サービスの海外展開に重宝するレギュレーションプラットフォーム「Ketch」の紹介

本記事では、Programmatic Privacy Softwareの Ketch の機能をご紹介していきます。

Ketchはデータ基盤ではなく、Webフロント寄りの位置付け、さらに言えばリーガルテック的なカテゴリにも分類できそうです。ただコンセプトの良さと製品のクオリティがとんでもなく高いので、皆さんにぜひ知っておいて欲しいSaaSの一つです。

Ketchについて

Ketchは2020年にサンフランシスコで創業されたスタートアップです。創業わずか1年でシリーズAに到達して$20Mの資金調達に成功したり、Gartnerからプライバシー領域にCool Vendorに選出されるなど、データガバナンス領域において今かなり急成長中している企業の一つです。

• Ketch raises another $20M as demand grows for its privacy data control platform | TechCrunch
• Ketch Named a Cool Vendor in Privacy by Gartner | Business Wire

Ketchの最大の特徴は、Webサイトのプライバシー関連の承諾・拒否のバーナーを、国・地域ごとの規制やサービスの目的ごとに自動で表示を切り分けられる機能を提供している点です。GDPRやCCPAといった規制に関するKetch側のデータの持ち方も上手く設計されているため、異なる規制間で共通している項目を使い回すことができます。また、データの削除権限をユーザーが行使した際に、該当データを自動で削除するためのワークフローも構築することができ、昨今のプライバシー情勢をかなり意識した製品設計になっています。

KetchにはFree Planが用意されているので、誰でも無料で機能を試すことができます。次節よりUIから見た機能をご紹介していきます！

アカウント作成とPolicy Center

公式HPよりStart for freeをクリックし、サインアップを行っていきます。

メールアドレスや組織名を入力してRegisterをクリックすると、そのメールアドレス宛てにログイン用のリンクが送信されます。

ログイン後、パスワードの再設定などを行い、組織名を入力するとInsightsの画面にランディングします。Insightsは最後に解説します。

Jurisdictions

まずはPolicy CenterのJurisdictions（規制区域）の機能を見ていきます。

Jurisdictionsには、各国・各地域の規制情報がリスト化されているページです。

タブをMapに切り替えると、地図でJurisdictionsを概観することもできます。

Listタブに戻ってGlobal Standardの詳細を見てみます。Global Standardは、全世界で共通のプライバシー情報や権利情報を定義しておくJurisdictionです。適用される国や地域が画面上部のリストと地図形式で確認することができ、画面下部のRightsではユーザー側のプライバシーに関する権利情報、例えばデータの消去やアクセス権について整理されています。

Purposesは、収集したデータを何のために使用するのかを定義する項目です。

法律や規制に更新があった場合でも、Versionsで履歴を残しておくことができます。

上記はグローバルで共通するJurisdictionでしたが、例えばデータの越境でよく話題に上がるGDPRのJurisdictionは、ユーザーの権限の内容も違ってきます。各国各地域の規制を正しく理解して適応させるにはかなりの労力と管理コストがかかりますが、Ketchはその問題を解決するためのプラットフォームとして機能しています。

せっかくなので日本の個人情報保護法、Act on the Protection of Personal Information (APPI)のJurisdictionを作成してみます。

テンプレートの選択画面をスキップ後、Jurisdiction名と概要を入力します。

RegulationsでAPPI、RegionsでJapanを選択してNextをクリックします。

選択したRegulationsに応じたRightsが自動で選択されるようになっています。そのままSave & Finishをクリックすると作成完了です。

APPIは以下のような感じで定義されました。

Purposes

Purposesでは、取得したユーザーデータをどのような目的で使用するのかを定義します。Analyticsの詳細を見てみます。

Overviewのタブでは、Analytics概要が記載されています。

Regal Basesでは、先ほどのJurisdictionsの情報が紐づけられています。Editをクリックして編集画面に行きます。

NameはDescriptionはユーザー側で自由に記述することが可能ですが、Data RoleやKetch Roleといった情報はKetch側で用意されているカテゴリを付与する形になっています。

Legal Basis Assignmentでは、各Jurisdictionに対してConsent - Opt In（承諾）Consent - Opt Out（拒否）Disclosure（開示）を選択できます。利用目的に応じて設定し分けましょう。Saveをクリックすることで保存できます。

Policy Documents

Policy Documentsでは、Webサイトのプライバシーポリシーのページを指定してPurposeを紐づけることができます。

こちらはKetchが直接制御しているというよりかは、あくまで参照用に管理しているリソースといった感じでしょう。

Cookies

Cookiesでは、Webサイトで生成しているCookieの属性情報を記述・付与することができます。サンプルでは用意されていなかったため、試しに作成してみました。

Cookieには、Service ProviderやCookieの性質などを付与することが可能です。

また、Purposeや後述するPropertiesと紐づけることもできます。

Cookieも以下のような表示形式でドキュメント化しておくと、リーガル関係の管理が楽になりそうですね。

Experience Server

Policy Centerでは規制や法律関係のデータを作成してきましたが、Experience Serverではもう少しサービス寄りのリソースを制御していきます。

Properties

Propertiesでは、後述するExperiencesを表示するWebサイト等を定義します。

デフォルトではクラスメソッドの公式サイトが仮に登録されていました。

Experiences

Experiencesは、ユーザーがWebサービスにアクセスした際に承諾したりするプライバシーポリシーのバナーやモーダルを定義することができます。

Experiencesの詳細画面でEditやPreviewをクリックするとブラウザで表示されるモーダルを確認できます。

こういった承諾や拒否のモーダルをプログラマティックに制御することで、国やWebサービスの目的ごとに自動的に表示を切りわけることができます。

Themes

Themesでは、モーダルのカラーやデザイン等を調節することができます。

デフォルトではモノトーン調のThemeが用意されています。

Deployment Plans

Deployment Plansでは、PropertiesからExperienceを一括りにまとめたレシピを定義します。

各Jurisdictionに対してExperienceを紐づけたり、Policy DocumentsやPropertiesを関連づけてデプロイが可能です。

Languages

Ketchは他言語でのバーナーの切り替えも可能です。設定はLanguagesから行い、追加するにはManage Languagesをクリックします。

日本語も用意されていたので、クリックして追加しておきます。

ここで設定した言語はExperience作成時に、その言語専用のテキストを記述できるようになります。ユーザーの使用言語によってモーダル内のテキストを切り替えられるのは便利ですね。

Orchestration

Eventsでは、RightsがInvokeされた時に起動するWorkflowを設定できます。

Eventから発火されるWorkflow内では、タスクの実行や承認フロー、通知の実施などを定義することができます。

Insights

ここまで紹介してきた要素をダッシュボード化したのがInsightsです。Permit StatisticsのSummaryでは、Webサイトに訪問したユーザーの承諾率などがグラフ化されています。

Allowance BreakdownはJurisdictionやPurposeごとの承諾率が集計されています。

Distributionは、全体に対するJurisdictionの分布などを把握することができます。

上部メニューよりRights Invocationsに切り替えると、権利関係のダッシュボードが表示されます。

ざっくりとした紹介は以上です！まだ結構説明しきれていない機能もあるので、興味ある方はご自身で試してみてください。

所感

昨今はデータの越境やプライバシーに関する規制が厳しくなってきてますが、まさに来る時代に向けて開発・提供されているプラットフォームだと感じました。海外展開を目指す企業とっては、GDPRやCCPAの対応と管理が楽になるという点でかなり重宝するサービスでしょう。個人的にもKetchの今後の動向はウォッチしていきたいです。

本アドベントカレンダーでは、今話題のデータ関連SaaSを取り上げていきますので、引き続き乞うご期待ください！