• その他

• Webガバナンス
• イベント
• プライバシー

2017.07.11 (last update: 2023.06.08)

TEXT: 米川 泰輔

GDPRの施行はどの程度日本企業へ影響があるのか？関心の高さが露わに【自社セミナーレポート】

　
2017年7月5日に弊社セミナー「〜GDPRを理解し、先進テクノロジーで備える〜 デジタルマーケティングの個人情報を考えるセミナー」を企業のマーケティング担当者や総務・システム管理者様向けに開催しました。
　
やはりGDPRの施行が1年以内に迫っているということもあり、ご担当者様の関心が高く、たくさんの方にご来社いただきました。 本セミナーで知りたいと思っていたという声は以下のようなものをいただきました。
　
・目前に控えたGPDRついて、どの程度自社へ影響があるのか
・GPDR対応について、テクノロジーでどのような解決策があるのかを知りたい

マーケティングテクノロジーの進化による個人情報漏えいリスクの増加

昨今のマーケティングテクノロジーの発展により、氏名・住所といういわゆる個人情報のみならず、行動履歴などの電子データも含めたデジタルマーケティング施策の実行が日本でも進んでいます。
　
一例を挙げるとFacebookやYahooなどのユーザーIDを用いたソーシャルログインが一般的になり、ユーザーに統一したIDでログインができる利便性を提供しつつ、事業者側はソーシャルメディア上に蓄えられている趣味・嗜好・行動などのデータが取得可能になっています。
　
しかし、高まる利便性の代償として、インターネットを通じた個人情報の漏えいが増加傾向にあることも事実です。2016年の日本セキュリティネットワーク協会の報告によると約1,511万人もの個人情報漏えいインシデントが発生しています。中でも、インターネット経由の情報漏えいは一件当たり平均約13万件となっており被害が大きいことが問題となっています。

EUで進む個人情報保護規制の統一化

個人情報保護規制についてはグローバルで統一されたものがあるわけではありません。EUでは地域単位で規制を共通化する努力を続けてきました。1995年に各国の法整備の指針となるデータ保護指令がEU加盟国のプライバシー保護統制の基準として定められて以来、EU域内の規制共通化を目指して調整を続け、2018年に施行される予定のGDPRに至りました。
　
日本でもEUのGDPR施行を見据え、2017年5月30日に改正個人情報保護法が施行されたばかりですが、改正内容で最も着眼すべきは個人情報の定義を拡大しつつも、適正な管理を行う限りにおいてデータの活用を認めていることです。事業者に個人情報の適切な管理・利用を促し、個人に対して個人情報の権利を明確に定めることがデジタルマーケティング全体の健全化にも繋がると考えられています。
　
今後、EUのGDPRを参考にグローバルレベルで規制をある程度共通化する動きが本格的になってくるかもしれません。

日本企業にも影響があるGDPR

GDPRは原則としてはEU域内の拠点の有る無しに関わらず、EU市民を対象にビジネス活動を行っているすべての企業が対象となります。例えば、EU域内のユーザーから日本のウェブサイトにアクセスがあり、そのユーザーのCookieデータをユーザーの合意なしに利用した場合、GDPR違反の対象となるリスクがあります。
　
製造業をはじめ、国内市場縮小とともに進む日本企業のグローバル展開において、GDPRは日本企業が無視することができない規制なのです。現状はGDPRに基づいた判例がまだ無いため、具体的にどのような条件でGDPRの罰則が適用されるのか判断することは難しいのですが、原則としてGDPRは「ユーザーのコントロールが及ばない企業の一方的な個人情報利用」を認めていません。
　
これは逆の捉え方をするならば、「ユーザーに自身の個人情報の適切なコントロール」を与えることで、GDPRに守られながらより安全にデジタルマーケティング施策を実行することが可能になるとも言えます。「各事業会社は自社の個人情報のコントロールする術をユーザーにどのように与えるか？」というテーマにおいて、セミナーではテクノロジーの活用を掘り下げて説明しました。

先進テクノロジーを利用して、GDPR対策の運用を適切に実施する方法とは？

デジタルマーケティング施策でデータを利用するために使用する「タグ」があります。このタグを管理するツールを提供しているTealium社のソリューションをGDPR対策として活用することが欧米では注目され始めています。
　
Tealium社のソリューションである”ユニバーサルデータハブ”は各種デジタルマーケティングツールのタグや取得データを統合管理します。いわゆるタグマネジメントです。
　
デジタルマーケティングツールの多くはタグでデータを引き渡しています。その各種ツールの各種タグの統合管理を行うことで、個人情報データの提供先を細かくコントロールすることができる他、ユーザーによるオプトイン、オプトアウト選択やDo Not Track選択が可能になるほか、取得した情報の内容・目的のユーザーへの明示などGDPRが求める個人情報の保護基準にシステマチックに対応することができます。
　
実際にボルボ社ではサイトに利用しているタグごとの目的、内容の明示、Cookie情報の利用の可否を認める認めないというオプションをユーザーに選ばせるなどの対応をユニバーサルデータハブで実現しているそうです。
　
ただ、ユニバーサルデータハブを導入すればGDPR対策は完璧かというとそういうわけでは決してなく、その適切な導入と運用に際しては従来通り明確なガバナンス方針とガイドラインが必要になってきます。
　
GDPRはまだ施行されていない規制であり、判例もない状況の中で不透明の部分もあるのが事実です。施行までのあと10ヶ月少々の時間を有効に使い、GDPRそのものをもう一度正しく理解したうえで、自社に必要な要件、ツールやパートナーを見つけて十分に備えることが重要です。

この記事を書いた人

米川 泰輔