Go-to-Market
セキュリティ用語集
Go-to-Market セキュリティ業界にて使用されている用語を紹介いたします。
Accuracy (正確性/真度)
データの正確性とは、企業がデータの正確性を確保し、必要に応じて最新の状態に保つためにあらゆる合理的な措置を講じなければならないという原則です。分析結果や測定値が、実際の姿や真の値にどの程度近いかということで、複数回の分析結果や測定値の間にどの程度バラつきがなく、互いに近いかを示すprecision(精密度)とは区別して使います。
Advanced Encryption Standard (AES) (高度暗号化標準)
高度暗号化標準(AES)とは、アメリカ合衆国において、機密性の高い非機密情報を保護するための標準的な暗号化方式です。現在では世界中で採用されている信頼性の高い暗号化技術として知られています。
Affiliate Fraud (アフィリエイト詐欺)
アフィリエイト詐欺とは、アフィリエイトマーケターやネットワークが、不正な方法で報酬を不当に得るために、パートナーサイトへ無効なトラフィックを意図的に発生させる悪質な行為を指します。
Algorithm (アルゴリズム)
アルゴリズムとは、データを処理するための数学的な手順や一連のルールのことです。アルゴリズムは、デジタルマーケティングの様々な場面で活用されています。
・SNSのフィード表示順
・Web広告の配信最適化
・レコメンドシステムの商品提案
・メール配信の最適なタイミング決定
上記のように日々のマーケティング活動の裏側で、データを分析・処理し、より効果的なマーケティング施策の実現を支援しています。
Anonymization (匿名化)
データの匿名化とは、個人を特定できる情報(PII)を加工し、誰の情報かを特定できないようにする処理のことです。主に以下の3つの手法があります:
1. 情報の削除(suppression):具体的な情報を完全に削除する方法(例:電話番号や住所の完全な削除)
2. 情報の一般化(generalization):詳細な情報をより大きなカテゴリーにまとめる方法(例:年齢を年代に変換(32歳→30代))
3. ノイズの追加(noise addition):データにランダムな変動を加える方法(例:購買金額に若干のブレを持たせる)
Article 29 Working Party (第29条作業部会)
第29条作業部会(WP29)は、EUのデータ保護とプライバシーに関する独立した諮問機関として機能していた組織で、EU加盟国のデータ保護機関で構成されていました。GDPRの施行に伴い、現在は欧州データ保護会議(EDPB)に引き継がれています。
Audit (監査)
コンプライアンス監査とは、組織の規制ガイドラインへの準拠レベルを明らかにするために行われる監査です。コンプライアンス監査では、セキュリティおよびプライバシーポリシーとリスク管理プロセスの強度と完全性を評価します。
Automated Decision-Making (自動意思決定)
自動化された意思決定とは、人間の介入や干渉なしに、システムが自動的に判断や決定を行うプロセスのことです。現代のデジタルマーケティングでは、様々な場面で自動化された意思決定が活用されています。
・ターゲティング広告の配信:自動的に最適なユーザーを選定し、広告を配信
・パーソナライズされたコンテンツ配信:ユーザーの行動履歴に基づき、最適なコンテンツを自動表示
・メール配信の最適化:開封率や反応率に基づき、配信タイミングを自動決定
Automated Processing (自動処理)
自動処理とは、人間が介入することなく、システムによって自動的にデータを処理することです。
Automation Tool (オートメーションツール)
自動化ツールとは、反復的な作業を高速かつ大規模に自動実行するためのツールです。
Availability (可用性)
データ可用性とは、組織やデータ主体(個人)が必要とする時に、確実にデータにアクセスできる状態を確保することです。GDPRをはじめとする各種プライバシー規制では、企業は個人からの要求に応じて、その個人のデータを利用可能な状態で提供することが求められています。
Behavioral Advertising (行動ターゲティング広告)
行動ターゲティング広告とは、ユーザーの行動履歴の追跡と観察に基づいて、個々のユーザーに最適化された広告を配信する手法です。
Behavioral Anomalies (異常挙動)
異常挙動とは、Webサイトなどでユーザーや訪問者が行う異常な行動パターンのことです。過度なページの移動、不自然な更新、人間らしくないスクロールやブラウジングパターンなどが該当します。
Biometrics (生体認証情報)
生体認証情報とは、DNA、虹彩パターン、顔の特徴、指紋など、個人の身体的特徴に関するデータのことです。GDPRの第9条では、特別な場合を除いて処理が禁止される特別なカテゴリーのデータとして定められています。
Bot (ボット)
ボットとは、人間の行動を模倣したり、特定の作業を自動的に実行したりするように設計されたコンピュータープログラムです。
Breach Disclosure (データ漏洩の開示・通知)
データ漏洩の開示・通知とは、個人データに影響を与えるデータ漏洩が発生した際に、当局、規制機関、および/または被害者に通知するプロセスです。各地域で開示ルールは異なりますが、例えばGDPRでは、データ管理者は漏洩発見から72時間以内に規制機関や被害者への通知が必要です。
Brexit (ブレグジット)
ブレグジットとは、2020年1月31日に実施されたイギリスのEU離脱を指します。イギリスは1993年のEU設立以来、初めて離脱を選択した国となりました。離脱後、GDPRは「UK GDPR」として国内法に組み込まれ、2020年の移行期間を経て維持されています。2021年、イギリス政府はGDPRから独自の方向性を示す意向を表明しましたが、EU・イギリス間のデータ移転を維持するため、どのような変更もEUから十分性認定を得る必要があります。
Caching (キャッシュ)
キャッシュとは、コンテンツの再ダウンロードを減らすために、データのコピーをローカルに保存する処理のことです。
California Consumer Privacy Act (CCPA) (カリフォルニア州消費者プライバシー法)
カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州民の個人識別情報(PII)の収集、保存、取り扱いに関する州レベルのデータプライバシー法です。2020年1月1日に施行され、米国初の州レベルの消費者プライバシー法となりました。主要な規定として、「データ販売のオプトアウト権」(通常「私のデータを販売しない」ボタンで実現)や、PIIの不適切な取り扱いに対して個人が企業を訴えることができる「私的訴権」があります。2023年1月1日からは、カリフォルニア州プライバシー権法(CPRA)に置き換えられ、カリフォルニア州の主要なプライバシー法制となります。
California Privacy Rights Act (CPRA) (カリフォルニア州プライバシー権法)
カリフォルニア州プライバシー権法(CPRA)は、カリフォルニア州のプライバシー権に関する州法で、CCPAを大幅に拡張したものです。カリフォルニア州民のデータプライバシー権の強化、個人識別情報(PII)の利用規制の厳格化、政府執行機関の設立などが含まれており、2023年1月1日に施行されました。
Chargeback Fraud (チャージバック詐欺)
チャージバック詐欺とは、カード所有者が商品を購入した後、商品を保持したまま、カード会社に対して不正に返金を要求する悪質な行為です。
Chief Privacy Officer (最高プライバシー責任者)
最高プライバシー責任者(CPO)は、組織やビジネスにおいて、プライバシー施策の管理と個人情報保護法制への準拠を統括する経営幹部職です。
Children's Online Privacy Protection Act (COPPA) of 1998 (1998年児童オンラインプライバシー保護法)
児童オンラインプライバシー保護法(COPPA)は、13歳未満の子どものオンラインプライバシーと権利を保護することを目的とした米国の連邦法です。13歳未満の子どもを対象とする商用ウェブサイトやオンラインサービス、また13歳未満の子どもから個人識別情報(PII)を収集していることを認識しているウェブサイトに適用されます。COPPAでは、該当するウェブサイトの運営者に対して、プライバシーポリシーのホームページへの掲載、データ収集プロセスの保護者への通知、個人情報収集前の保護者同意取得が求められます。また、子どもの個人情報の第三者提供に関する保護者の選択権、データ収集のオプトアウト、個人情報の削除機会の提供も必要です。
Click Farm (クリックファーム)
クリックファームとは、トラフィック、会員登録、エンゲージメントを不正に水増しする目的で、コンテンツや広告を大量にクリックする作業員グループのことです。
Click Fraud (クリック詐欺)
クリック詐欺とは、広告主の予算を不正に消費させる目的で、広告に対して大量のクリックを意図的に発生させる悪質な行為です。
Client-Side Detection (クライアントサイド検知)
クライアントサイド検知とは、サーバーを経由した後のクライアント側で実行される検知技術のことです。代表的な例として、TCPテクニックやSTUNテクニックがあります。
Consent Banner (同意バナー)
同意バナーとは、クッキーやウェブビーコンなどのトラッキング技術の使用についてWebサイト訪問者に通知し、トラッキングのオプトインまたはオプトアウトの選択を求めるための告知です。ほとんどのデータプライバシー規制で設置が義務付けられています。
Consent Management (同意管理)
同意管理とは、組織がデータプライバシーとトラッキングの実践についてユーザーに通知し、トラッキングの同意を取得し、プライバシー設定を管理・実施するシステムまたはプロセスです。プライバシー法規制への準拠を証明する上で重要な要素となります。
Consent Management Platform (CMP) (同意管理プラットフォーム)
同意管理プラットフォーム(CMP)は、組織の同意管理プロセスを自動化するためのツールまたはツール群です。充実したCMPは、ユーザーの同意取得、プライバシー設定の管理、そしてそれらの設定をプライバシー規制に準拠した形で実施することを支援します。CMPは、GDPR、CCPA、PIPL等の規制への準拠を維持しながら、ユーザーや顧客のデータプライバシーを保護する手助けをします。
Consumer Data Protection Act (CDPA) (消費者データ保護法)
消費者データ保護法(CDPA)は、米国バージニア州の州レベルの消費者プライバシー法です。バージニア州民に6つのデータプライバシー権(アクセス権、訂正権、削除権、データポータビリティ権、オプトアウト権、異議申立権)を付与しています。CDPAは米国で2番目に制定された州レベルのプライバシー法で、先行するCCPAよりも比較的緩やかなアプローチを取っています。
Cookie (クッキー)
クッキーとは、ユーザーがウェブを閲覧する際の識別に使用される小さなテキストファイルです。主にログイン情報、設定、ショッピングカートなどを記憶してユーザーのブラウジング体験を向上させるために使用されますが、プライバシーリスクともなり得ます。例えば、サードパーティクッキーは、ユーザーの同意なしに複数のドメインにまたがるウェブ活動を追跡するために使用される可能性があります。このようなプライバシーへの影響から、EUのGDPRやカリフォルニア州のCCPAなどの法規制により、クッキーの使用は徐々に規制されています。
Cookie Compliance (クッキーコンプライアンス)
クッキーコンプライアンスとは、ウェブサイトのクッキーやトラッキングの運用をGDPRやCCPAなどのプライバシー法や指令の基準に適合させるプロセスです。地域によって要件は異なり、単純なトラッキングの通知(通知のみの同意)から、ユーザーへの許可取得、設定の保存・実施、いつでも設定変更可能なオプションの提供まで、複雑な対応が必要な場合があります。違反の罰則は様々ですが、GDPRでは年間売上高の4%に達する可能性があります。ほとんどの組織にとって、同意管理プラットフォーム(CMP)の導入が、最も容易で費用対効果の高いアプローチとなります。
Cookie Consent (クッキー同意)
クッキー同意とは、クッキーを使用してユーザーのブラウジング活動を追跡することについて、ユーザーから同意を得るプロセスです。
Cookie Directive (クッキー指令)
クッキー指令は、トラッキングクッキーの設置前にユーザーの同意を必要とするeプライバシー指令の改正規定です。
Cookie Stuffing (クッキースタッフィング)
クッキースタッフィングとは、アフィリエイトマーケターやネットワークが、第三者サイトを通じて、訪問者の知識や同意なしにブラウザにクッキーを埋め込む悪質な行為です。これは、訪問者がECサイトで購入した際に、アフィリエイターがその訪問者をECサイトに誘導した実績を不正に主張し、コミッションを得るために行われます。
Cookie Wall (クッキーウォール/トラッキングウォール)
クッキーウォール(またはトラッキングウォール)とは、ウェブサイトの利用のために、ユーザーにクッキー、トラッキング、データ処理への「同意」や「承諾」を強制する仕組みです。クッキーウォールではトラッキングやデータ処理を拒否する選択肢が提供されないため、GDPRなど多くの規制において、正当な同意取得方法とは認められていません。
Crawler (クローラー)
クローラーとは、Webページを自動的に巡回して、カタログ化やインデックス化を行うように設計された自動プログラムです。
Cross-Border Data Transfer (越境データ移転)
越境データ移転とは、個人情報を異なる法的管轄地域間で移転することです。
Cross-site Scripting (クロスサイトスクリプティング)
クロスサイトスクリプティング(XSS)は、攻撃者が正規のアプリケーションに悪意のあるスクリプトを挿入し、ユーザーのWebブラウザ内で改変されたスクリプトを介して攻撃を行うクライアントサイドの攻撃手法です。この攻撃は、JavaScript、CSS、VBScript、ActiveX、Flashで作成されたWebアプリケーションでよく見られます。
Cure Period (是正期間)
是正期間とは、法令違反の通知を受けた後、組織がペナルティを避けるために非準拠のデータ取り扱いを修正(「是正」)する機会として与えられる一定の期間です。例えば、CPAでは違反者に30日間の是正期間が与えられます。
Customer Acquisition (カスタマーアクイジション)
カスタマーアクイジションとは、企業がオンラインで顧客を獲得するために行う総合的なマーケティング活動のことです。
Customer Acquisition Security (CAS) (カスタマーアクイジションセキュリティ)
カスタマーアクイジションセキュリティ(CAS)とは、オンラインの顧客獲得プロセス全体において、不正なトラフィックがデジタル資産に干渉することを防ぐことを目的としたサイバーセキュリティ主導のビジネス戦略です。
Dark Patterns (ダークパターン)
ダークパターンとは、ユーザーを意図的に誤誘導したり、操作したりするように設計されたユーザー体験のことです。例えば、定期購入に勝手に加入させられたり、個人情報の提供に同意させられたりするなど、ユーザーの利益に反する行動や結果に誘導するような仕組みを指します。
これは特にデジタルマーケティングやウェブデザインの分野で重要な概念で、以下のような具体例があります:
・解約ボタンを見つけにくい場所に配置する
・意図的にわかりにくい文言を使用する
・個人情報の提供を強制的に求める
・ユーザーに心理的プレッシャーをかける表現を使用する
このような手法は短期的な成果を上げる可能性がありますが、長期的にはユーザーの信頼を失い、ブランドイメージを損なう可能性があるため、注意が必要です。
Data Adequacy (データ十分性認定)
データ十分性認定とは、欧州委員会がEU域外の国に対して与える認定のことで、その国のデータ保護水準がEUの一般データ保護規則(GDPR)と同等のレベルにあると判断された場合に付与されます。
Data Breach (データ漏洩/情報漏洩)
データ漏洩とは、個人情報のセキュリティや機密性を損なう、あらゆる不正アクセスやデータの不正取得のことを指します。
Data Broker (データブローカー/情報仲介業者)
データブローカーとは、個人データを収集し、それを販売することを主な事業とする企業や組織のことです。
Data Center Traffic (データセンタートラフィック)
データセンタートラフィックとは、個人のネットワークではなく、大規模なデータ保管施設から発生するインターネット通信のことです。このトラフィックは時として悪意のあるボット活動を生み出す原因となることがあります。
Data Controller (データコントローラー/データ管理者)
データ管理者とは、GDPR(EU一般データ保護規則)において、組織におけるデータの収集方法や利用目的を決定する個人または組織のことを指します。個人、民間企業、その他の法人がデータ管理者となることができます。
Data Loss Prevention (DLP) (データ損失防止/情報漏洩対策)
データ損失防止(DLP)とは、機密データの紛失、誤用、不正アクセスを防ぐために使用される一連のプロセスやツールのことです。
Data Minimization (データ最小化)
データ最小化とは、データ管理者が必要最小限の個人データのみを収集・処理するべきという原則です。
Data Portability (データポータビリティ)
データポータビリティとは、データを異なるプログラム、ファイル、コンピューター環境、アプリケーション間で容易に移動できる権利のことです。多くの法域では、個人(データ主体)は、データ管理者に対して自分の個人データを構造化された一般的な機械可読形式で提供するよう要求する権利を持っています。
Data Processing (データ処理)
データ処理とは、データに対して行われるあらゆる操作や一連の作業のことを指します。
Data Processor (データプロセッサー/データ処理者)
データ処理者とは、GDPR(EU一般データ保護規則)において、データ管理者の指示に従って個人データの処理を行う法人または個人のことを指します。
Data Protection Authority (DPA) (データ保護当局)
データ保護機関(DPA)とは、EU加盟国においてデータ保護法の適用を監督する公的機関です。DPAは強力な執行権限を持ち、企業の全世界年間売上高の最大4%に相当する制裁金を課すことができます。
Data Protection Policy (データ保護ポリシー)
データ保護方針とは、企業や組織が個人データを処理する際に採用するプライバシーとセキュリティの対策を概説した方針のことです。
Data Protection Principles (データ保護の原則)
データ保護原則とは、GDPR(EU一般データ保護規則)第5条で定められた基本原則のことです。法令遵守、公正性、透明性、目的の制限、データの最小化、正確性、保管の制限、完全性と機密性が含まれます。
Data Security Law (DSL) of the People's Republic of China (中華人民共和国のデータセキュリティ法)
中華人民共和国データセキュリティ法は、2021年に制定された中国の法律で、国家安全保障と公共の利益に関わる重要データを保護することを目的としています。本法では、中国政府がデータの重要度に基づいて分類し、各分類に応じたデータ保護基準を設定する「データ分類システム」を導入しています。
Data Subject (データ主体/情報主体)
データ主体とは、個人データが関係する個人のことを指します。つまり、個人情報の持ち主である個人のことです。
EU-US Privacy Shield (EU-USプライバシーシールド)
EU-米国間プライバシーシールドは、2016年にEUと米国の当局間で交渉された、データ転送に関する合意枠組みです。
Erasure (消去)
消去権とは、個人データの削除を求める権利のことです。GDPR第17条(1)により、以下の場合にデータ主体(個人)は自身の個人データの削除を要求することができます:当初の目的のためにデータが不要となり、新たな合法的目的が存在しない場合、データ処理の法的根拠が本人の同意であり、その同意が撤回された場合、または違法にデータが処理された場合。
European Data Protection Board (欧州データ保護委員会)
欧州データ保護会議(EDPB)は、GDPRの一貫した適用を確保する責任を持つ組織です。EDPBは、EU加盟国の監督機関の長、欧州データ保護監督機関、および欧州委員会の代表者で構成されています。
Excessive Rate Limit (エクセッシブレートリミット)
過剰レート制限とは、ウェブサイト訪問者による不正ログイン試行や不完全なフォーム送信などの無効なアクションを繰り返し実行する能力を制限するために設定される閾値のことです。
ePrivacy Directive (eプライバシー指令)
eプライバシー指令は、2002年に制定されたEUの法律で、電子通信におけるプライバシーと個人データの保護に焦点を当てています。主に通信会社、携帯電話事業者、インターネットサービスプロバイダー(ISP)を対象としており、GDPRと新たなeプライバシー規則の先駆けとなった法律です。
ePrivacy Regulation (eプライバシー規則)
eプライバシー規則は、EUで提案されている新しい規則で、既存のeプライバシー指令を置き換え、その範囲を拡大するものです。GDPRと連携してEUのプライバシー権の強化と執行を図ることを目的としています。
Fair Credit Reporting Act (FCRA) (公正信用報告法)
公正信用報告法(FCRA)は、1970年に制定された米国連邦法で、信用情報に関するデータ収集、消費者のアクセス権、情報訂正、および信用報告の許容される目的について規定しています。
Fair and Accurate Credit Transactions Act (FACTA) of 2003 (2003年公正信用取引法)
公正・正確な信用取引法(FACTA)は、2003年に制定された法律で、個人情報窃盗の防止に重点を置いたFCRA(公正信用報告法)の拡張版です。この法律により、消費者は年1回の無料信用報告書の取得が可能となり、なりすまし被害の疑いがある場合の警告を要請できるようになりました。また、連邦取引委員会(FTC)に個人情報窃盗に関するルール制定の権限を与えています。
False Representation (なりすまし)
なりすまし・偽装とは、ユーザーやサイト訪問者が自身のアイデンティティの要素(デバイス、オペレーティングシステム、ブラウザ、IP、位置情報など)を隠蔽しようとする行為を指します。
Family Educational Rights and Privacy Act (FERPA) (家族教育権利およびプライバシー法)
家族教育権とプライバシー法(FERPA)は、学生の教育記録のプライバシー保護基準を定めた米国連邦法です。米国教育省のプログラムから資金を受け取るすべての教育機関に適用されます。
Fingerprinting (フィンガープリンティング)
フィンガープリンティング(ブラウザフィンガープリント)とは、ユーザーが使用しているウェブブラウザの特徴に基づいてユーザーを識別するプロセスです。また、ネットワークやウェブサイトへの訪問者を特定するためにログファイルが使用されることもあります。
First-Party Cookies (ファーストパーティクッキー)
ファーストパーティクッキーとは、ユーザーが訪問したウェブサイトが直接設定・保存するクッキーのことです。サードパーティクッキー(第三者のサーバーコードを読み込む任意のドメインで利用可能)とは異なり、作成したドメインでのみ利用可能です。
Functional Cookies (機能性クッキー)
機能クッキーとは、ユーザーのログイン情報や位置情報などを記憶する、ウェブサイトの機能に関連したタスクを実行するクッキーです。これらのクッキーがないと、ユーザーはウェブサイトを訪問するたびにログインする必要があり、パーソナライズされた情報を受け取ることができません。
General Data Protection Regulation (GDPR) (一般データ保護規則)
EU一般データ保護規則(GDPR)は、EU加盟国全体に適用される統一的なデータプライバシーと保護のルールを定めたEU法です。173の前文と99の条項で構成され、世界で最も厳格なプライバシーとセキュリティの法律として知られています。GDPRは、組織がEU域内に拠点を持つかどうかに関わらず、EU市民の個人データを収集・処理するすべての組織に適用されます。
Governance (ガバナンス)
データガバナンスとは、組織のシステム内のデータの完全性とセキュリティを管理するプロセスです。ガバナンス実践は、組織内の基準やポリシー、および地域の規制に基づいて実施されます。
Health Insurance Accountability and Portability Act (HIPAA) (医療保険の相互運用性と説明責任に関する法律)
HIPAA(医療保険の説明責任と携行性に関する法律)は、医療情報の流通を規制し、医療関連の個人識別情報を不正や盗難から保護することを定めた米国連邦法です。
Heath Information Technology for Economic and Clinical Health Act (HITECH) (経済的および臨床的健全性のための医療情報技術法)
HITECH法は、保護対象保健情報(PHI)に関するプライバシーとセキュリティの課題に対応することを目的とした米国連邦法です。
ISO 27001 (ISO27001)
ISO 27001は、情報セキュリティマネジメントシステムの実装のための実践基準と認証規格です。これは国際標準化機構(ISO)によって定められた国際規格です。
Implied Consent (黙示の同意/暗黙の同意)
ファーストパーティクッキーとは、ユーザーが訪問したウェブサイトが直接設定・保存するクッキーのことです。サードパーティクッキー(第三者のサーバーコードを読み込む任意のドメインで利用可能)とは異なり、作成したドメインでのみ利用可能です。
Interactive Advertising Bureau (IAB) (インターネット広告に関する米国協議会)
インタラクティブ広告協会(IAB)は、広告事業者を代表する業界団体です。Transparency and Consent Framework(透明性と同意に関する枠組み)などの業界標準を開発しています。
Invalid Malicious Activity (悪意がある不正挙動)
不正な悪意のある活動とは、悪意を持った人間のユーザーから発生する活動のことで、通常は顧客獲得プロセスからブロックすべき活動を指します。
Invalid Suspicious Activity (疑わしい不正挙動)
不審な無効活動とは、悪意のある行為や非人間的な特徴・行動を示すユーザーによって生成される活動のことですが、確実に悪意があるとは断定できない、もしくは確実に非人間とは断定できないものを指します。
Invalid Traffic (IVT) (不正トラフィック)
無効トラフィックとは、実際の購入顧客となる可能性がないユーザーやアクセスのことを指します。これには、ボット、偽装アカウント、プロキシユーザー、競合他社、クリックファーム、JavaScript無効ブラウザ、自動化ツールなどが含まれます。
Invalid Visit (不正ビジット)
無効訪問とは、有料マーケティング、オーガニック検索、または直接流入を通じて、無効なユーザーがランディングページやウェブサイトに訪れることを指します。
JavaScript Disabled Browser (JavaScript無効ブラウザ)
JavaScript無効ブラウザとは、JavaScriptが無効化されているブラウザのことです。これにより、ウェブサイトの機能が制限され、訪問者が特定のウィジェット、フォーム、ページ要素と適切に関わることができなくなります。
Lawfulness (合法性)
適法性は、GDPRが定める個人データ処理の要件の1つで、公平性や透明性とともに重要な原則です。データ処理が適法とされるためには、データ主体(個人)がデータの処理、保存、使用を認識し、十分な情報を得た上で同意を与える必要があります。GDPRは個人データの適法な処理の根拠として、同意、必要性、契約要件、法的義務、データ主体の保護、公共の利益、管理者の正当な利益という6つの基準を定めています。
Metadata (メタデータ)
メタデータとは、他のデータを説明するためのデータのことです。
Network Anomalies (ネットワーク異常)
ネットワーク異常とは、不正行為を示すことが多い不規則なブラウジングパターン(時間帯、量、場所)やユーザー属性(IP、ユーザーエージェント、OS)のことを指します。
Notice-Only Consent (通知のみの同意)
通知のみの同意とは、ウェブサイトがクッキーを使用していることをユーザーに通知するバナーのことで、クッキーの使用目的を説明する場合もありますが、オプトアウトの選択肢は提供しません。ユーザーがウェブサイトの利用を継続することで、追跡に対する暗黙の同意とみなされます。この方法は米国では一般的ですが、GDPRやPIPL(中国個人情報保護法)などの規制で定められた同意要件には適合しません。
Opt-In Consent (オプトイン同意)
オプトイン同意バナーは、Webサイトで使用されている追跡技術について訪問者に通知し、必須ではないすべてのクッキーを拒否するか、すべてのクッキーを受け入れるかの明確なオプションを提供します。ユーザーはデフォルトでオプトアウトされており、追跡またはデータ処理に同意するには明示的なアクションを実行する必要があります。この同意モデルはGDPRに準拠しています。
Opt-Out Consent (オプトアウト同意)
オプトアウト同意バナーは、Webサイトで使用されているクッキーと追跡技術について訪問者に通知し、追跡とデータ処理のすべてまたは一部をオプトアウトするオプションを提供します。通常、ユーザーはデフォルトでオプトインされており、オプトアウトするには手動で操作する必要があります。たとえば、さまざまなクッキーやトラッカーをオプトアウトするには、いくつかのボックスをオフにする必要がある場合があります。オプトアウト同意バナーはGDPRに準拠していませんが、CCPAおよびLGPDでは許可されています。一方、黙示の同意とは、ユーザーの明示的な許可なしに想定される同意のことです。例えば、コンテンツにアクセスするためにトラッキングクッキーの受け入れを強制するウェブサイトや、クッキーの同意バナーで承認や拒否をせずにページを離れた場合に自動的に同意したとみなすケースなどが該当します。
Performance Cookies (パフォーマンスクッキー/統計クッキー)
パフォーマンスクッキーは、ユーザーのWebサイトの利用状況を監視するために使用されます。例えば、ユーザーが最も頻繁に訪問するページ、Webサイト内での移動経路、エラーが発生したリンクなどを追跡します。パフォーマンスクッキーは、Webサイトの機能改善のみを目的としており、ユーザーを特定できる情報は収集しません。
Persistent Cookies (永続クッキー)
永続クッキーは、ユーザーまたはブラウザによって削除されるまで、ユーザーのデバイスに保存され続けるクッキーです。ユーザーの設定、好み、ログイン認証情報などを記憶するのに役立ちます。すべての永続クッキーには有効期限が設定されており、期限に達すると自動的に破棄されます。eプライバシー指令では、永続クッキーの保存期間は12ヶ月を超えてはならないと定められています。
Personal Data (個人データ/個人情報)
EUのプライバシー法で使用されているPIIの同義語。GDPRでは、個人データまたは個人情報は「識別された、または識別可能な自然人(「データ主体」)に関するあらゆる情報」と定義されています。識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子などの識別子、または身体的、生理学的、遺伝的、精神的、経済的、文化的、または社会的なアイデンティティに固有の1つ以上の要素を参照することにより、直接的または間接的に識別できる人物です。
Personal Data Protection Act (PDPA) of Thailand (タイ個人情報保護法)
タイ個人情報保護法(PDPA)は、タイ国民のデジタル権利を保護し、タイで事業を行う企業が遵守すべきデータ保護基準を定めた法律です。この法律は、タイ国内の企業だけでなく、タイ国民に製品やサービスを提供したり、オンライン行動を監視したりする国外の企業にも適用されます。PDPAはEUのGDPRを参考に策定され、「管理者」や「処理者」などの概念や定義を採用しています。企業は個人情報の収集・利用に関する法的根拠を証明する必要があり、特定の状況では同意が必要となります。
Personal Information Privacy Law (PIPL) of China (中国個人情報保護法)
中国個人情報保護法(PIPL)は、中国初の包括的なデータプライバシー法で、2021年8月20日に可決され、同年11月1日に施行されました。EUのGDPRと同様の規模と範囲を持ち、個人データの収集、利用、管理に関する厳格な制限を課しています。中国のデータセキュリティ法と共に、中国政府に広範な執行権限を与え、国内大手テクノロジー企業や中国で事業を展開する国際企業に対して厳格なコンプライアンス環境を創出します。この法律は「個人の権利と利益の保護」と、個人情報処理活動の規制を通じた個人情報の「合理的な利用」を促進することを目的としています。
Personal Information Protection and Electronic Documents Act (PIPEDA) (カナダ個人情報保護・電子文書法)
カナダ個人情報保護・電子文書法(PIPEDA)は、カナダの民間企業に適用される連邦プライバシー法です。この法律は、「個人の個人情報に関するプライバシー権と、合理的な人が状況に応じて適切と考える目的のために組織が個人情報を収集、利用、開示する必要性の両方を認識した方法で、個人情報の収集、利用、開示を規制する」ことを目的としています。
Personally Identifiable Information (PII) (個人識別情報)
個人識別情報(PII)とは、直接的または間接的に個人の身元を特定できるあらゆる情報を指します。一般的なPIIには以下のようなものがあります:
基本的なPII:
・マイナンバー
・電話番号
・住所
・生体認証データ(指紋、顔データなど)
デジタル時代のPII:
・IPアドレス
・位置情報
・行動データ(ウェブサイトの閲覧履歴、購買履歴など)
マーケティングの観点では、PIIの適切な取り扱いは個人情報保護法やGDPRなどの法令順守に不可欠です。また、顧客データを活用する際は、個人を特定できない形に加工(匿名化)することが重要です。
PIIの取り扱いを誤ると、データ漏洩や個人のプライバシー侵害につながる可能性があるため、適切な管理と保護が必要です。
Prior Consent (事前同意)
オプトイン同意バナーは、Webサイトで使用されているトラッキング技術についてユーザーに通知し、必須でないクッキーをすべて拒否するか、すべてのクッキーを受け入れるかの選択肢を明確に提示します。初期設定では同意していない状態(オプトアウト)となっており、トラッキングやデータ処理に同意するには、ユーザーが明示的なアクションを取る必要があります。このような同意モデルはGDPR(EU一般データ保護規則)に準拠しています。
Privacy by Design (プライバシー・バイ・デザイン)
プライバシー・バイ・デザインとは、アプリケーションやWebサイトの設計段階から、プライバシー保護を積極的に組み込む考え方です。
実践例:
・ユーザー登録時に収集する個人情報を必要最小限に抑える
・データの暗号化をシステムの基本機能として実装
・プライバシー設定をデフォルトで最も安全なレベルに設定
マーケティング活動では、データ収集・分析ツールの導入時から、プライバシー保護を意識した設計を行うことで、顧客の信頼を獲得し、法令順守のリスクも低減できます。
Proxy (プロキシ)
プロキシとは、ユーザーの身元や場所を隠すための中継サーバーです。
主な機能:
・IPアドレスの匿名化
・地理的制限のあるコンテンツへのアクセス
・通信の暗号化
マーケティングでは、プロキシの存在を考慮したアクセス解析やユーザー行動の分析が必要です。プロキシ経由のアクセスは実際のユーザー数や地域データに影響を与える可能性があるためです。
Re-Visit (再訪問)
再訪問とは、不正なユーザーがWebサイトやランディングページに2回目以降アクセスすることです。マーケティングでは、広告の効果測定やコンバージョン分析において、不正な再訪問を適切に識別し、除外する必要があります。
Real-time bidding (リアルタイム入札)
リアルタイムビッディングとは、Webページの読み込み時間内にリアルタイムのオークション形式で、オンライン広告の枠を売買するプロセスです。入札に勝利すると、買い手の広告が即座にパブリッシャーのサイトに表示されます。
Remarketing (リマーケティング)
リマーケティングとは、過去のユーザーとの接点から得られた情報を活用し、同じ消費者に対してデジタル環境で複数回マーケティングを行う戦略です。
Roach Motel (ローチモーテル)
サービスへの登録や同意は簡単にできるのに、解約や同意の取り消しを意図的に複雑にする悪質なUXデザインパターンです。例えば、サブスクリプションの開始はボタン1つで完了するのに、解約は電話やチャットボット経由でしか行えないような仕組みを指します。
Scraper (スクレイパー)
サイトからデータを自動的に収集するためのプログラムです。Webページの内容を機械的に読み取り、必要な情報を抽出する自動化ツールのことを指します。
Serve-Side Detection (サーバーサイド検知)
クライアントにリクエストが届く前に、サーバー側で実行される検知技術です。主にDNSやHTTPの技術を活用して、不正アクセスや異常を検出します。一般的な実装例として、IPアドレスのブラックリスト照合、リクエストヘッダーの解析、アクセスパターンの分析などがあります。クライアントサイドでの検知と比べて改ざんが難しく、より信頼性の高いセキュリティ対策として機能します。
Session Cookies (セッションクッキー)
ブラウザに一時的に保存される情報で、ユーザーがブラウザを閉じると自動的に削除されるクッキーです。一時クッキーや非永続クッキーとも呼ばれます。セッションクッキーは、ショッピングカートの内容やログイン状態の維持など、一時的なユーザー情報の管理に使用されます。永続クッキーと異なり、セキュリティリスクが低く、プライバシー保護の観点からも推奨される実装方法です。
Skewed BI (歪んだBIデータ)
無効なトラフィックの混入により、ビジネスインテリジェンスやマーケティングインテリジェンスのデータが歪められている状態を指します。これは、ファネル、オーディエンス、キャンペーン、またはパイプラインの分析に影響を与えます。データの歪みは、ボットアクセスや不正クリック、重複トラフィックなどが原因で発生します。正確な意思決定のために、アクセスログの精査やフィルタリング、異常検知の実装など、データクレンジングの対策が必要です。
Skewed Optimization (歪んだ最適化)
無効なトラフィックからの転換(コンバージョン)により、GoogleやFacebookなどの主要広告プラットフォームの自動最適化機能が誤った方向に調整されてしまう状態です。
Soft Opt-in (ソフト オプトイン)
ユーザーが同意バナーで明示的な拒否をせずに画面を離れた場合に、自動的に同意したとみなす同意管理の手法です。GDPRでは有効な同意とは認められません。この方式は、サイトの利便性を重視した実装ですが、プライバシー保護の観点から問題があります。代わりに、ユーザーの明示的な同意を得る「ハード オプトイン」の採用が推奨され、多くの地域で法的要件となっています。
Spambot (スパムボット)
主にメールを通じて、大量のメッセージを自動的に送信するボットプログラムです。スパムボットは、フィッシング詐欺や不正広告の配信に悪用されることが多く、メールシステムやネットワークに負荷をかけます。対策として、メールフィルタリング、CAPTCHA認証、送信制限などの防御措置が一般的です。
Strictly Necessary Cookies (必須クッキー)
ウェブサイトの基本的な機能やナビゲーションに必要不可欠なクッキーです。ショッピングカートの内容の記憶やウェブサイトの特定セクションへのアクセス管理などに使用され、GDPRではユーザーの同意を必要としない唯一のクッキーカテゴリーとして認められています。
Tag (タグ)
ウェブサイト上で特定の機能を実行するJavaScriptで書かれた短いコードです。マーケティングや広告では、ユーザーの行動データを収集するために使用されます。タグの実装には、Google Tag Manager などのタグマネジメントシステム(TMS)を使用することで、開発者に依頼することなく、マーケターが直接タグの設定や管理を行うことができます。ただし、過剰なタグの設置はサイトの表示速度低下の原因となるため、適切な運用が重要です。
Targeting Cookies (ターゲティングクッキー)
ユーザーの情報とオンライン行動を収集し、マーケターや広告主が関連性の高い広告を配信するためのクッキーです。ユーザープロファイルの構築や広告パフォーマンスの分析にも使用され、ほとんどの場合、サードパーティーの永続的クッキーとして実装されています。
Third-party Cookies (サードパーティクッキー)
訪問しているドメインではなく、広告主や分析システムなどの第三者によって作成されるクッキーです。通常、タグやスクリプトを通じてウェブサイトに追加され、そのサードパーティーのコードを読み込むすべてのウェブサイトからアクセス可能です。サードパーティークッキーは、クロスサイトトラッキングや広告配信の最適化に使用されてきましたが、プライバシー保護の観点から、主要ブラウザでの段階的な廃止が進められています。代替技術として、FLoC、TOPICS APIなどのプライバシーに配慮した新しい仕組みへの移行が検討されています。
Transparency and Consent Framework (TCF) (透明性と同意のフレームワーク)
IAB EuropeとIAB Tech Labが開発したオープンソースのフレームワークで、ユーザーの同意取得プロセスと広告配信チェーンにおける同意情報の伝達を標準化するものです。現行バージョンのTCF 2.0は2019年8月に導入されました。
Valid Consent (有効な同意)
有効な同意とは、十分な情報提供の下で、明確かつ自由意思に基づいて得られる同意を指します。ユーザーは同意対象を正確に理解し、トラッキングやデータ処理に対して強制のない選択肢を与えられる必要があります。また、過去に同意したユーザーは、不利益を被ることなく後から同意を撤回できることが重要です。
Virtual Private Network (VPN) (仮想プライベートネットワーク)
ユーザーや訪問者の位置情報を隠すために使用される一般的なプロキシの一種です。VPNはプライバシー保護やセキュリティ対策として広く利用されていますが、マーケティング施策では地域制限コンテンツの回避や不正アクセスの手段としても使用される可能性があるため、適切な検知と対策が必要です。
Web Beacon (ウェブビーコン)
透明な画像として実装され、タグとして機能するツールで、ユーザーのサイト訪問を記録します。ピクセルタグとも呼ばれます。ウェブビーコンは、メール開封率の測定やウェブサイトでのユーザー行動トラッキングに使用されます。1x1ピクセルの透明な画像として実装されるため、ユーザーには視認できません。プライバシー規制の観点から、使用時はユーザーへの適切な通知と同意取得が必要です。