2019/07/17
プライバシー・法規制(GDPR等)
変わりつつある個人情報保護法制度に企業はどう対応すべきか(前編)
素晴らしい顧客体験を実現するには、個々の顧客のニーズや関心にパーソナライズしたコンテンツやメッセージを届けることが欠かせません。その実現のためには、個々の顧客に関する個人情報を含む多種多様なデータを収集・蓄積することが必要となります。
一方で、日本をはじめ各国で個人情報を保護するための法制度を強化する動きがみられます。EUでは2018年5月に「一般データ保護規則(GDPR)」が施行されました。この動きに追随するように、米国でも新しいプライバシー保護の法制度についての議論が活発になっています。日本でも、2020年に予定される個人情報保護法の改正を前に、2019年4月に原案が公表されました。個人情報を収集・管理する企業は、個人情報の保護に関する新しい動きを理解し、対応を準備する必要があります。
EUにおける個人情報保護制度の改正 - 一般データ保護規則(GDPR)
GDPRは、ビッグデータやソーシャルネットワークの急速な発展などにより、従来の「EUデータ保護指令」がカバーし切れなくなっていた個人情報の保護についての新たなフレームワークとなるものです。これまでに比べて、個人情報を取り扱う組織に対する要求が広範囲にまたがり、かつ厳しくなっています。
GDPRでよく話題となるのが「日本などEU域外の企業への適用」「巨額の制裁金」です。
日本などEU域外の企業への適用
例えば、日本に本社を置く企業がEEA域内の個人に対して商品・サービスを販売する場合、本社に対してGDPRが適用される可能性があります。つまりEU域外の企業であっても、EEA域内の顧客データを管理・処理する場合はGDPRに準拠せねばなりません。
巨額の制裁金
GDPRに違反したとみなされた場合、最大で「2000万ユーロ(25億円弱)」または「前会計年度の全世界年間売上高の4%」のいずれか高い方が制裁金として科されることになります。
上記のとおりGDPRは、その適用範囲の広さと巨額の制裁金を考えると、全ての企業・組織がすぐに取り組まなければならない課題といえるでしょう。
GDPRが規定する「個人データ」の管理に関する基本概念は以下のように整理できます。
GDPRにおける「個人データ」の定義
GDPRにおいて「個人データ」として、例えば、氏名、ID番号、位置情報、メールアドレス、オンライン識別子(IPアドレスやCookieデータ)が定義されます。特に、個人の特定につながり得る全てのトラッキングデータも含まれる可能性があることに留意すべきです。
多くの企業は顧客に高度にパーソナライズされた体験を提供するために、様々なデータを取得し分析をしますが、ここでGDPRのいう「個人データ」を確認しなくてはなりません。どういったデータがGDPRに規定される「個人データ」に該当するかを正しく把握し、規定に準拠したデータの取得や保管、加工、顧客への開示をするためのシステムや運用を構築する必要があります。
個人データを扱う際の「同意」の重要性
GDPRの下で企業は、個人データを収集する目的について、これまで以上に明確に定義・提示したうえで、個人がそれらの目的に「同意」していることを証明する必要があります。しかも、その個人が同意をいつでも取り消せるようにすることも求めています。
企業は顧客データを管理する際に、個々の顧客が自身の個人データを扱うことに同意している証拠をいつでも閲覧でき、必要に応じてその同意を取り消せる機能を備えていることを求められます。
データ主体(ユーザー)の権利の尊重
GDPRは、管理者にデータ主体(ユーザー)の権利を尊重しその行使を円滑にするよう求めています。ユーザーの権利には、以下のものがあります。
- 情報権・・・個人データの収集に対して管理者より一定の情報が提供されること
- アクセス権・・・ユーザーから自身の個人データに対するアクセス請求があればそのコピーを提供すること
- 訂正権・・・不正確な自身の個人データに関する訂正を管理者に求めること
- 削除権・・・自身の個人データの削除を遅滞なく監理者から得られること
- 制限権・・・管理者に対して自身の個人データの処理を制限すること
企業が整備する顧客データ管理システムは、厳格かつ複雑な顧客プロフィール管理機能が求められることになります。具体的には、顧客自身がそのデータを閲覧し、必要に応じて内容の編集、データ処理の凍結、登録内容のエキスポート、さらには削除までを実施できるマイページのような機能が必要といえるでしょう。
以上の基本概念は、米国や日本をはじめとする多くの国々の個人情報保護制度の議論に影響を与えています。後編では、日本の個人情報保護法制の動向について解説します。
(関連記事:変わりつつある個人情報保護法制度に企業はどう対応すべきか(後編))
【
プライバシー・法規制(GDPR等)
】
最新のコラム
2022/03/18
2022/03/17
2022/03/15
2022/03/01