2018/08/01

プライバシー・法規制(GDPR等)

GDPRと最近議論されている他のデータプライバシー法との共通点

消費者のデータプライバシーの問題について、企業にとっては休む暇もないようです。
GDPRが施行されたのはわずか数週間前のことですが、ビジネステクノロジーに新たな衝撃となる新しいプライバシー規制があるのです。これらの規制がもたらすインパクトについてみていきましょう。

GDPRがカリフォルニアに?

6月下旬、カリフォルニア州で「2018年カリフォルニアプライバシー保護法」が成立しました。この規制は、カリフォルニア州内で年間2500万ドル以上の売上高または50,000人以上の消費者を有するあらゆる企業、あるいは、売上高に占めるデータ販売の割合が50%を超えるあらゆる企業に適用され、以下を求めています。

  • 顧客に、どのようなデータを収集しているかを告知すること
  • 顧客の個人情報を誰に販売したかを示すこと(サードパーティを含む)
  • 顧客が要求した際には、データをサードパーティに販売することを停止すること
  • 顧客が要求した際には、全ての個人情報を削除すること

2020年に施行されるこの新しい法において、カリフォルニア州市民はデータ漏えいに際して企業を訴える権利を拡大することになります。もしデータ漏えいの原因が企業が合理的なセキュリティ手段を講じていないことにあった場合、消費者は一件の漏えいについて一人当たり最高750ドルの賠償金を求めることが出来ます。

これらの権利の拡大には制限もあります。この法は、原告側にデータ漏えいにより経済的な損失を蒙ったことを証明するよう求めています。また、自分たちの意思を企業側に書面で通知し、問題解決のために30日間の猶予を与えることも求めています。

この法に関する議論においては経緯を理解するべきです。州規制当局は、11月の選挙において同様の提案がなされることを避けるためにこの法案を通過させたのです。現職議員が行動しなければ、住民投票が別の法案を成立させ、その条文を修正することはほとんど不可能になったことでしょう。しかし、州政府を通過したことで、立法府の多数決により修正することが出来るのです。
このため、この法は今後さらに変化することが予想されます。今のところは、テクノロジー団体、ロビイスト、議員などが影響を評価しています。

EUに訪れるもう一つのデータ保護法規制の波?

データプライバシーに大きな変化を求める地域はカリフォルニアだけではありません。
EUはGDPRの施行に満足してはいません。eプライバシー指令の修正に向けて最後の仕上げを行っているのです。この修正は2018年後半に施行される計画です。最終的な表現は議論中であるものの、この新しい規則の一般的な意図は良く知られています。電子的なコミュニケーションに関するEU市民のプライバシー権利を強化するのです。
この修正された法においては、電子メールやテキストメッセージを含むあらゆるコミュニケーションは事前の顧客の同意を必要とします。つまり、EU域内の顧客に対して、事前の同意なしにメールやテキストメッセージを送ることは出来ないのです。

加えて、顧客のプライベートな電子的コミュニケーション - テキストメッセージング、ビデオチャットアプリ、IoTデバイス、マルチプレイヤーゲームのプロバイダなど - をコントロールする企業は、メタデータを含むコミュニケーションについてのデータの収集やデバイスにトラッキングコードを埋め込む前に、特定された目的についての明示的な許諾を顧客から得ることを求められます。さらに、顧客のコミュニケーション体験が、顧客が同意しない場合であっても影響を受けないことを保証することを求めています。

ビジネスが留意すべきこと

これらの規制をめぐるゲームはまだ始まったばかりです。カリフォルニアの法は2020年の施行までに大幅な変更が予想されています。eプライバシー規制については、テクノロジー大企業やロビイストグループが最終段階で激しく抵抗したために暗礁に乗り上げた格好です。
しかし、GDPRとの共通点があることから、私たちはビジネスにとってあるべきグローバルな消費者データプライバシー戦略についての論点を見出すことが出来ます。

まず、利用規約、プライバシーポリシー、あるいはコミュニケーション・プリファレンスであれ、消費者の同意を取得するあらゆるタッチポイントにおいて、データ収集の目的を説明することです。このことはGDPRと新しいeプライバシー規制の要求に沿ったものとなります。さらに、顧客とのインタラクションにおける透明性を高め、信頼感を高めることにもつながります。

もう一つは、顧客がデータの削除を要求した際に、素早く正確に対応できることです。このことはGDPRとカリフォルニア州の法の要求に沿ったものとなります。しかし、以前に説明したように、「忘れられる権利」への対応には以下のステップを踏むことが求められます

  • 顧客に関するデータの所在を全て把握する
  • 必要なデータを効果的に削除する
  • 関連する監査ログを検索可能な形で保存し、顧客の要求に適切に対応したことを証明する

これらの3つの規制は、カスタマー・データ・マネジメントについての包括的なアプローチが必要であることを示しています。単一のレポジトリで組織内の全ての顧客データを収集・保管・管理することで、どのようなデータを顧客から収集しているのか、それらがどこに存在しているのか、顧客や監査当局が記録を要求した際にどうすべきかを理解できるのです。

原文はこちらです。(SAP社サイトに遷移します)
Common Threads between GDPR and Other Emerging Data Privacy Laws

製品デモのご依頼
SAP Customer Data Cloud オンラインセミナー 顧客ID統合を成功に導く秘訣とは? オンデマンド配信 毎日開催中SAP Customer Data Cloud オンラインセミナー 顧客ID統合を成功に導く秘訣とは? オンデマンド配信 毎日開催中

閉じる閉じる

資料ダウンロード

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「顧客ID&アクセス管理(CIAM)」がそれらをどのように解決するかについて解説します。