⇒【東証一部企業も多数利用!】最先端のSNSマーケティングツールとは?
近年個人情報の取り扱いに関するニュースをよく見るようになりました。
最近でいうとFacebookユーザーのデータ、およそ8,700万人分がコンサルティング会社ケンブリッジ・アナリティカによって不正利用されていたというニュースは記憶に新しいのではないでしょうか?
日本でも個人情報保護法が改定されましたが、まだWeb上のデータに関しては大きく問題視はされておりません。一方海外では、数年前からWeb上の個人を特定する情報(IPアドレスやCookieなど)に関しても問題視され始めました。そのような流れを受け、GDPRという法律が施行されています。
今回は、GDPRとは何か、またその影響などに関して説明をします。
1.GDPRとはなにか?
欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組みです。「EU一般データ保護規則」(GDPR:General Data Protection Regulation)が正式名称となります。
企業による個人データの取得利用を規制する目的で、欧州会議で2016年に可決され、2年間の猶予期間をもって施行されました。
1-1.GDPRにおける個人情報の処理について
GDPRでは個人データは「識別された、または識別され得る自然人に関するすべての情報」と定義されています。
下記が具体的な定義されている個人データです。
●氏名
●識別番号
●住所
●メールアドレス
●オンライン識別子(IPアドレス、クッキー)
●クレジットカード情報
●パスポート情報
●身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
1-2.GDPRの罰則について
GDPRに従わなかった場合、最大で企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い方が適用されます。
現在(11月21日時点)1ユーロが123.16 円ですから円換算すると2000万ユーロは約26億円にもなってしまいます。最低でも26億円を支払わなければならないというのは、企業にとって非常に大きな損害です。
2.GDPRの日本への影響は?
従わなければ多額の罰金が課せられてしまうGDPRですが、実はEU諸国にのみ適応される訳ではありません。日本でもGDPRを遵守しなければならない場合があります。
2-1.GDPRの対象企業
対象となるのは以下の企業です。自社が対象なのかご確認ください。
・ EUに子会社や支店、営業所などを有している企業
・ 日本からEUに商品やサービスを提供している企業
・ EUから個人データの処理について委託を受けている企業
2-2.見落としがちなGDPR適応条件
上記以外にも実は見落としがちな条件もあるのでご注意ください。
《GDPRは、管理者又は処理者がEEA内で行う処理に対して適用される。
GDPRは、管理者又は処理者がEEA内に拠点を有しない場合であっても、以下のいずれかの場合には適用される。
・EEAのデータ主体に対し商品又はサービスを提供する場合
・EEAのデータ主体の行動を監視する場合
*EEA…「European Economic Area」の略。日本語に訳すと「欧州経済領域」となる。》
EU一般データ保護規則(GDPR)の概要(前編)(http://www.intellilink.co.jp/article/column/security-gdpr01.html)より引用
EU圏内にいるユーザーのWeb上の行動データを取得している場合もGDPRの範囲に含まれています。また、以下の条件も対象となるのでご注意ください。
・短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
・日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)
・日本から EEA内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
・日本から EEA内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合
EU一般データ保護規則(GDPR)の概要(前編)(http://www.intellilink.co.jp/article/column/security-gdpr01.html)より引用
3.GDPRの対応方法
現時点では日本向けの日本語対応のみの商品、サービスであれば特別な対応をする必要はないようです。
しかし、上述したようにEU圏にいるユーザーが使用している可能性もありますので、もしCookieなどの情報を取得しているのであれば、EU圏内からのアクセスがないかを調べてみてください。
また万が一多くのアクセスがある場合や、EU圏内のユーザーに向けた商品、サービスを展開している場合は上述したようにGDPRの個人情報の処理を遵守してください。
3rd party cookieをさまざまなパブリッシャーから取得しているようなパブリックDMPを提供しているデータベンダーは、データの取得元がきちんとGDPRに対応しているかをチェックした方がいいでしょう。
また反対にそのようなデータベンダーにデータを販売している企業は、GDPRに対応していないと取引を中止されてしまう可能性もあるため、注意してください。
4.実際に問題になったGDPRの事例
国内ではまだありませんが、欧米では実際にGDPRで問題となった事例がありますのでご紹介しておきます。
4-1.Googleへの適用事例
2019年1月21日には、Googleに対してGDPR違反として、5000万ユーロ(約62億円)の罰金支払いを命じました。
Googleのサービスを利用するための手続きは、透明性と情報の義務に違反しており、広告のパーソナライズ処理に法的根拠を持たせる義務にも違反していると結論付けています。
Googleは個人データの利用についてWebサイト上で説明していますが、その説明を読むために複数回のクリックが必要だったことが、透明性と情報の義務に違反している、とのことです。
広告のパーソナライズ処理については、「ユーザーは自分が何に同意することになるのか」の説明が具体的でも明確でもなく、「ユーザーは自分が何に同意することになるのか」を十分に知らされないと指摘しています。
4-2.BA・IAGへの適用事例
2019年7月8日、英航空大手ブリティッシュ・エアウェイズ(BA)と親会社インターナショナル・エアラインズ・グループ(IAG)に対して1億8339万ポンド(約250億円)の制裁金を課したと発表しました。2018年9月の大規模な顧客情報流出がGDPRを侵害しているとの理由です。
BAは制裁金と裁定に対して不服を申し立てるとのことですが、現時点(2019年7月)において最高額の制裁金となっています。日本国内の企業には未だ制裁金が課された事例はありませんが、指摘されないためにも各企業のWeb担当者にはGDPRに対する正しい理解と適切な対応が求められます。
5.GDPRの理解で押さえるべきポイント
GDPRは既に施行が始まっています。本稿執筆時点でGDPR違反による制裁事例はまだ確認されていませんが、サイバー攻撃やセキュリティ不備による顧客情報流出事故はGDPR施行後も継続的に発生しており、当該事故がGDPRの制裁対象となっても不思議ではありません。
仮に制裁対象となった場合、高額な制裁金だけでなく、レピュテーションの毀損やデータ主体である個人による訴訟対応等、GDPR違反に端を発する二次的被害が及ぶ事も十分に想定されます。
施行が始まっている現在、制裁金をはじめとする各種リスクを極力抑え・回避するためには、できるところから着実にGDPR対応を進め、当局等に対してGDPR遵守を対外的に説明できる状態にすることが重要となります。