
2017/07/26
プライバシー・法規制(GDPR等)
イギリスの大手パブチェーンが保有する顧客のメールアドレスデータをすべて破棄した理由とは?
イギリスとアイルランドで約1,000軒のパブを経営するJDウェザースプーン社は、メールアドレスを保有する全ての顧客に対して、今後一切メールを送らない旨のメールを6月23日に送りました。メールアドレスデータベースをすべて破棄すると明らかにしたのです!
同社のチーフ・エグゼクティブであるJohn Huston氏は、「多くの企業はプロモーションのためにメールを使っていますが、私はそのような押し付けがましいと思われかねないアプローチは採りません。あなたのメールアドレスを含め、当社のメールアドレスデータベースはセキュアに削除されます。」とメールにて表明しました。
この劇的なアナウンスが最初にWired誌で報じられると、詳細な理由を求める声が相次ぎました。同社によれば、顧客へのリーチはFacebookとX (旧Twitter)を通じて継続されるとのことです。
しかし、他の理由も考えられます。2018年5月に施行されるEUの一般データ保護規則(GDPR)は、企業に対し、メールアドレスのような顧客データを保有・利用することについて明確な目的に特定された明らかな同意の証拠を保持することを要求しています。(いわゆるブレグジットにもかかわらず、GDPRはイギリスにおいても施行されます。)
消費者は、自身の個人情報を企業が売ることに対して同意を与えようとは考えていません。加えて、GDPRにはいわゆる「既得権条項(“grandfather” provision)」がないため、施行前に収集したデータであっても、適切な同意の裏付けがないデータは合法的に利用できなくなります。
同社のアナウンスは、GDPRがファーストパーティデータについても大きなインパクトを有する可能性を惹起しています。Wired誌の記事では、2つの企業が、明示的な同意を与えていない顧客にメールを送信したことを理由にイギリスの情報コミッショナーオフィスから罰金を科せられたことを報じています。
もし、同社が明確な同意の証拠を持っておらず、シンプルにデータベースを破棄したうえで(おそらくは)GDPRに準拠したシステムを開始するほうが簡単だと決定したのだとすればどうでしょうか?
セキュリティ・ブロガーのGraham Cluley氏はブログの中で「おそらく、JDウェザースプーン社は、月1回ニュースレターメールを送っている多量のメールアドレスを保有しているのに、明白な同意を求めていない(あるいは、単に証拠を破棄した)ことを心配したのだろう。そうであれば、メールアドレスのデータベースを消去することは理にかなっている。」と述べています。
もしこれが本当に同社がメールアドレスデータベースを削除した理由であるならば、GDPRの影響はこれまで予期されていたよりもさらに大きいものであることとなります。多くの企業が、GDPRに準拠した同意がないがために、その顧客データの一部または全部を削除しなければならない状況に陥ることが予測されます。
原文はこちらです。(SAP社サイトに遷移します)
Pub Crawl: Why Did a Big UK Pub Chain Deliberately Delete Its Entire Customer Email Database?
【
プライバシー・法規制(GDPR等)
】
最新のコラム

2022/03/18

2022/03/17

2022/03/15

2022/03/01