MA導入企業が知っておくべきGDPRの基本

MA導入企業が知っておくべきGDPRの基本

2018年5月25日、EAA※でGDPR(General Data Protection Regulation:EU一般データ保護規則)が施行されました。
 ※EAA:EU+リヒテンシュタイン、アイスランド、ノルウェー
これはEAA圏内に居る人々(原文で言うところの”who are in EAA”)の個人情報保護をより強固にするもので、ビッグデータという言葉とともに発展した、IT業界におけるデータマネジメントは大きな影響を受けています。



GDPRの違反制裁金は約25億円もしくは売上の4%

前述のとおりGDPRでは個人情報の保護および取扱いについて、これまでよりも厳密なものを求めています。
GDPRに明確に違反しているとされた場合、その制裁金は2,000万ユーロ(約25億円)もしくは前年度売上高の4%どちらか高額な方を適用、という非常に高額なものとなります。

■GDPR違反制裁金—–
・軽度な場合
 1,000万ユーロもしくは前年度売上高の2%

・明確な権利侵害の場合
 2,000万ユーロもしくは前年度売上高の4%
——————-

日本企業が気を付けるべきGDPRのポイント

違反認定された際の制裁金が莫大なGDPRですが、EAAという対岸の話ではなく、日本企業においても十分に気を付け、対策する必要があります。
GDPRは”EAAに居る人々の個人情報”についての法律ですが、ここで言うところの個人情報は、日本国内で言われている個人情報とはその範囲が異なります。例えば日本では個人情報とされていないCookieやIPアドレスといった情報もGDPRでは個人情報とされており、厳密な取扱いが必要となります。
極端に言えば、日本企業であってもEAAからのウェブアクセスがあればEAA圏内の人のcookieを取り扱う可能性があり、GDPRが適用されることが考えられます。

■ポイント1:自社が運営するサイトに導入されているツールを洗い出す
これまでにEAAからのウェブアクセスが無かったとしても、これから発生するかもしれません。
ですので基本的にはGDPRに準拠していく方針が無難といえるでしょう。
その一つ目として、自社が運営しているウェブサイト(コーポレートサイトを含む)にどのようなツールが導入されているかを明確に把握しましょう。
・自社オリジナルツールでcookieやIPアドレスを取得している
and/or
・他社ツールを組み合わせてユーザのデータマネジメントをしている
ようなケースを除き、個人情報の保存先はツールベンダーであり、その保護や管理はベンダーが実施することとなります。

■ポイント2:個人情報の取得目的および承諾確認を明示する
前述のように個人情報の保護や管理をツールベンダーが行う場合においてもCSRとしては、「個人情報(cookieやIPアドレス等)の取得目的および承諾確認」を明示することがGDPR対策として安全であると考えられます。
どういった目的で個人情報=cookie等を利用するのか、利用することに承諾できるか、といったことを明示するとよいでしょう。
特にcookieに関しては現在ではウェブ解析やリターゲティング広告だけでなく、マーケティングオートメーションや様々なツールで使用されているため、明確な記載を行う必要があります。

■ポイント3:自社ツールの利用がある、もしくはツールを組み合わせてユーザデータをリッチにしている等の場合
この場合、、つまり個人情報を自社で取り扱っている場合は厳格に対応することとなります。
前述のように個人情報の利用目的だけでなく、”明確なオプトイン”が必要です。

オプトイン例—–
(EAAから初めてアクセスした際)ポップアップで
「このサイトでは~~~のためにcookieを利用しています。利用に同意する人は「OK」を、同意しない人は「NO]をクリックしてください」
という表示をする。
—————–

オプトインについても”明確なオプトイン”が必要という点でハードルが高くなっています。
”明確なオプトイン”に該当しない例としては次のようなものがあります。
 ・「次のページに遷移したことを以て承諾したものとする」といった対応
 ・OK/NOの選択において、最初からOKが選択された状態となっている

さらにこのオプトインについて注意すべきこととして、「オプトインしない場合でも著しく機能が損なわれない」という点があります。
つまり、暗に「オプトインしないとこのサイトはほぼ機能しませんよ」という状態はGDPRに対してNGと判定されるようです。
→2018年6月現在、Facebookが上記状態であるとして提訴されています。

GDPR対策NG例
・プライバシーポリシーに承諾しないと機能のほとんどが損なわれる(自由選択が阻害されている)

2018年6月現在の実際のところ、、、

日本企業においてGDPRに対して万全に対策できている、という企業は極少数で、ほとんどが「どうしようか検討中」となっています。
真っ只中のEAAですら対応できていない企業は少なくなく、アメリカ有力サイトなどではGDPR対応の遅れから、EAAからのアクセスを遮断するといった力技も行われているのが現実です。

Pocket

*
*
* (公開されません)