あなたの会社は大丈夫？
GDPR対策の概要とCMPでできる対策から始めよう

GDPRとは、EU域内の個人情報（データ）保護を規定する法律として、2018年5月に施行された「EU一般データ保護規則（General Data Protection Regulation）」の略称です。

日本でも、直近では2020年6月に「個人情報保護法」の一部改正が可決され、Cookie などの第三者提供を制限する規定が盛り込まれました。インターネット経由で得られるデータは、出典の国内・外を問わないため、国際的なレギュレーションも理解しておくことが重要です。

これからの時代、マーケティング施策をおこなっていくためには、Cookieなどの端末情報やメールアドレスなどの個人情報をうまく活用していくことが必要不可欠となっています。本記事では、知っておきたいGDPRの基礎知識と、弊社ツール「CMP」で対策できることをご紹介します。

GDPR対策とは

GDPR （General Data Protection Regulation）とは、EU域内で、個人データを統一基準で管理保護するために規定された規約です。2018年5月25日に施行され、日本語では「EU一般データ保護規制」と訳されます。

GDPR対策が日本のビジネスに影響を及ぼすポイント

日本でも耳にすることの多いGDPRですが、ヨーロッパの個人情報に関する規約が、日本のビジネスにどう関わるのか、明確に理解していないという方も多いかもしれません。ここでは、GDPRが日本のビジネスに影響を及ぼすポイントについて、それぞれお伝えします。

規制の対象地域はEUだけでなく EEA（European Economic Area / 欧州経済領域。EU28ヵ国+ノルウェー、アイスランド、リヒテンシュタイン）も対象となります。EU・EEAエリアに子会社や関連会社を持つ企業は注意が必要です。
対象となる個人データの範囲は広く、EEA域内に所在する個人（国籍や居住地などを問わない）の個人データとされています。EEA内で活動する企業への適用はもちろんのこと、EEA域内に所在する個人に対してEEA域外からサービス提供したり、EEA域外からEEA域内の個人データを獲得したりする活動に対してもGDPRの規制が適用されます。
日本の「個人情報保護法」では、IPアドレスやCookieなどの識別端末子は法律上の個人情報に該当しませんが（2020年7月現在）、GDPRではIPアドレスやCookieなどの識別端末子も個人データとして定義されています。
GDPRの罰則金は全世界年間売上の4％または2,000万ユーロと高額で、違反行為に対して厳格な制裁が規定されています。

GDPRはグローバルサービスを提供するすべての企業に影響する

実際に、米Facebookとその傘下の米Google 、Instagram、WhatsAppは、GDPRの施行初日にプライバシー保護活動を行うNPOに提訴されており、後日、フランス政府がGoogleに5,000万ユーロ（約62億円）もの制裁金を命じたことは大きなニュースとなりました。

このことからも、GDPRがEU地域だけの問題ではなく、グローバルにサービスを展開する企業にとって大きな影響力を持つことがわかります。

日本でもGDPRの施行以降、Cookie取得の同意を確認するポップアップを表示するWebサイトが増加しています。しかし、日本国内の企業では「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業が34.4％いる一方で、3割以上の企業がGDPRに未対応であることが報じられています（JIPDECとITRの調査／2020年3月時点）。

GDPR対策でやるべきこと

では、日本企業がGDPRに対策するにはどのようなことを行うべきなのでしょうか。ここでは一例として、対策の一般的なフローをご紹介します。

※正式な対応策は専門家の指導のもと、誤りがないよう進めてください。

（1）GDPR関連規定の作成

まず、自社が扱う個人データがどのようなもので、どういった経路で入手しているのか・入手予定かを把握する必要があります。これらのデータのボリュームと、個人データを扱う予定の拠点数や従業員数なども割り出しましょう。そのうえで、GDPR関連の自社規定を策定する必要があります。

すでにGDPR対応に対応しているグローバル企業のGDPRステートメントを参考に、自社の規定を定めましょう。

例：エムオーツーリスト

ビジネストラベルを手がける商船三井系の旅行代理店エムオーツーリストでは、GDPR対応の「一般データ保護規則（GDPR）（ダービー支店＆ロンドン営業所）」を策定しています。

参考：一般データ保護規則（GDPR）（ダービー支店＆ロンドン営業所）

（2）DPOを設置して体制整備

自社の規定が策定できたら、データ保護責任者（DPO/ Data Protection Officer）を置き、社内体制を整備します。

GDPRでは、組織や個人情報の取り扱い状況によってはDPOの設置が義務づけられているわけではありませんが、GDPR 関連業務をスムーズに行うためにも明確な責任者がいた方がよいことからも、DPO設置が望ましいでしょう。

参考：エムタメ！【DPO選任が義務付けられる条件】

（3）提供サービスの改修やバージョンアップ

現状提供しているサービスが、ユーザーのメールアドレスや氏名などの個人情報やCookieを取得しており、今後も取得を続けていく場合は、個人データ・Cookieを取得することに対してユーザーに許可・同意をもらうフローに改修する必要があります。

このように、個人情報の取得や広告の配信に対してユーザーが許諾の意思を示すことを「オプトイン」と言います。

（4）社内理解度の向上

GDPR対策を全社的に行うためには社員全員がGDPRとGDPR対策について理解している必要があるため、研修などの形で社内教育を行う必要があります。個人データを扱う部署に対しては特に重点的に行う必要があるでしょう。

（5）インシデントフロー構築

GDPRでは、個人データが侵害されるインシデントが起きた場合、72時間以内に監督機関へ報告することを義務づけています。

ただし、インシデント発生から72時間ではなく、インシデントの可能性を認知した時点から72時間とされており、報告が72時間を過ぎた場合も違反とみなされ制裁が課されます。

日本で起きているインシデントは、実際にサイバー攻撃を受けてから気づくまでに時間がかかる場合が多く、インシデント発生時のフローを見直して備える必要があります。

CloudCIRCUSCMPでできる対策から始めよう

前述のように日本の「個人情報保護法」では、Cookieなどの端末情報は個人情報には該当しません（2020年7月現在）。

ただし、2020年6月5日に成立した同法の改正案では、「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける」との条件が加わりました。DMP広告を活用するなど、第三者提供の可能性のある企業は注意が必要です。

とはいえ、いきなりここまでの対策をすべておこなうのはハードルが高いと感じる企業様も多いと思います。

このような背景から、GDPR対策としてゼロクッキーロード対応、改正電気通信事業法対策としては外部通信規律にのっとった対応が必要になりましたが、弊社のCloudCIRCUSCMPでは各種モードによって対策が可能になります。

詳しくはこちら