GDPRとは、EU域内の個人情報(データ)保護を規定する法律として、2018年5月に施行された「EU一般データ保護規則(General Data Protection Regulation)」の略称です。
日本でも、直近では2020年6月に「個人情報保護法」の一部改正が可決され、Cookie などの第三者提供を制限する規定が盛り込まれました。インターネット経由で得られるデータは、出典の国内・外を問わないため、国際的なレギュレーションも理解しておくことが重要です。
これからの時代、マーケティング施策をおこなっていくためには、Cookieなどの端末情報やメールアドレスなどの個人情報をうまく活用していくことが必要不可欠となっています。本記事では、知っておきたいGDPRの基礎知識と、弊社ツール「CMP」で対策できることをご紹介します。
目次
GDPR (General Data Protection Regulation)とは、EU域内で、個人データを統一基準で管理保護するために規定された規約です。2018年5月25日に施行され、日本語では「EU一般データ保護規制」と訳されます。
日本でも耳にすることの多いGDPRですが、ヨーロッパの個人情報に関する規約が、日本のビジネスにどう関わるのか、明確に理解していないという方も多いかもしれません。ここでは、GDPRが日本のビジネスに影響を及ぼすポイントについて、それぞれお伝えします。
実際に、米Facebookとその傘下の米Google 、Instagram、WhatsAppは、GDPRの施行初日にプライバシー保護活動を行うNPOに提訴されており、後日、フランス政府がGoogleに5,000万ユーロ(約62億円)もの制裁金を命じたことは大きなニュースとなりました。
このことからも、GDPRがEU地域だけの問題ではなく、グローバルにサービスを展開する企業にとって大きな影響力を持つことがわかります。
日本でもGDPRの施行以降、Cookie取得の同意を確認するポップアップを表示するWebサイトが増加しています。しかし、日本国内の企業では「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業が34.4%いる一方で、3割以上の企業がGDPRに未対応であることが報じられています(JIPDECとITRの調査/2020年3月時点)。
では、日本企業がGDPRに対策するにはどのようなことを行うべきなのでしょうか。ここでは一例として、対策の一般的なフローをご紹介します。
※正式な対応策は専門家の指導のもと、誤りがないよう進めてください。
まず、自社が扱う個人データがどのようなもので、どういった経路で入手しているのか・入手予定かを把握する必要があります。これらのデータのボリュームと、個人データを扱う予定の拠点数や従業員数なども割り出しましょう。そのうえで、GDPR関連の自社規定を策定する必要があります。
すでにGDPR対応に対応しているグローバル企業のGDPRステートメントを参考に、自社の規定を定めましょう。
ビジネストラベルを手がける商船三井系の旅行代理店エムオーツーリストでは、GDPR対応の「一般データ保護規則(GDPR)(ダービー支店&ロンドン営業所)」を策定しています。
自社の規定が策定できたら、データ保護責任者(DPO/ Data Protection Officer)を置き、社内体制を整備します。
GDPRでは、組織や個人情報の取り扱い状況によってはDPOの設置が義務づけられているわけではありませんが、GDPR 関連業務をスムーズに行うためにも明確な責任者がいた方がよいことからも、DPO設置が望ましいでしょう。
現状提供しているサービスが、ユーザーのメールアドレスや氏名などの個人情報やCookieを取得しており、今後も取得を続けていく場合は、個人データ・Cookieを取得することに対してユーザーに許可・同意をもらうフローに改修する必要があります。
このように、個人情報の取得や広告の配信に対してユーザーが許諾の意思を示すことを「オプトイン」と言います。
GDPR対策を全社的に行うためには社員全員がGDPRとGDPR対策について理解している必要があるため、研修などの形で社内教育を行う必要があります。個人データを扱う部署に対しては特に重点的に行う必要があるでしょう。
GDPRでは、個人データが侵害されるインシデントが起きた場合、72時間以内に監督機関へ報告することを義務づけています。
ただし、インシデント発生から72時間ではなく、インシデントの可能性を認知した時点から72時間とされており、報告が72時間を過ぎた場合も違反とみなされ制裁が課されます。
日本で起きているインシデントは、実際にサイバー攻撃を受けてから気づくまでに時間がかかる場合が多く、インシデント発生時のフローを見直して備える必要があります。
前述のように日本の「個人情報保護法」では、Cookieなどの端末情報は個人情報には該当しません(2020年7月現在)。
ただし、2020年6月5日に成立した同法の改正案では、「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける」との条件が加わりました。DMP広告を活用するなど、第三者提供の可能性のある企業は注意が必要です。
とはいえ、いきなりここまでの対策をすべておこなうのはハードルが高いと感じる企業様も多いと思います。
このような背景から、GDPR対策としてゼロクッキーロード対応、改正電気通信事業法対策としては外部通信規律にのっとった対応が必要になりましたが、弊社のCloudCIRCUSCMPでは各種モードによって対策が可能になります。
詳しくはこちら
GDPR対策について解説しました。
GDPRは適用範囲が広く、日本企業の事業にも影響する可能性があること、また個人情報の取り扱いに関する国際的な判断基準となっていることから、国内法と合わせて情報を正しく把握することが大切です。
※記事中の各種法律は改正される場合があります。必ずご自身で最新の情報をご確認ください。
5分でよくわかる!
概要資料ダウンロード
