「GDPR」をご存じですか。聞き慣れないという方も少なくないでしょう。ヨーロッパで運用されている個人情報を保護する規制で、これに違反すると重大なペナルティが課される危険性もあります。
今回はGDPRの内容やマーケティングを行う上で気をつけたいポイントについて解説します。
GDPRとは何か?
GDRPは「General Data Protection Regulation」の略で、日本語では「EU一般データ保護規制」と呼ばれます。個人情報データの処理の方法をEEA(欧州経済領域)で統一する目的で制定されました。EEA圏内に拠点がある、もしくはEEA圏内の企業や人と取引している法人は、GDRPに従って適切に個人情報を管理しなくてはいけません。
●GDPRが成立した経緯
1995年、GDRPの前身である「EUデータ保護指令(Data Protection Directive 95)」が制定されました。これはEEA圏内に物理的施設(現地法人やサーバーなど)がある法人などが対象になるなど今と比較すると限定的な規制でした。しかし、インターネットの普及やグローバル化に伴い、より広範囲に適用され、時代に合った規制を盛り込んだGDRPが2016年4月に制定。2018年5月に施行されました。
●GDPRの規制対象となるデータ
GDRPの規制対象者は「個人データ」を適切に「処理」もしくは「移転」しなければいけません。
以下にまとめましたので、確認してみましょう。
| 個人データ | ・氏名 ・住所 ・電話番号 ・メールアドレス ・オンライン識別子(IPアドレス、Cookie情報) ・身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的固有性に関する要因 |
| 処理 | ・クレジットカード情報の保存 ・メールアドレスの収集 ・顧客の名前の開示 ・上司の従業員に対する業務評価の閲覧 ・オンライン識別子の削除 ・全従業員の氏名や社内での職務、事業所の住所、写真含むリストの作成 |
| 移転 | ・EEA内から個人データを含んだ電子形式の文書を電子メールで EEA 外に送付する ・EEA内の子会社から従業員個人データをEEA外の親会社に移転する ・EEA内のクラウド事業者がEEA内で取得した個人データをEEA外のクラウド事業者に再委託する |
たとえば、ネットショッピング事業を行っていると「顧客の氏名と住所」や「クレジットカード番号」という個人データを手に入れて、決済のために「クレジットカード情報の保存」という処理を日常的に行います。これらはGDRPに従って適切に対応しなければいけません。
●GDPRの適用範囲
日本では以下の3つのいずれかに当てはまる法人がGDRPの対象となります。
・EEAに子会社や支店、営業所やオフィスなどの現地法人がある
・日本からEEAの顧客に商品やサービスを提供している
・EEA内の顧客から個人データの処理を委託されている
つまり、EEAに拠点があるか、EEAの顧客と取引している会社はGDRPに従う必要があります。
●GDRPに違反したらどうなる?
仮にGDRPに違反した場合は法人の全世界における年間売上高の4%、あるいは2000万ユーロのいずれかのうち、高い方を罰金として支払わなければなりません。
2020年2月20日現在、2000万ユーロはおよそ25億円にあたるので、非常に重いペナルティが課せられるのです。
関連記事:マーケティングとは?基礎から重要ポイントまで初心者にも分かりやすく解説
GDPRにはどう対応すればいい?
それではGDRPに対応するためには何をすればよいのでしょうか?企業が行うべきことをまとめました。
●社内規定の作成
まずはGDPRの内容や対象をしっかりと把握しておきましょう。日本貿易振興機構(JETRO)のホームページで詳細が見られます。
その上で、「どんなデータを収集しているか」「それらをどう扱うか」の社内規定を作成します。また、プライバシーポリシーをホームページなどで掲載します。
●社内の体制構築
社内の体制も整える必要があります。データ保護責任者(DPO)を選任し、DPOを中心に社内環境を整えます。
●提供サービスの改善
現在提供しているサービスがGDPRに対応していない場合は、仕様を変更しなければなりません。たとえば、ホームページで顧客の氏名や住所、メールアドレスなどの個人情報を収集できるシステム(申し込みフォームなど)がある場合は、ポップアップやチェックボックスなどを利用して個人データを収集している旨を伝え、同意を得られるような仕組みしましょう。
●社内の理解を深める
これまでも、さまざまな企業で従業員が個人情報を流失させるという不祥事が、数多く発生しています。個人情報の取り扱いに関する規定やリスクやマインドが社内に周知されていないと、ミスにせよ故意にせよ個人データを外部に漏らすリスクが非常に高くなりますので、勉強会などを開きGDRPに関する理解を深めましょう。
●インシデントが発生したときのフローを作成する
サイバー攻撃を受ける、個人情報が流出したといったインシデントが起こった場合、72時間以内に監督機関へ報告する必要があります。セキュリティを強化し、すぐにインシデントが発見できる体制や仕組みを構築しましょう。
GDPRの落とし穴
「うちはヨーロッパの顧客と取引していないから関係ない」と思っていませんか?仮にEEAの顧客と取引をしていなくても、実は多くの会社がGDRPの対象になる可能性があります。マーケティング担当者は特に注意する必要があります。
●知らず識らずのうちに違反しているかも?
GDRPの個人データには前述のとおりWeb上の識別子(IPアドレス、Cookie情報)も対象となります。仮にアクセス解析でIP情報やCookie情報を取得していてEAAからもアクセスがある場合、GDRPの規制対象となります。
たとえば、海外向けに外国語で書かれたサイトを運営している場合、EEAからのアクセスがある可能性は十分にあります。
また、GDRPではEEA圏内に在住する顧客はもちろん、EEAに訪れている人も保護の対象となります。たとえば、ヨーロッパに出張や旅行で行っている日本人がスマートフォンなどを使って現地で日本企業のホームページを閲覧しているといったケースでもGDRPの対象となります。
インターネットに国境はありません。特にホームページを公開している、ネットで商品を販売したりサービスを提供したりしている企業にとっては、GDRP対応は必須です。今や、ほとんどの会社がホームページを持っていると言ってよいでしょう。一度、自社のGDRP対応について詳しく確認してみましょう。
まとめ
◆GDRP(EU一般データ保護規制)はEEA圏内における個人情報保護を目的として制定された規制
◆GDRPの規制対象者は規制にもとづいて適切に個人データを取り扱わなければならず、違反すると重大なペナルティが課される
◆ホームページを公開している会社、ネットでサービスを提供している企業の多くがGDRPの規制対象になる可能性がある
◆社内規定の作成、体制構築、サービスの改善などのフローを経てGDRPに対応できる環境を整える必要がある
