消費者の個人情報を保護することは、企業にとって今や当たり前の義務です。個人情報が流出することで消費者にとって不利益が生じるという理由がもっともですが、企業視点から考えると個人情報流出による信頼低下や経済的損失も大問題でしょう。なので、個人情報保護に取り組んでいない企業というのはごくわずかな数です。
日本では2017年5月30日に「改正個人情報保護法」が全面施行され、指紋データなど身体的特徴を使った個人識別符号を含むものも個人情報だと定義したり、5,000人分以下の個人情報を取り扱う事業者にも法令が適用されるようになったりと、以前よりも個人情報を厳格に保護するための法令へと改訂されています。
ただし、デジタル領域における個人情報の取扱いについては日本ではそれに準ずる法令がまだありません。インターネット上で個人を特定するIPアドレスやCookieといった情報に関しては何の規制も無い状態です。
しかし、ところ変わって欧州では2018年5月25日に、デジタル領域の個人情報にも保護の手を伸ばす法令が施行されました。それがGDPR(General Data Protection Regulation)です。この法令は、欧州企業だけでなく欧州でビジネス展開する外国企業にも適用されるものなので、特にグローバル展開する企業はその詳細を理解しておかないと、思わぬところでコンプライアンス違反事件が発生するかもわかりません。
本稿ではこのGDPRについてその概要を解説しますので、マーケティング担当者は知っておいていただきたいと思います。
GDPRとは?
GDPRは「(EU)一般データ保護規則:General Data Protection Regulation」の略であり、欧州議会と欧州理事会および欧州委員会が策定した新しい個人情報保護に関する法令です。欧州では1995年より「(EU)データ保護指令」が個人情報を保護するための法令として施行されましたが、様々な要因や環境の変化から、23年経過してGDPRとして生まれ変わりました。
データ保護指令では欧州各国での法規定が加盟国ごとにバラバラでも良い「指令」だったのですが、GDPRはあくまで「規則」ということで欧州加盟国に共通の方規則として適用される点が大きな違いです。
GDPRにおける個人情報の定義
GDPRのもう1つの特徴は、従来は個人情報とみなされなかったIPアドレスやCookieといったインターネット上で個人を特定するための情報も個人情報と定義されたことです。こうしたオンライン識別子が個人情報だと定義されたのは世界で初めてのことですが、デジタル化が急速に進んだ現代において、時代の流れとして至極当然なことだと言えます。
事実、個人情報取扱事業者がインターネットユーザーから取得したIPアドレスやCookie情報が流出したり、不正利用されることでユーザーが不利益を被るような事件は多数発生しています。
適用対象となる事業者
GDPRの適用対象となる事業者は欧州内に拠点を置く個人情報取扱事業者(欧州居住者からデータ収集する組織)、あるいは個人情報処理事業者(取扱事業者の委託先として個人情報を処理する組織)、さらには個人情報の主体(個人)に及びます。ちなみに欧州域内に拠点がない場合でも、欧州居住者に商品やサービスを提供したり、モニタリングしている場合も適用対象です。
つまりグローバル展開として欧州域内の経営拠点を持つ日本企業はもちろん、経営拠点を持たずともECサイト等で欧州居住者を対象にビジネスを展開している日本企業は適用対象となります。さらに欧州居住者の個人情報についてその処理の委託を受けている日本企業も対象です。
GDPRの義務内容
個人情報の処理とは、収集、保管、変更、開示、閲覧、削除といった個人情報に対して行われるほぼすべての行為が該当します。処理対象となる個人情報は、その情報および処理過程を特定しなければならず、個人情報の収集と利用目的に関しては有効な同意が明示的に行わなければ処理ができません。
この他にも個人情報処理目的の達成に必要な期間を超えて情報を保持し続けてはいけなかったり、個人情報漏えいが発生した場合は企業はその旨を監督機関に対し、72時間以内に通知しなければならないといった厳格な規則が定められています。
日本企業の十分性認定、年内に適用される見込み
2018年7月17日、日本と欧州連合は互いのデータ保護システムを「同等」であると考え、日本と欧州の間の安全な個人情報の移転を認めることに同意しています。これを「十分性認定」といって、採択されると日本企業がGDPRの一部規則から対象外となり、欧州居住者の個人情報を自由に移転できる可能性があります。ただし、移転先として認められるのは日本国内のみです。
さらに9月5日、欧州域内の個人情報の域外持ち出しを例外的に認める移転先として、日本を承認する手続きに入り、年内に正式承認される見通しです。この十分性認定が承認されれば日本企業のGDPRへの対応負担は軽減される見通しです。
しかし、GDPRの適用対象として除外されるわけではなく、あくまで個人情報の移転が認められるだけです。ちなみに承認されるのは個人情報の「移転」であって「処理」に関してはまだ協議がなされている最中です。
日本企業が取るべき対応とは?
日本企業におけるGDPRへの認知度はまだ低いかもしれません。そうした最中、施行と同時にGDPR違反として提訴された企業があります。それがGoogleとFacebookです。
両社の提訴理由は「個人情報を使い続けるために、ユーザーへの同意を強制する戦略を取っている」というものです。たとえば「当社の個人情報取扱に同意しないとサービスを利用させません」といった戦略です。これ以外の提訴案件としてはユーザーの維持情報を取得するスマートフォンアプリのPokemon Go等も含まれているようです。
こうした状況で日本企業が真っ先に取るべき行動が「データマッピング」です。つまりは自社が個人情報をどのように取り扱っているか、どういった個人情報を処理しているかを現状分析します。GDPRでは欧州居住者および滞在者の個人情報の取得、処理、移転が規制対象になるため、まずはデータマッピングによって欧州居住者の個人情報を扱っていないかを確認します。
もう1つ重要な対応が「DGPR責任者と報告手順の決定」です。GDPRの適用対象事業者に情報漏えい等が発生した場合は、規制当局への届け出と個人情報主体への通知を速やかに行う必要があります。この義務を果たせない場合、GDPRの罰則対象になります。個人情報管理を行うプライバシー責任者を任命し、かつ規制当局への連絡窓口の確保、連絡体制整備等の推進が大切です。
セキュリティの確保も忘れずに
意識を向けなければいけないのは、GDPRへの準拠だけではありません。欧州居住者の個人情報を扱うにあたってGDPRへの準拠に集中するあまり、個人情報漏えい等の事件が発生してしまっては本末転倒です。
そのため、改めて自社の個人情報取扱に関するセキュリティを洗い出し、改めて強化することが大切です。マーケティング担当者は個人情報を扱う部門ですのでしっかりと対応する必要があります。この機会に理解を深めて今後のマーケティング施策を有利に進めていただきたいと思います