2017/12/05

GIGYAコラム:EU一般データ保護規則(GDPR)とは? - 施行前に考えておくべき対策を、顧客データ管理システムの観点から解説

GDPRとは、「一般データ保護規則(General Data Protection Regulation)」の略称で、欧州連合(EU)で2018年5月に施行される新しい個人情報保護制度のことです。
GDPRの施行に際しては、顧客データ管理システムの観点からも大幅な変革が要求されるため、全てのマーケティング担当者が意識をすべき重要な話題の一つとなっています。
近年、日本企業の活動は国内のみに留まらず、積極的な海外進出、グローバル化が進んでいます。それに伴い、個人情報も国境を越えて取り扱われる機会が増加していると言えます。そのような状況において、たとえ日本国内の企業であったとしても、GDPRなどの海外の法規制に準拠をしなければならないような状況が、場合によっては発生してきます。海外の法規制に関しても注意深くアンテナを張る必要があるのです。
自社はGDPRに準拠する必要があるのか?必要があるとすれば、現状でGDPRのガイドラインにどこまで対応できているのか?未対応箇所をどのように改善していけば良いのかなど、計画的に対応を考えていかなければなりません。

EU一般データ保護規則(GDPR)とは

昨今のインターネットの普及に伴い、企業のビジネス活動においては、膨大な顧客データを取り扱うようになりました。それらの背景などにより、これまでの「EUデータ保護指令」範囲だけでは対応をすることが困難になった個人情報の保護に関する新たな規則となるものが、EU一般データ保護規則(GDPR)です。企業の顧客データの取り扱いに関連する事項を、200ページ以上にわたってまとめた規則です。これまでのものに比べて、個人情報の取り扱いに対する要求事項が厳しくなっており、対象となる範囲も広くなっています。
GDPRにおける保護対象となる「個人データ」は、「EEA(European Economic Area:欧州経済領域)に居住する個人に関するデータ」と定義されています。国籍に関係無く、EEA域内に旅行目的で滞在している日本人に関する個人データや、EEA域内に出向している日本企業の社員に関する個人データも対象範囲になります。

なぜ日本企業もGDPRに対応する必要があるのか

GDPRはEUに関するものなので、日本企業であれば関係の無いものだと安心をしていてはいけません。GDPRは、たとえEU域内に事業所を持っていなかったとしても、上記の「EEAに居住する個人に関するデータ」に該当する情報を取り扱う全ての組織に適用されるものです。EEA域内の個人データ主体に対して、自社の商品・サービスを提供したり、EEA域内の個人データ主体に関する情報を扱う場合に適用されるものです。
例えば、日本に本社を置く日本企業が、EEA域内の個人に対して商品・サービスを販売する場合、GDPRが適用される場合があります。つまりEU域外の日本企業であったとしても、EEA域内の個人データを取り扱う場合にはGDPRに準拠しなければならない場合があるということです。

GDPRに違反した場合のペナルティ(罰金)は

GDPRに違反した場合には、厳重なペナルティが課せられます。具体的には、最大で「2,000万ユーロ(約25億円)」もしくは「前会計年度の全世界年間売上高の4%」のいずれか高い方が罰金として科されます。知らなかったでは済まされないような膨大な金額です。グローバルにビジネスを展開する全ての企業が、今すぐに検討をはじめなければならない重要課題の一つであると言っても過言ではありません。

各企業のGDPRへの対応状況は

実は、GDPRに準拠するために何をしなければならないかが明確になっている企業は、現時点ではほとんどいないと言われています。2016年時点で、GDPR対応に関する実行計画を持っている企業は、わずか3%しかいないということが、Dell社が行った調査によって判明しています。
同調査の中で、「GDPRに準拠するためには最低でも2年間の準備が必要」という見積もあります。GDPRの施行は2018年5月です。施行までに残されている時間はあとわずか。このことからも、各企業は早急にGDPR準拠に向けた対応に取り組む必要があるということは明らかです。

GDPRが企業に与えうるインパクトとは

イギリスとアイルランドで約1,000軒のパブを展開するJDウェザースプーン社が、2017年6月に衝撃的な表明をしました。その表明とは、「自社で所有する全ての顧客のメールアドレスに対して、今後一切メールを送信しない」「自社で所有する顧客メールアドレスデータベースを破棄する」というものです。
2018年から施行されるGDPRに準拠をするためには、企業は、個人データを収集する目的を顧客に明確に説明し、顧客がそれに同意をした上で、データの取り扱いを実施しているということを証明しなければなりません。たとえ、GDPR施行前に収集した個人データであっても、同意の証明ができないデータは利用ができなくなります。
GDPRとJDウェザースプーン社のこのニュースの直接的な因果関係があるかは全く定かではありませんが、「JDウェザースプーン社が明確な同意所得の証明を保持しておらず、単純に一度顧客メールアドレスデータベースを破棄したうえで、GDPRに準拠した個人データ管理システムを新たに構築するほうが効率的だと判断した」という風に考えられなくもありません。
セキュリティ・ブロガーのGraham Cluley氏は、「おそらく、JDウェザースプーン社は、ニュースレターを送るための大量の顧客メールアドレスを保有しているが、明確な同意取得の証明を保持していないことを心配したのではないか。もしそうであれば、今回の顧客メールアドレスデータベースの破棄は理にかなっている。」と自身のブログの中で見解を述べています。

GDPRにおける「個人データ」の定義とは

GDPRにおける「個人データ」とは「識別された個人にかかわるあらゆる情報、もしくは、自然人を直接あるいは間接に特定することにつながるあらゆる情報」と定義されており、氏名、ID番号、位置情報、メールアドレス、IPアドレス、Cookieデータなどが含まれるとされています。GDPRにおいて保護すべき対象とされる「個人データ」の定義は、従来の規制よりも非常に広範なものとなっています。特に、「間接的に個人を特定し得る」は、その定義の広さからみて重要な意味を持つものとして留意すべきです。
昨今の企業は、顧客毎にパーソナライズされたOne to Oneのマーケティング活動を実施するために、様々なデータを取得し、分析、活用をしていると思います。そのような状況において、自社の扱うデータが、GDPRにおける「個人データ」に該当するのかどうかを、まずは明確にする必要があります。その上で、GDPRにおける「個人データ」の定義を正確に理解し、ガイドラインに準拠した個人データの取り扱いを実現するための管理システムや運用方法を早急に整える必要があります。

GDPRにおける「個人データ」の取り扱いに求められる機能とは

GDPRに準拠をするためには、まず第一に、個人データを収集する目的を顧客に明確に説明し、顧客がそれに同意をした上で、データの取り扱いを実施しているということを証明することが必要不可欠です。GDPRでは、この「同意」について「声明または明らかに積極的な行為により、その者が同人に関する個人データの処理への同意を表明することによって、データ主体の自由になされた特定の十分に情報を知らされた上でのかつ明確な意思表示」と厳しく定義しています。個人データを収集する際には、その目的や取り扱いに関して、今まで以上に顧客に明確に説明を実施したうえで、その同意を得たという証拠を確実に保管、管理をするための機能が求められます。利用目的を変更したり追加したりした場合には、改めて同意を取得する必要があるのです。さらに、顧客の意思によって、その同意の取り消しも柔軟に実施できるようにしておかなければなりません。同意したという証拠を、顧客が自分自身ですぐに確認でき、かつそれらを顧客の意思で柔軟に取り消すことのできる機能を持った仕組みが必要になります。
第二に、GDPRは、顧客のデータに関する権利を尊重し、その行使を円滑にするよう求めています。データ主体の権利としては、情報権・アクセス権・訂正権・削除権・制限権・データポータビリティなどが定義されています。つまり、顧客自身による個人データのコントロール(閲覧・編集・削除・エキスポートなど)を実現するための機能が求められます。
以上をまとめると、「個人データ収集への同意証明の保管、管理」「顧客自身による個人データのコントロール」という観点で、企業側の個人データ管理システムにおいて、今までよりも高度で複雑かつ柔軟な個人データ管理機能が求められるということです。顧客自身が自らの個人データを確認でき、内容の変更、削除などの様々な編集を実施できる、プロフィール管理、編集機能も具備する必要があります。

GDPR対応に必要となる個人データ管理システムとは

上記のような要件に対応するためには、まず第一に、個人データを一か所で正確に管理していることが必須になります。企業内に点在している個人に関するデータを統合し、正確に一元管理をするためのシステムが必要になります。複数のシステムにバラバラに保管されている個人データを一元的に保管、管理をするための中央システムの設計、構築は、企業にとって最もハードルの高いチャレンジの一つであると言えますが、GDPR対応という観点においては、最初にクリアをすべき必要不可欠な要件です。
第二に、個人データを利用する他システム(CRMやMAなど)への連携によるシームレスなデータ反映を可能にしなければならないという点も、必要な要件になります。複数のシステムやタッチポイントをまたがって、個々に随時情報が更新されていく個人データを一元管理した上で、各システムに対して最新データの共有、更新を実施することができなければなりません。
これからの企業においては、自社の取り扱う個人データに関しての最新の法制度の動きを把握すると共に、それらに準拠するために、既存管理システムの見直しや再構築を考えていかなければなりません。
今後数年の間に、数多くの企業が、個人データの取り扱いに関する運用体制の整備、個人データの一元化、データ管理システムの再構築に乗り出すでしょう。GIGYAのように、個人データを一元化し、セキュアに管理できるクラウドベースのカスタマー・アイデンティティ・プラットフォームに対する注目も、さらに高まることが予想されます。
SaaS型カスタマー・アイデンティティ・プラットフォームであるGIGYAは、顧客からの個人データ取り扱いに関する同意の管理、顧客自身による個人データの訂正や削除、ソーシャルメディア規約へのコンプライアンスなど、GDPRに準拠するうえで必要な様々な機能を具備しています。個人データのマーケティング活動への活用だけではなく、グローバルな個人データの一元化、個人情報保護に関する各種監査、報告業務への対応の助けにもなります。
顧客に対してより良い顧客体験を提供すると共に、GDPRなどの法制度の観点においても、個人データを自社のマーケティング資産の最重要項目として考え、正しく管理、活用することが、カスタマー・アイデンティティ・マネジメントにおいては重要です。

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

顧客ID統合を検討する際の3つのポイントと、「カスタマー・アイデンティティ・マネジメント(CIM)」がそれらをどのように解決するかについて解説します。

お問い合わせ

顧客ID統合、GDPR等のプライバシー法規制への対応を実現するGIGYA。サービス内容や導入事例など、お問合せはお気軽に。