のデータである。

　一方のゼロパーティ・データの定義は、最初の提唱者とされる米調査会社Forresterの定義によると（※1）、「ユーザーや消費者が意図的かつ積極的にブランド側と共有するデータのこと。たとえば『個人の購入プリファレンス（好み・傾向）』や『個人的な背景やコンテキスト（文脈）』、加えて『個人がどのようにブランド側に自分を認識してもらいたいか』などの『意思』が含まれる」としている。データ主体本人の「○○したい」意思を教えてもらえるか、が鍵だ。

　ブランド企業側のマーケターにとって、ユーザーや消費者と直接つながることでゼロパーティ・データを収集する施策は、表面的にはファーストパーティ・データの収集とまったく同じプロセスである。大きな違いは企業の内面的な考え方で見分けられる。「自社」が主語となり、サービスの効率化を目的として能動的に登録情報等から推量するのがファーストパーティ・データ派。これに対して「ユーザー」が主語となり、その意思を「御用聞き」の受動姿勢に徹する心意気が、ゼロパーティ・データ派として判別できる。

データ活用のリスクをDSRの視点で管理する

　日本語Webサイトを訪れた時に、データ活用の「みなし許諾」を求めるポップアップ画面に遭遇することが増えたのを実感する。これらはすべて、ファーストパーティ・データの収集意図で、入り口である利活用目的のための礼儀を出しているに過ぎない。一方、内部でデータ保有後の資本コスト（負債コスト）への出口対応は見受けられない。

　攻めの「データ利活用」を図るならば、同様に守りとしてユーザーからの「データ閲覧の要求」への対応を準備する必要がある。これを「DSR（Data Subject Requests）（※2）」への対応と称し、リターンと支出コスト（リスク管理）の両極が2021年は大きな関心事になる。

　米国での調査では（※3）、B2C企業においては、100万件のデータ保有あたり年間約170件のDSR対応が発生する（2021年推定）。DSRの1件あたりの対応コストは平均約14万円（1,406ドル）とされており、年間に換算すれば約2,400万円（24万ドル）に相当する。仮に500万件のデータ保有ならば、その5倍の約1.2億円にのぼる。この件数は2022年にはさらに増大し、同時に「なりすましボット」のような悪意のリクエスト件数も増える。　2021年はゼロパーティ・データをキーワードとして、「億円単位」の信用獲得と同時に「億円単位」の信用失墜にならぬよう、「防御」に対する「投資」が本格始動する。迫りくる来期の法改定の施行への予言として提示したい。

※1　「Forrester Video: What Is Zero-Party & How Can Marketers Collect It?」

※2　日本マイクロソフトの例 「GDPR: データ主体の要求（DSR）」 について

※3　DataGrail 社「Mid-Year CCPA Trends Report 2020」