2018年5月25日にEUで施行されたGDPR。ニュースでたくさん取り上げられているので、言葉だけは知っているという方も多いのではないでしょうか。
実はこのGDPR、個人情報を多く扱うデジタルマーケティング業界では、日本国内においても非常に影響力のある重要な施策となっています。
今回は、GDPRとは何か?そして、今後どんな影響が出るのかについてまとめました。
GDPRについて理解しよう
GDPRとは?
GDPR(General Data Protection Regulation:EU一般データ保護規則)は、EUレベルのデータ保護法で、欧州経済領域(European Economic Area:EEA、EUよりも広い枠組みの共同市場で、スイスとバルカン半島の国々を除くほとんどのEU諸国が加盟している。)内の個人データの適切な処理や、EEAから第三国への個人データを移転を原則禁止する法律です。
日本に関係のない話ではない
EEA内に子会社や拠点がある企業はもちろん適用されますが、今回のGDPRの厄介なのは、EEA内に現地法人や拠点がなくても、またEEA内の企業との直接的なやり取りがなくても、インターネット上でEEA所在者(国籍や居住地は関係ない)の個人データを扱う場合には、GDPRの対象となるという点です。
さらに、会社の規模(大手、中小、零細)や種類(上場企業、非営利組織、自治体、公的機関等)も関係なく、適応対象となります。
GDPRのいう、個人データや処理、移転とは
もう少し具体的に理解するために、GDPRの重要な要素:「個人データを処理・移転する」がそれぞれどういう意味なのか、まとめました。
つまり、下記のそれぞれの要素を組み合わせた行為が違反行為となります。
「個人データ」とは
GDPRで定める個人データとは、以下のようになっている。
・氏名
・識別番号
・所在地データ
・メールアドレス
・オンライン識別子(IPアドレス、クッキー識別子)
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
「処理」とは
・クレジットカード情報の保存
・メールアドレスの収集
・顧客の連絡先詳細の変更
・顧客の氏名の開示
・上司の従業員業務評価の閲覧
・データ主体のオンライン識別子の削除
・全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成
「移転」とは
個人データを含んだ電子形式の文書を電子メールで EEA 域外に送付することは「移転」に該当する。
巨額の制裁金
制裁金の額
GDPRに違反すると、巨額の制裁金が課せられます。制裁金の上限額には2通りあり、
□1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の2%のいずれか高い方
□2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の4%のいずれか高い方
となっています。
1ユーロが130円(2018/6/13 19:20時点)ですから、1,000万ユーロは13億円、2,000万ユーロは26億円になります。中小企業であれば、ひとたまりもない金額ですね。
制裁金と違反項目
上記の2通りの制裁金は、それぞれ下記のような義務違反に対して使い分けられます。
GDPRが必要になった背景
GDPRについて理解が進んできたところだと思いますが、そもそもなぜGDPRは必要になったのでしょうか。
IT技術の発展と国際化
近年のIT技術の進歩により、個人情報の取得ややり取りが容易になりました。しかも、これは簡単に国境を超えます。
Facebookが問題になったように、SNSやクラウドサービスの発展により、通常世に出ないような個人データが流通しています。
また、Web技術も同様、cookie情報やログイン情報などにより個人の行動を詳細に追いかけることが可能となっています。
また、そうした状況に乗じたサイバー犯罪の悪質化や秘匿情報の流出の危険性に晒されている事態を受けて、特にEU圏ではこの個人データ保護への危機感が高まっていました。
例えば、ドイツでは10人以上の事業所に対し、データ保護責任者(DPO:Data Protection Officer)の設置を義務付けています。
過度なマーケティング
デジレカ読者の方には、特に重要な話になるのがこのマーケティングに対する影響です。
デジタルマーケティングにおいては、個人データに基づいた多くのマーケティング手法が生み出され、運用されています。
リスティング広告やDSP広告、リターゲティング配信、CRMなど様々です。一方で、このめまぐるしいデジタルマーケティング技術の発展は、消費者を企業からの過度なマーケティングに晒しているという風にも考えられているのです。
消費者が求めていない広告だらけでは、インターネット環境における消費者の快適性は失われます。インターネット環境における活動時間が長い現代社会において、デジタルマーケティングの最適化が求められています。
忘れられる権利
そして、GDPRの最大の目的の一つが「消費者が自分の個人データをコントロールする権利を取り戻すこと」であり、それを代表するのがこの「忘れられる権利」です。GDPRは、「忘れられる権利(right to be forgotten)」を明文化したことでも有名です。
忘れられる権利とは、企業が保持する自分の個人データを企業に消去させることを要求できる権利のことで、拒否された場合には理由の開示請求が可能です。例えば、SNSへの投稿や、閲覧履歴など、当時は問題なくとも、今は都合が悪いものも消去することができます。Facebookのプロフィールの完全消去なども可能です。
GDPR施行後は、Webサイト訪問時にcookieの取得の是非を聞かれることが増えましたが、企業としても不要な個人データを扱わないように努めていますし、消費者側もそうした自身の個人データを提供するのかしないのか選択でき、まさに個人データをコントロールすることが可能となっています。
企業の対策として求められること
多くの企業はGDPRに対して、まだまだ後手の状況です。施行時に準拠できていた組織はごく少数といった状況でした。GDPR対策はとても簡単なものではなく、非常多くの工数と、場合によっては多くのコストを必要とします。対応手順の作成や、役職の設置、管理体制の構築、社員研修など、組織全体での取り組みが必要です。
可視化
まず初めにすべきことは、組織が保有する個人データの可視化です。どこにどんな個人データが入手・格納され、利用されているのか可視化し、それぞれのチャネルやデータベースごとにどういったデータの保護体制をひけるか検討し、運用方法を決定します。
緊急時の体制構築
GDPRには、個人データの漏えい発覚から72時間以内の監督機関への報告が義務付けられているため、そうした緊急事態が起きた場合の対応方法や体制を事前に決めておく必要がある。
取得・処理体制の強化
個人データを入手する際や処理する際のシステムの設定の見直しなどを指します。例えば、Google AnalyticsなどでのIPアドレスの取得・取扱いにおいて匿名性を持たせたり、Cookieの取得をユーザーに委ねるなどのサーバーログを設定を見直したりします。
また、それに伴い前述の「データ保護責任者(DPO)」を設置することもいいでしょう。※事業所の人数によっては、設置が必須。
管理体制
最後に、組織で決めた運用フローが正しく機能しているかチェックし、PDCAを回す体制の構築も求められます。
まとめ
個人データの保護に関しては、EUがGDPRという形で先駆けて実施したために注目を集めましたが、今後世界的にこうした動きは加速すると考えられます。
これをきっかけに、まずはGDPRを順守すること、そしてその取り組みの中で組織としても個人としても個人データの取り扱いに対するリテラシーを高めていくことが求められています。
参照): JETRO「「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)」
