GDPRはEU/EAAで制定されているインターネット上における個人データに関する規則です。EU/EAAで制定されている規則ではありますが、適用される範囲は、世界中の企業に関係します。
マーケティング担当者は、GDPRについて理解しておかなければ、知らずに規定違反となり厳しい罰則を受けることにもつながります。
GDPRはEU/EAAエリアを対象としてマーケティングをおこなう場合以外にも、個人データを取り扱ううえで重要な規則であるため、マーケティング担当者は知っておいてください。
GDPRとは?
GDPR(General Data Protection Regulation)の略で、EU一般データ保護規則のことです。欧州議会をはじめとするEU/EAA全体で、統合的に個人情報の保護を強化することを目的とした枠組みとなる規則です。
1995年に施行された前身のData Protection Directive 95から2018年に施行されました。
ITの技術が発展し、政府や企業は個人のデータを収集・分析する環境を整えるとともに、多くの人がインターネットを利用し始めました。このような世界的な発展をふまえて、個人情報の保護に関する規則が整備された結果、GDPRというデータ保護規則の枠組みが誕生しました。
GDPRの基本原則
GDPRの基本原則は以下の内容を踏まえた個人データの取り扱いを求めています。
適法性・公正性・透明性 (lawfulness, fairness and transparency) | 個人データは適正・公正で透明性を維持して取り扱う必要がある。 |
目的の限定 (purpose limitation) | 個人データは正当な目的のために取得され、提示した目的以外の利用は原則禁止とする。 |
データの最小化 (data minimisation) | 提示した目的で利用するデータは、必要十分な範囲に限定される。 |
正確性 (accuracy) | 個人データは正確な情報で利用し、最新の状態を維持する必要がある。 |
記録保存の制限 (storage limitation) | 個人データは、本人によって個人データの消去・利用制限を求められる。 |
完全性・機密性 (integrity and confidentiality) | 個人データの取り扱いは、適切に安全性を確保しなければならない。 |
管理者の説明責任 (accountability) | 管理者は個人データ管理についての責任を多い、遵守していることを証明できるようにしておかなければならない。 |
基本原則をもとに、GDPRに沿った個人データの取り扱いをおこなう必要があります。また、管理者を設置することにより、GDPRに沿った運営の維持や違反時の迅速な対応につながります。
GDPRの主な内容
WEBマーケティングにおいて、GDPRで重要とされている内容は以下のとおりです。
- 個人データの削除を常に本人が依頼できる
- 取得されている個人データを本人は簡単に取得でき、別サービスに再利用可能
- 個人データの侵害を本人は迅速に知ることが可能
- 管理者は個人データの侵害が発覚した場合、72時間以内に規制当局へ個人データ侵害の旨を通知
- データ保護の観点でWEBコンテンツなどを設計し、個人データが保護されることを重点とする
- 法令違反時の厳しい罰則規定
- セキュリティ要件の明確化
以上のような内容がGDPRには記載されています。個人データを保護するための取り組みを求める内容です。
EUやEAAエリアをターゲットとする、WEBマーケティングに関する規則ですが、今後の日本でも似たような規則が制定される可能性があります。
日本国内を中心にターゲットとしている場合も、GDPRを遵守するWEBマーケティングをおこなうことは重要です。
GDPRが注目される理由
GDPRはEUの個人情報に関する規則であるため、日本では関係ないように思えますが、規則の内容は日本をはじめとする世界的に影響を及ぼすため注目されています。EUやEEAなどの30カ国に会社を配置する企業だけの問題ではありません。
注目されている具体的な理由は以下のとおりです。
- EU/EEAエリアに会社を配置する企業だけでなく、EU/EAA居住者に対してエリア外からサービスを提供したり、個人情報をえたりする活動に対して適用される
- 規則に違反することによる罰則金は年間売り上げの4%または2,000万ユーロ(約28億円)と高額。
- IPアドレスやCookieなど、規則の対象となる個人データの範囲が広い
日本国内だけでなく、EUなどの世界中にサービスを提供する企業にとっては、無視できない規則です。日本でもCookieの利用を制限する規則が検討され始めているため、GDPRの方向性は日本国内のみで活動する企業などについても無視できない状況といえます
GDPRが日本のWEBマーケティングに与える影響とは
前述している注目されている理由を考えるだけでも、大きな影響があることが想像できます。世界的な大企業がGDPRの内容に違反した際に発生した罰則金は約60億円であるという事例もあります。罰則金だけでも、企業にとても大きな影響を与える規則です。
GDPRを遵守することにより、日本のWEBマーケティングに与える影響は、GDPRと日本の個人情報保護法と大きく異なる点にあります
GDPRは日本の現在の個人情報保護法とは異なり、規則対象とする個人データには、IPアドレスやCookieなどのオンライン識別子が含まれます。
IPアドレスやCookieを取得する場合、ユーザーの同意が必ず必要です。同意をえる際は、データを取得する者の身元や連絡先、データ取得の目的などを明記する必要があります。同意については強制してはいけません。
例えば、IPアドレスやCookieの利用について、同意をえるためのポップアップではユーザーにとってわかりやすい文章が記載されている必要があります。
また、あらかじめ同意することを前提として、デフォルトでチェックボックスにチェックしてある仕様は認められません。
ユーザーが個人データの利用について理解し、オンライン識別子の提供について自由に選択できていつでも同意を取り消せる状況を提供する必要があります。
ユーザーのオンライン識別子全般は、取得者の管理データではなく、ユーザーのデータであるという視点で考えます。
WEBマーケティングにおけるGDPRの対応方法について
WEBマーケティングの担当者はGDPRの影響は無視できません。そのため、GDPRの規則に沿ったWEBマーケティングをおこなうための取り組みについて知っておく必要があります。GDPRの対応方法について解説します。
WEBマーケティングにおけるGDPR対応方法は以下のとおりです。
- EU/EAAエリア内のアクセス数を把握
- 個人データの管理方法の整備
- WebサイトやCRM、MAツールをGDPR規則の視点で見直し
- 規則違反時の対応を考えおく
それぞれの内容について具体的に解説します。
EU/EAAエリア内のアクセス数を把握
GDPRの対応方法を考ええるために、EUやEAAからWEBサイトへアクセスしている状況を確認する必要があります。アクセスしている状況が少しでもある場合は、早急にGDPRに沿ったWEBサイトへ転換する必要があります。
EUやEAAからのアクセスが全くない場合は、早急な対応は必要ありません。しかし、日本国内におけるWEBマーケティングにおける個人データの取り扱いは、GDPRと似た内容に改定される可能性があります。
そのため、GDPRの内容に即したWEBサイトへ転換することを視野に入れておいてください。
個人データの管理方法の整備
GDPRに対応したWEBマーケティングをおこなう際、現在の個人データの管理方法を確認する必要があります。個人データの取得や管理、運用などの方法を明確にしてください。
WEBサイトで個人データを取得するシステムや活用方法、プライバシポリシーやCookie取得に関する説明などをGDPRに沿ったものにします。
ユーザーの個人データを利用する場合、GDPRに沿った内容にしてください。基本的には、個人データはユーザーの大切な情報であるという視点で管理方法を整備してください。
WebサイトやCRM、MAツールをGDPR規則の視点で見直し
WEBマーケティングで利用されることが多い、CRM(顧客管理ツール)やMA(マーケティングオートメーションツール)は、WE Bサイトへアクセスしたユーザーの個人データを利用することが多いです。
そのため、CRMやMAツールの運用方法を明確にし、GDPRに対応したものであるかの確認をしてください。
多くの場合はGDPRに対応しており、ユーザーの個人データを慎重に取り扱うシステムやCookie取得の同意バナーの表示などがデフォルトで設定されています。しかし、GDPRに対応していない場合は、ツールの発行元と相談してGDPRに対応した内容に改善してください。
規則違反時の対応を考えておく
GDPRでは、個人データの漏洩が発生した場合、発生が確認されて72時間以内に報告する義務があります。そのため、規則違反時に迅速に対応するために、あらかじめ、規則違反時の対応を考えておく必要があります。
規則違反が発生した段階で、誰がどのように対応するかなどのフローを明確にしてください。GDPRでは、一定の条件を満たす企業はデータ管理保護責任者を設置することを義務付けています。
そのため、条件を満たさない場合も、データ保護責任者を設置してトラブル時に対応できる体制を整えてください。
日本国内の違反事例について
日本国内でも個人情報の漏洩やインターネット上における個人データの漏洩が発生することが少なくありません。
例えば、同意をえずにWEBサイト上でえたCookie情報からユーザーのWEB上の行動を分析したり、顧客情報を漏洩させてしまったりなどさまざまな事例があります。
個人情報保護法やGDPRに違反する事例などを確認し、自社のサービスの個人データの取り扱い方と比較するといいです。具体的な事例から、事前に対策を考えられます。
GDPR違反による罰則金を考えると、事前に対応しておくことはとても重要であり、日本の個人情報保護に関する規則もGDPRに沿った内容に改定される可能性はあります。
GDPR対策についてよくある質問(Q&A)
GDPR対策についてさらに理解を深めてもらうために、よくある質問について解説します。
- GDPRの意味は?
- GDPRの適用範囲は?
- GDPRで対象となる具体的な個人データとは?
- GDPRのきっかけは
- GDPRと日本の個人情報保護法の違いは?
Q:GDPRの意味は?
GDPRはEU一般データ保護規則のことで、欧州議会をはじめとするEUやEAA全体で、統合的に個人情報の保護を強化することを目的とした枠組みとなる規則です。
Q:GDPRの適用範囲は?
EU/EAAエリア内でデータを収集・使用する組織、収集するデータの対象である個人がEU/EAAに居住する場合に適用されます。そのため、EU/EAAエリア居住者の個人データを収集・処理する組織は、拠点がEU/EAAエリア外である場合も適用されます。
Q:GDPRで対象となる具体的な個人データとは?
主には個人情報やIPアドレス、Cookie情報などです。WEBサービスを提供する際に取得できるデータのほとんどがGDPRにおける個人データです。
Q:GDPRのきっかけは?
EU/EAAに住む人々の人権意識の高さが背景であるとされています。このような意識は世界中で重要視されているため、今後は世界的にGDPRのような規則が制定されると考えられます。
Q:GDPRと日本の個人情報保護法の違いは?
日本の個人情報保護法には住所や氏名、メールアドレスなどの個人を特定する情報が対象ですが、GDPRはさらにIPアドレスやCookieなどの情報も対象です。
まとめ
日本ではGDPRほどのWEBサービスにおける厳しい規定がありませんが、現在でもCookieの取り扱いに関する規制が強くなっています。今後はGDPRのような厳しい規則が制定される可能性は低くないと考えられます。
そのため、これからの規制強化に対応するために、GDPRを標準規定としてWEBマーケティングをおこなうことが重要です。また、データ保護の管理者を設置していない場合は、設置することから始めてください。