2019/03/14

プライバシー・法規制(GDPR等)

徐々に明らかになるGDPRの影響 - 日本企業に求められる対応とは

EUの一般データ保護規則(GDPR)が施行されてから約10ヶ月が経ちました。徐々に、その影響が明らかになっているようです。

1つは、フランスのデータ保護機関が、個人情報を利用することについての合意をユーザーから得る手続きが適切でないとして、Googleに5,000万ユーロの制裁金を科すと発表したニュースです。(※関連記事1)
これは、IT大手向けの初の制裁事例として大きな注目を集めています。
報道されているニュースによれば、フランス当局が問題視したのは以下の2点とされています。

  1. Googleが提供する、個人情報の利用の目的や保存期間を説明する情報がエンドユーザーにとって容易に入手可能ではない

    これらを説明する文書が複数の文書にまたがっており、例えば、Android OSの初期設定において、個人情報の利用に関する説明を見るためには5回クリックしなければならないことなどが、GDPRが要求する「明瞭で平易な」状態になっていない、と判断されたようです。
  2. 個人の関心に沿ったパーソナライズド広告を表示するために個人情報を利用することに対する「同意」の手続きが不適切

    パーソナライズド広告の表示を拒否したい場合、エンドユーザーはGoogleによる個人情報の収集を拒否する必要がありますが、設定において「個人情報の収集に同意する」にあらかじめチェックが入った状態となっていたことが問題視されたようです。

もう1つは、EUの監督当局に対する不服申し立ての件数が、2019年1月下旬時点で10万件に上っているというニュースです。(※関連記事2)
GDPRが要求する個人情報の保護について、個人は企業などの組織に対応を要求することが出来ます。その対応に不満があったり、権利を侵害されたと判断した場合、個人は監督当局に不服を申し立てることが出来るのです。当局は、申し立てられた案件を勘案し、場合によっては企業に対して本格的な調査に入ります。
報道によれば、既に日本企業にも対応要求が届いているケースが出ているようです。

GDPRについては、ややもすれば「最大で年間売上高の4%、もしくは2,000万ユーロのいずれか高い方」という制裁金の大きさがクローズアップされる一方で、あくまでEUの法制度であるとして日本企業に対する影響を過小評価するかのような認識もあったように思います。しかし、これらのニュースは、GDPRの影響が確実に日本企業に対してもおよびつつあることを示しているのではないでしょうか。

まず、自社のサービスの利用者にEUのユーザーが含まれている可能性があることを想定しておく必要があります。そして、GDPRの要求に準拠しているかを改めてチェックし、そうでない場合は実装を見直す必要性が高まっている、といえるでしょう。
Googleの事例の背景には、Webサイトやアプリにおける個人情報取得の目的の説明や同意の取得手続きに不備があったと判断されたことがあります。このような実装を放置しているWebサイトやアプリはありませんでしょうか?

そして、ユーザーからGDPRに基づいた要求があった場合に、迅速に対応できる体制を整えることの必要性が高まっているといえるでしょう。対応できない場合、または、対応に不満があった場合は、ユーザーは監督当局に不服を申し立てることが出来るのです。制裁金の大きさに目を奪われがちですが、実務上は、制裁金を科されるという最終決定の前段階から、正確な記録を提出し、適切な説明を行うことなど、監督当局からの調査に対応するために膨大なコストが発生する可能性も無視出来ないものなのです。

SAP Customer Data Cloud from GIGYAは、登録・ログインにおけるユーザーの「同意」を適切に管理するための機能を提供しています。単一のカスタマー・プロフィールにユーザーの同意やプリファレンスに関するデータを格納し、これらのデータを「シングル・カスタマー・ビュー」として管理したうえで、マーケティング・オートメーションなどの他システムに反映させる優れた機能を有しています。報道によれば、不服申し立ての理由の中では、マーケティングのメールなどに関するものが多いとされています。ユーザーの同意を適切にマーケティング・システムに反映させることが、この不満を解消するソリューションとなるでしょう。

さらに、SAP Customer Data Cloud from GIGYAは、セルフサービス型のプリファレンス・センターを提供する機能も備えています。ユーザーが「忘れられる権利」をはじめとするGDPRが保障する権利を行使するための機能を提供することが出来るのです。セルフサービス型のプリファレンス・センターの提供は、ユーザーがコールセンターなどに連絡することなく自身でその権利の行使を完結させることが出来るという点で、不服申し立てのリスクだけでなく対応コストの軽減にもつながることが期待できるでしょう。

徐々に明らかになりつつあるGDPRの影響は、改めて日本企業にとってもGDPRへの対応を再考する機会となっているのではないでしょうか。

※関連記事

  1. 日本経済新聞2019年1月22日付「グーグルに制裁金62億円 仏当局、個人情報取得めぐり」
    https://www.nikkei.com/article/DGXMZO40295080S9A120C1000000/
  2. 日本経済新聞2019年2月14日付「個人情報保護、EU当局へ請求10万件 日本企業も対象 【イブニングスクープ】」
    https://www.nikkei.com/article/DGXMZO41268170U9A210C1SHA000/

プライバシー・法規制(GDPR等)
最新のコラム

資料ダウンロード

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「顧客ID&アクセス管理(CIAM)」がそれらをどのように解決するかについて解説します。

製品デモのご依頼