マーケターが押さえておくべきGDPR対策の要所と最新の国内規制動向

デジタルマーケティングにおいて、個人情報保護の重要性は日に日に増していく一方です。万が一、ユーザーのデータが流出したりすれば、当該企業に与えるダメージは計り知れないほど大きなものとなります。

実際に、2018年には米検索大手GoogleがGDPRに違反したとして約62億円の制裁金を課される事態が発生しました。罰則金の大きさやニュースとしての注目度が高く、個人情報保護の重要性が企業に対して非常に大きなインパクトを与えることが伺えます。

そのような状況の中、EUの新しい一般データ保護規則である「GDPR」が施行されてから、およそ1年が経過しました。

また、国内に目を向けると2019年11月には、政府の個人情報保護委員会が、Cookie利用の規制強化を検討し、2020年の国会で改正案を提出する意向があると報道されました。

本稿では、今後EU圏のユーザーデータを扱う可能性が出てくるマーケター向けや、国内で規制がなされた場合に対応が必要となるマーケター向けに、GDPRのおさらいとCookie利用における個人情報保護対策の要所を解説していきます。

GDPRはEU一般データ保護規則である「General Data Protection Regulation」の頭文字をとった略語で、 欧州議会・欧州理事会および欧州委員会が、欧州連合（EU）内の全ての個人のためにデータ保護を強化して統合することを意図した規則です。

1995年に施行された「Data Protection Directive 95（EUデータ保護指令）」に代わる法規制として2018年5月25日に施行されました。

IT技術の進展に伴い、企業は顧客データや購買履歴などをグローバルで収集・分析し、商品開発やサービス改善などに活用できる環境が整いました。

そのような環境変化を踏まえ、個人情報保護に関する法整備を進めたものがGDPRという新たなデータ保護の枠組みです。

さて、冒頭にも触れた通り、GDPRはEUで施行された規制です。

しかしながら、日本国内でも非常に注目を浴びており、日本情報経済社会推進協会（JIPDEC）と調査会社アイ・ティ・アール（ITR）が今年3月に発表した調査によると「GDPRにのっとったかたちで適正に個人情報の移転を行っている」と回答した企業は34.4％に上っています。

EU／EEAエリアに子会社を持つ会社であれば当然のことかもしれませんが、なぜEUの規制に対して日本企業がここまで注目しているのでしょうか？

理由は3つあります。

• EU域内で活動する企業への適用だけではなく、EU居住者に対して域外からサービス提供したり、域外から個人データを獲得する活動に対しても適用されること
• IPアドレスやCookieなど、対象となる個人データの範囲が広いこと
• 罰則金が全世界年間売上の4％または2,000万ユーロと非常に高額なこと

加えて2019年11月26日には、個人情報保護委員会による主導で、日本国内においても企業のCookie利用を規制する方向で検討が開始され、GDPRへの注目度が益々高まっています。

2,000万ユーロは、日本円に換算すると約26億円です。非常に莫大な金額ですね。実際にGoogleがGDPR違反として課せられた制裁金は約62億円に上ります。

その金額もさることながら、ニュースとして世間に与える影響も非常に大きく、企業規模によっては、その存続を左右することにもなりかねないほどの影響力を持つことでしょう。

では、このGDPRは、デジタルマーケティングに対してどのような影響を与えるでしょうか？

GDPRが日本の個人情報保護法と大きく異なる点は、IPアドレスやCookieのような個人情報を含むオンライン識別子を個人データの対象としていることです。

IPアドレスやCookieのような個人データを取得する場合に必ずユーザーの同意を得なくてはならないのです。

また、同意を得ようとする際は、身元や連絡先、データ取得の目的、第三者提供の有無、保管期間などについても明記する必要があります。

そして、顧客に対して「同意を強制してはならない」という点も、GDPRの特徴です。顧客自身が何に同意しているかを正確に理解できて、その同意を取り消せることを事前に知らされている必要があります。

つまり「あらかじめチェックボックスがオンになっている」といった同意の確認方法は、GDPRでは認められないのです。

GDPRがデジタルマーケティングに対して大きな影響を与えることをご理解いただけたことと思います。ここからは、デジタルマーケターが行うべき以下の5つのGDPR対策をご紹介します。

• EU圏内からのアクセス有無の確認
• 現状の個人データ管理フローの整理
• プライバシーポリシーの見直し
• WebサイトやCRM、MAツールなどの見直し
• 有事の際の対応の明確化

それでは、それぞれの対策の詳細を確認してみましょう。

EU圏内からのアクセス有無の確認

まずは自社のウェブサイトに対してEU圏内からのアクセスがあるかどうかを確認してみましょう。現状、EU圏内からのアクセスがなく、今後もその見込みがなければ、急いで対応を進める必要はありません。

現状の個人データ管理フローの整理

個人データをどのように取得・管理・運用しているかを図式化してみましょう。その中でGDPRにのっとっていないフローが見つかれば、フローそのものの変更が必要となります。

プライバシーポリシーを見直し

GDPRに対応する形になるようにプライバシーポリシーやCookieポリシーを見直していきましょう。

WebサイトやCRM、MAツールなどの見直し

現在運営しているWebサイトが、ユーザーに対して個人データ取得の許可・同意を明確に得られるように改修しましょう。

また、CRMやマーケティングオートメーションツールを導入している企業であれば、そのツールがGDPRに対応しているか（具体的にどのような点に対応しているか）を確認し、必要に応じて改修を検討していきましょう。

なお、最近のCRMやMAツールでは、GDPR対応がデフォルトで「Cookie取得の同意バナー表示」や「ダブルオプトイン機能」など、標準で装備されているツールも多数存在します。そのようなツールの活用を検討してみてもよいでしょう。

有事の際の対応の明確化

GDPRでは、データ漏洩が発生した際の「迅速な報告」が義務付けられています。具体的には72時間以内の報告義務とされています。万が一のことがあった場合、誰が、どのように対応を行うかをしっかりと整理しておきましょう。

なお、GDPRでは一定の要件を満たした企業に対して個人情報保護の責任者であるデータ保護責任者（DPO：Data Protection Officer）の設置を義務化していますが、一定要件を満たさない企業でも責任者を配置しておくことがベターと言えるでしょう。

2019年11月26日、政府の個人情報保護委員会が「企業のCookie利用を規制する方向」で検討していることを、複数のメディアが明らかにしました。

個人情報保護委員会は、Cookie等のWeb上で取得した各種データ情報を紐付けて個人を特定する行為に抑止の必要性を感じており、個人情報保護法の改正案として2020年1月の通常国会に提出する可能性が出てきています。

規制の詳細は現時点では未定ですが、本規制が検討されるようになったことの発端は「リクナビ問題」と呼ばれる、リクルートキャリア社の提供する内定辞退率予測サービスに対して起こった問題にあるようです。

リクナビ問題の詳細は以下の通りです。

リクルートキャリア社が顧客から求人応募者のCookie情報を預かり、それをリクナビの情報と組み合わせ、個人を特定し、過去の行動履歴と照合した上で、内定辞退率を算出するサービスを提供しました。

しかし、リクナビのプライバシーポリシーには不備があり、一部のユーザーから同意を得ていなかったことが発覚しました。

Cookie情報の利用方法という倫理的な観点と、プライバシーポリシーの不備という法的な観点から、同サービスに批判が集まり、リクルートキャリア社はサービスの提供を中止することとなりました。

発端となった上記事態の背景をしっかりと読み解いておくと、新たな規制の方向性がある程度は予測できるのではないでしょうか。

いずれにしても、将来どのようなリスクが発生したとしても、企業として対応できる準備を整えておくという観点で対策をとること賢明です。まずはCookie取得のプロセスをGDPR基準に合わせていくなど、デジタルマーケティングの個人情報保護について、出来るところから対策を始めておいても損はないでしょう。

GDPRは罰則金が膨大なため、その金額にばかり目が行ってしまいがちです。一方で個人データを適切に扱っている事実とその発信は、顧客に対して非常に大きな安心材料となり、ブランド向上に大きく役立てることもできます。

また、日本国内の個人情報保護の規制も変更される方向で動きが出てきています。

デジタルマーケティングにおける個人情報保護を、守りの業務として進めるのか、攻めの業務として進めるのか・・・。その姿勢ひとつで、得られる結果は大きく変わってくるのではないでしょか。