「ポリシー掲載さえすればOK」は危険

　ここ数年CMPツールの普及にともない、Webサービス利用時にユーザーとしても「同意」を確認される機会が増えてきた実感があります。

　同意確認の際、プライバシーポリシーが表示されてもよく読まずにボタンだけ押すようなユーザーはいまだに多いのではないでしょうか。企業側の対策として、最近のトレンドとしては、プライバシーポリシー本文を最後まで読まないと同意ボタンをクリックできない設定のサイトが増えてきました。

　ちなみに欧州のGDPR（EU一般データ保護規則）では、ユーザーの個人情報が第三者提供される場合、プライバシーポリシーへの同意と個人情報がスポンサーへ提供されることへの同意、2つの同意が必要です。また、2回のインタラクション（ユーザー側の動作）も、チェックボックスにレ点を入れ、それから同意ボタンを押すというプロセスがお勧めです。最初からチェックボックスにレ点が入っているものはユーザーフレンドリーとはいえません（参照：Guidelines05/2020on consent under Regulation 2016/679）。

　企業側が「ポリシーだけ掲載しておけば良い」「早く同意ボタンさえ押してくれればいい」という発想であるならば、誠実な企業姿勢やユーザーファーストの観点から外れていることになります。今後はユーザーのポリシー読了に対する確認過程が必須になっていくでしょう（この点はCMPツールベンダーやデジタルマーケティング各社に相談してください）。

　加えて、プライバシーポリシーとCookieポリシーの相互リンクも確認が必要です。一方通行のリンクでは、ユーザーは確認をした後に再度元のページにアクセスしなければなりません。取引先やユーザーに「この会社は事業部同士で不仲なのか」「本社とグループ会社のコミュニケーションができていないのか」などと邪推されるリスクもあります。改めて確認をするようにしましょう。

社内・グループ企業におけるポリシー統括の注意点

　特定のサービスや商品用のサイトを作る際、新たに一からポリシーを作成するのは大変です。そのため本社のCookieポリシーやプライバシーポリシーへのリンクで済ませてしまおう、というケースが散見されます。全社のポリシーを策定する部署・担当者が、知らないうちにリンクが貼られることのないよう、全体を統括する担当部署で社内部署・グループ会社への注意喚起を行いましょう。

　またサイトが初めて開設され各ポリシーを作成した際は、別々の部署でポリシー作成した後に運営管理をする実務担当者に回ってくることも多いのではないでしょうか。そのため、いまだに相互リンクがなく一方通行なケースや後から橋渡しされたケースも見られます。少なくとも年に1回（春か年末がお勧めです）は相互リンクやポリシー間における関連付けの確認・更新を行い、あわせて各ポリシー間の整合性もレビューすることが必要です。

　また自社サイトの責任者を明確にしておかないと、トラブルなどが起きた緊急時に問い合わせメールも電話も実務担当者宛に転送ラッシュが起こってしまいます。関係部署間の組織体制表に上長の名前だけが記入されているような状態でないか、確認しましょう。

　そしてこの機会に、法務室とCookieに関係する部署すべての連絡網（特に実務の担当者）を作成し、サイト運営の実務担当者だけに負担が集中しないようにしておくと良いでしょう。サイバーセキュリティ対策を講じている企業であれば、技術的な側面と対外情報発信の両面から同時にレビューを行いましょう。