2018/03/14

プライバシー・法規制(GDPR等)

GDPRについてのよくある質問

国際プライバシー専門職国際会議(International Association of Privacy Professionals, IAPP)が主催しGIGYAがスポンサーを務めた先日のWebinarのQ&Aセッションにおいては、EUの一般データ保護規則(GDPR)についての全ての質問に答えることが出来ませんでした。そこで、この場において回答することとなりました。
興味深いことに、多くの質問はいくつかのグループに分類することが可能であり、多くの人々がGDPRへの準備について似たような疑問を抱いていることを示しています。
以下は、トップ3のテーマと回答です。なお、以下の回答は法的なアドバイスとしては捉えないでいただきたいと思います。もしGDPRや自社の責任について疑問がある場合は、法務のエキスパートのご相談することをお勧めします。

テーマ1:「当社はGDPRに拘束されるのか?」

GDPRが自社に適用されるのかどうかについて疑問を抱いた人が多かったようです。B2B企業も、社員数250人以下の企業も、米国内でビジネスを行っていてEU管内に製品やサービスを販売していない企業もありました。GDPRの適用範囲には様々な条件がありますが、大まかに言えば以下のようになります:

もしたった一人の顧客でもヨーロッパにいれば、その個人情報をいつ・どこで・どのように・なぜ収集し処理しているのか、その証拠を保持する必要があります。

これは、顧客、サプライヤー、パートナー、そして従業者の個人データを含みます。そして、重要なことは、GDPRの個人データの定義は、よく知られた「個人を識別し得る情報(PII)」の定義よりも広い範囲をカバーしているのです。

そして、金銭のやり取りは必ずしも要件ではない、ということも重要なことです。もし、WebサイトのコンテンツをEU加盟国向けにローカライズし、そのWebサイトがCookieを使っているならば、サイト訪問者がアカウントを登録したりサイトから何も買わなかったとしても、データをGDPRに沿って管理する責任があるのです。

GDPRの全ての規定にしたがう必要はないかもしれません。従業員数が250人を下回る企業については、データ処理に関する責任の一部が免除されています。しかし、もしEU管内の誰かとビジネスをしているのであれば、GDPRに準拠する責任がある、というべきでしょう。

テーマ2:「GDPRの要求は顧客体験にどのような影響を与えるのか?」

GDPRは企業に対して消費者(ここでは「データ主体」と呼びます)にいくつかのデータ保護に関する権利へのアクセスを提供するよう要求していることから、これは重要なテーマです。さらに、利用規約やプライバシーポリシーをアップデートした際に新たな同意を取得することも要求しています。
GDPRの施行が間近となっている中、顧客体験にネガティブなインパクトを与えることなく、どのようにGDPRが要求するアクセスと同意取得を進めていくかについて、多くの企業が解を見出そうとしています。特に、多くの企業は、顧客が「同意疲れ」をしてしまうのではないか、と心配しています。

この問題を考えるに当たっては、バランスが重要となるでしょう。Webinarで取り上げたように、EU加盟国内の人々はGDPRに伴う権利について知らされるようになります。つまり、自身のコミュニケーションに関する設定(プリファレンス)や同意について、これまで以上のエンゲージメントを期待するようになるのです。
加えて、個人データをどのように集め、利用し、処理しているかについて透明性が高まると、消費者はブランドをより信頼する、という調査結果があります。これは、消費者はプリファレンスや同意の要求があちこちにばら撒かれている状態を求めている、という意味ではなく、自身のデータに関するコントロールを求めている、という意味なのです。
直観的にわかりやすいやり方で消費者に自身のデータについてのコントロールを提供する企業は、GDPRに準拠するだけでなく、顧客との関係を強化することも出来るでしょう。

テーマ3:「GDPRは未来にどのように影響するのか?」

Webinar聴取者の多くは、ビジネスと他のデータ保護規制に対するGDPRの将来のインパクトについて知りたいと考えたようです。私には予知能力はありませんが、このテーマについていくつか申し上げることは出来ます:

  • イギリスの企業はブレグジットの過程においてもGDPRの対象となり、情報コミッショナーオフィス(Information Commissioner’s Office)は、その代わりとなる法律も「本質的に同等」なものとなるだろう、という見通しを示しています。
  • このようなデータプライバシー環境の進化は、ソリューションがより機敏であることを強く求めています。求められているのは、単なるGDPR準拠のためのソリューションではありません;いろいろな地域のいろいろな規制に対応できる、プロフィールデータ、同意、そしてプリファレンスを管理するソリューションが求められているのです。さらに、規制要求の変化に対応するためには、このソリューションは、データローカライゼーション、自動アップデート、カスタマイズもサポートしなければなりません。

GDPRへの準備についてさらに情報が必要であれば、近日開催するWebinar"GDPR Essentials Every Marketing Leader Should Know"(SAP社サイトに遷移します)にご登録ください。顧客の要求やGDPR準拠のためのソリューションについてのインサイトを得ることが出来るでしょう。また、他社が、GDPRに準拠するために同意やプリファレンスを管理するソリューションをどう実装しているかについても学ぶことが出来るでしょう。

原文はこちらです。(SAP社サイトに遷移します)
Commonly Asked Questions about the GDPR from Our Recent IAPP Webinar

製品デモのご依頼
SAP Customer Data Cloud オンラインセミナー 顧客ID統合を成功に導く秘訣とは? オンデマンド配信 毎日開催中SAP Customer Data Cloud オンラインセミナー 顧客ID統合を成功に導く秘訣とは? オンデマンド配信 毎日開催中

閉じる閉じる

資料ダウンロード

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「顧客ID&アクセス管理(CIAM)」がそれらをどのように解決するかについて解説します。