GDPRとは?マーケティング担当者が押さえるべきポイントを解説
デジタル時代において、個人データの保護はますます重要な課題となっています。特に、EUでのGDPRの施行に伴い、企業やマーケティング担当者は定められた規制に適合するよう個人情報を管理する必要があります。
GDPRは、U域内を対象とした事業をおこなっていない場合でも関係してくる可能性があるため、マーケティング担当者は今のうちに内容を確認してください。
GDPRとは?
GDRPはGeneral Data Protection Regulationの略称で、EU・EEA加盟国の総意で作られた一般データ保護に関する規則です。2018年5月25日に施行されました。
世界に先駆けて新しい情報社会をリードすることを目指して、EUが世界戦略として打ち出したものです。GDPRはあくまでもヨーロッパの基準であり、EU加盟国に直接適用されるものですが、その高い基準や信頼性などから、世界的に影響を及ぼします。
事実、GDRPの前身である「データ保護指令」は1995年に出されたものですが、その後EU加盟国だけでなく、日本を含めた世界中に影響を及ぼしました。そして、各国で個人情報保護法の成立に至ったのです。つまり、GDRPは情報管理に関する世界基準の価値観なのです。
目的
前身である「データ保護指令」は既に20年以上経過しているため、その間に発生した社会情勢を踏まえ、新しい環境に適用させたのがGDPRです。強力な制裁や強制力を背景にして、データ保護の仕組みを作り、それを守る限りにおいて自由なデータ移動を保障し、EU内のデジタル経済を発展させると決意表明しています。
注目される理由
GDPRはEUの個人情報に関する規則であるため、日本では関係ないように思えます。しかし、インターネットの普及により、日本でもEU域内の個人や企業と取引する機会が増えてきました。
このように、EU域内に事業所がなくてもEU域内のユーザーと取引があるような場合、GDPRが適用されることがあります。また、GDPRでは制裁金制度が明記されているため、遵守していない場合、多額の罰金が課せられる可能性があります。
日本国内だけでなく、EUなどの世界中に商品・サービスを提供する企業にとっては、無視できない規則といえます。
GDPRの基本原則
GDPRの概要を知ってもらうため、ここでは個人データの取り扱いについての6原則をお伝えします。これがGDPRのもっとも基本になる内容です。
概要は次のとおりです。
| 基本原則 | 概要 |
| 適法性・公正性・透明性 | 個人データは適正・公正で透明性を維持して取り扱う必要がある |
| 目的の限定 | 個人データは正当な目的のために取得され、提示した目的以外の利用は原則禁止とする |
| データの最小化 | 提示した目的で利用するデータは、必要十分な範囲に限定される |
| 正確性 | 個人データは正確な情報で利用し、最新の状態を維持する必要がある |
| 記録保存の制限 | 個人データは、本人によって個人データの消去・利用制限を求められる |
| 完全性・機密性 | 個人データの取り扱いは、適切に安全性を確保しなければならない |
さらに詳しく1つずつ解説します。
適法性・公正性・透明性
個人データは、適法かつ透明性のある形で取り扱われることが必要です。適法であることは当然ですが、透明性というのは分かりにくい概念かもしれません。
透明性というのは明瞭で、容易にアクセスでき、理解しやすいものであるということです。例えば、企業が個人データを取得する場合、その個人に対してデータを取得する目的などを情報提供する義務があります。その際には、この透明性に従い分かりやすく伝える必要があるなどのことが該当します。
目的の限定
企業は取得した個人情報を、あらかじめ提示した目的に沿って取り扱う必要があります。ユーザーに告知していない目的で、個人情報を扱うことは禁止されています。
データの最小化
個人情報やデータは、必要なものに限定されることが大切です。余分なデータを保持することは、保管にコストがかかりますし、データ所有のリスクを高めてしまいます。
正確性
個人データは正確であり、最新の状態に維持されることが必要です。個人データを取得したときのみならず、処理・記録しているときにも正確・最新であることが要求されます。
記録保存の制限
企業は、ある特定の目的のために個人データを使用します。その必要な期間においてのみ、個人を識別できる方式でデータを維持することができます。すでに個人データの取り扱い目的を達成しているなら、個人を識別できるような状態にしておいてはならないということです。
完全性・機密性
個人データは外部から勝手に改ざんされてはいけません。そのことを完全性と言います。また、機密性とは、個人情報を管理する権限者のみが情報にアクセスできることです。逆に言えば、権限がない人が勝手にアクセスできるようにしてはいけないということです。
自社にGDPRが適用されるのかを判断
自社の事業がGDPRの対象となるのかどうか判断に迷うことがあるのではないでしょうか。そこで、まずは次のチャートを確認し、自社の事業にGDPRが適用されるのか確認してください。
チャートだけでは判断がつかないことがあると思いますので、次の解説を確認してください。
GDPRの対象外となる場合
WEBサイトの説明が日本語で表記されており、かつ日本円で取引をする場合、一般的に日本国内を対象にビジネスをおこなっていると判断できるので、GDPRの適用はありません。
仮にEU域内の人が自社の商品・サービスを購入したとしても、日本における取引であることを理解したうえで購入していることが明確なため、日本法の適用だけを考えます。
GDPRの対象となる場合
WEBサイトが英語表記に対応していて、商品・サービスの支払いがユーロで支払える場合、GDPRが適用されます。また、商品の配送が海外に対応していると明記され、EU域内からの注文を受け付けている場合も同様にGDPRが適用されます。
もし、GDPRの対象となる事業をおこなっている場合、代理人が必要です。代理人は、EU域内に拠点があり、現地の監督機関と連携できる人物である必要があります。ただし、取引量が極めて少ない場合や、継続的な取引ではない場合、代理人を用意する必要はありません。
また、WEBサイトにクッキー(Cookie)を埋め込み、EU域内のユーザーに対してアクセス分析している場合も、GDPRが適用されます。クッキー情報を取得することは、個人データを取得することになるため、原則として事前に使用目的などの同意をユーザーからえる必要があります。
WEBマーケティング担当者がおこなうGDPRの対応
自社がGDPRに適合させる必要がある場合、WEBマーケティングの担当者が次の事柄に対応する必要があります。
EU域内からのアクセス数を把握
GDPRの対応方法を考えるために、EUからWEBサイトへアクセスしている状況を確認してください。現状を把握し少しでもアクセスがある場合は、早急にGDPRに沿ったWEBサイトへ転換する必要があります。
個人データの管理方法を整備
GDPRが適用される事業の場合、現在の個人データの管理方法を確認する必要があります。個人データの取得や管理、運用などの方法を明確にしてください。
WEBサイトで個人データを取得するシステムや活用方法、プライバシーポリシーやCookie取得に関する説明などをGDPRに沿ったものにします。
WEBサイトやCRM、MAツールを見直し
WEBマーケティングで利用されることが多いCRM(顧客管理ツール)やMA(マーケティングオートメーションツール)は、WE Bサイトへアクセスしたユーザーの個人データを利用することが多いです。そのため、CRMやMAツールの運用方法を明確にし、GDPRに対応したものであるかを確認してください。
多くの場合はGDPRに対応しており、ユーザーの個人データを慎重に取り扱うシステムやCookie取得の同意バナーの表示などがデフォルトで設定されています。しかし、GDPRに対応していない場合は、ツールの発行元と相談してGDPRに対応した内容に改善してください。
規則違反時の担当者を決める
GDPRでは、個人データの漏洩が発生した場合、発生が確認されて72時間以内に報告する義務があります。そのため、規則違反時に迅速に対応するために、あらかじめ、規則違反時の対応担当者を決める必要があります。
情報漏洩・紛失した場合の対応
情報を紛失・漏洩させてしまった場合、速やかにその状況を確認する必要があります。また、管理者を通して、監督機関に届けなければいけません。そこでここでは、漏洩・紛失した場合の対応について概要をお伝えします。
紛失・漏洩に気づいたら
データが漏洩したり、格納していたUSBやノートパソコンなどを紛失した場合、緊急に次のことをおこなう必要があります。
- 格納されていた情報を特定します
- 格納状態を明確にします。例.暗号化などのセキュリティ状況
- 拾得者・窃盗犯人による利用可能性
- 悪用された場合の範囲・程度・可能性のある事態
以上を整理して管理者に報告します。そして、管理者が緊急の対応策を検討し、監督機関へ通知します。
72時間以内に報告
GDPRの33条には、管理者が漏洩・紛失を認識したときから72時間以内に監督機関に通知するように求めています。だたし、管理者が侵害の範囲をはっきりさせるために時間がかかる場合などは、通知が遅れることが許されます。その場合は、監督機関に「遅滞の理由」を報告する必要があります。
データ主体への連絡
個人データを提供したユーザーに対しては、高いリスクを発生させる可能性がある場合に限り連絡をするように決められています。
高いリスクというのは、次のようなケースを挙げています。
- 個人にとって身体的、物質的、非物質的損害につながる場合
- 差別、身元詐称詐欺、レピュテーションへの損害につながる場合
このような場合は、速やかにユーザーに対して連絡をします。ただし、ユーザーに対しての連絡は72時間ルールの適用はありません。
GDPR対策についてよくある質問(Q&A)
GDPR対策についてさらに理解を深めてもらうために、よくある質問について解説します。
Q: 72時間ルールを守れない場合は?
Answer)GDPRの33条に、データ侵害が発生した場合、管理者は原則としてその侵害を認識した時から遅くとも72時間以内に、監督機関にその状況を通知しなければいけません。通知を怠った場合は、多額の制裁金が課せられる可能性があります。
Q:監督機関とは?
Answer)EU加盟国はGDPRの適用を監視する独立の公的機関を設けています。この機関のことを監督機関と呼んでいます。
EU各国の主な監督機関は次のとおりです。
| 国 | 監督機関 |
| フランス | 情報処理と自由に関する国家委員会(CNIL) |
| ドイツ | 連邦州ごとに監督機関を設置 |
| イタリア | 個人データ保護官 |
| スペイン | 個人データ保護庁(AEPD) |
Q:消去権とは何ですか?
Answer)個人データを削除できるデータ主体(ユーザー)の権利です。EUでは、特にインターネット上に掲載される個人データが問題となっており「忘れられる権利」として裁判で認められています。ただし、表現の自由との兼ね合いがあるため、常に認められるわけではありません。
Q:GDPRと日本の個人情報保護法の違いは?
Answer)日本の個人情報保護法とGDPRでは、保護される対象の範囲、データ主体が有する権利の種類などに大きな違いがあります。
例えば、日本の個人情報保護法には住所や氏名、メールアドレスなどの個人を特定する情報が保護の対象ですが、GDPRはさらにIPアドレスやCookieなどの情報も含まれます。
まとめ
GDPR対策は、マーケターにとって重要なテーマです。個人データの保護はユーザーの信頼を築くうえで鍵となるからです。この記事では、GDPRの基本原則や法的要件、対処すべきことなど、マーケティング担当者が知っておくべきポイントを解説しました。GDPRに対する理解と適切な対策を講じることで、マーケティング活動を法的に適切かつ信頼性の高いものにしてください。
この記事の監修者
日本大学法学部卒業、広告代理店で12年間働いている間、SEOと出会い、SEO草創期からSEO研究を始める。SEOを独学で研究し100以上のサイトで実験と検証を繰り返しました。そのノウハウを元に起業し現在、11期目。営業、SEOコンサル、WEB解析(Googleアナリティクス個人認定資格GAIQ保持)コーディング、サイト制作となんでもこなす。会社としては今まで2000以上のサイトのSEO対策を手掛けてきました。
