用語解説

GDPRとは?個人データを守るために知っておきたい概要と対応すべきポイントをわかりやすく解説

個人データの保護を目的とした法律「GDPR(一般データ保護規則)」は、日本企業にも影響します。GDPRの内容や背景、ビジネス影響について解説。

2018年5月、個人データの保護を目的とした法律「GDPR(一般データ保護規則)」が施行されました。保護されるデータの範囲が広いこと、高額な制裁金を課されることから「世界で最も厳しい個人情報の保護に関する規則」などと呼ばれています。

GDPRは、EUの法律ですが日本企業にも影響します。今回はGDPRの内容や施行された背景、マーケティングへの影響について解説します。

GDPRの定義、保護する“個人データ”の範囲とは?

gdpr image-1

GDPRはGeneral Data Protection Regulationの略で、日本語では「一般データ保護規則」と訳されます。個人データの保護を目的に、データを「処理」あるいは「移転」する際のルールを定めた法律です。2016年5月24日に発効、2018年5月25日に施行されました。

GDPRにおける「個人データ」の範囲

GDPRにおける「個人データ」の定義について、個人情報保護委員会は「識別された自然人又は識別可能な自然人(「データ主体」)に関する情報」と訳しています。

氏名のように単体で個人を識別できるものだけでなく、組み合わせることで、個人を識別できるデータも対象になります。

日本にも個人情報の保護に関する法律はありますが、IPアドレスやCookieなども含まれている点が、日本の個人情報保護法との大きな違いです。以下がGDPRで対象となる代表的な個人データの例です。

  • 氏名
  • 位置情報
  • メールアドレス
  • オンライン識別子(IPアドレス、Cookie
  • パスポート番号
  • クレジットカード番号
  • 健康診断結果

GDPRでは欧州経済領域(以下、EEA)内で取得された全ての個人データ等が保護の対象となります。EEAはEU加盟国にアイルランド、リヒテンシュタイン、ノルウェーを加えた地域を指します。EEA内ではEU内と同じように、人やモノ、サービス、資金の自由な移動が保証されています

gdpr image-2

GDPRはなぜ生まれた?制度が施行された背景

なぜ「世界で最も厳しい個人情報の保護に関する規則」とまで呼ばれるルールがEUで定められたのでしょうか。大きく2つの背景について説明します。

EU加盟国内のルールを統一する必要性

EUでは1995年に「EUデータ保護指令」が施行されました。しかし、EUにおける「指令」はあくまでガイドラインであり、指令をもとに各国が別々の国内法を定めます。そのため、個人データ保護の範囲や罰則の厳しさは、これまでEU各国によってバラバラでした。

それによって、EU内で事業を展開する多国籍企業の活動に不便が生じていたため、共通で適用できる法律を定めようとしたのです。

インターネットの普及と個人データ保護

もう一つ、間接的な影響を与えたのが、インターネットの普及と個人データ保護をめぐる意識の高まりです。

近年、人々はインターネットを介し、氏名や住所といった個人情報、Webサイトやアプリでの行動履歴、指紋や虹彩といった生体情報など、広範かつ大量の個人データをやり取りしています。こうした個人データを知らない間に収集し、ビジネスに活用、莫大な収益を得る企業も登場しました。

従来より、EUでは「個人データをコントロールする権利は個人に属する」と考えられてきました。前述のデータ保護指令にも、個人データの取り扱いについて個人の権利と自由を守らなければいけないと明記されています

このような状況下で、限られた巨大IT企業が個人データを大量に収集し、ビジネスに利用している状況に対し、個人データの範囲を広げ、企業の義務を強化するよう求める世論が盛り上がりました。
個人データの保護を強化する動きは、EU外にも広がっています。タイやブラジルではGDPRに似た個人情報保護法が制定され、インドでも議会で審理が行われています。米国カリフォルニア州でも、個人情報保護を強化する「カリフォルニア消費者プライバシー法(CCPA)」が制定されました

GDPRが定める個人データを守るためのルールとは?

背景を踏まえ、GDPRが誰に向け、どのようなルールを定めているのかを確認していきましょう。

GDPRは「管理者」と「処理者」のためのルール

GDPRは個人データを扱う「管理者」と「処理者」のためのルールです。それぞれの定義も確認しておきましょう。

管理者は、データ主体となる個人から個人データを取得し、利用目的と手段を決定する個人や法人、公的機関、政府機関などを指します。処理者は管理者の目的や手段に沿って、個人データを処理する個人や法人、公的機関、政府機関などを指します。

gdpr image-3

個人データの「処理」と「移転」

GDPRは管理者と処理者が、個人データを「処理」あるいは「移転」するときのルールを定めています。それぞれの定義とルールの概要を説明します。
個人データの処理
個人データの処理には、データの取得や利用、提供、保管に加え、参照や構造化なども含まれます。NTTデータ先端技術株式会社は、以下のような具体例を挙げています

  • クレジットカード情報の保存
  • メールアドレスの収集
  • 顧客の連絡先詳細の変更
  • 顧客の名前の開示
  • 上長の従業員業務評価の閲覧
  • データ主体のオンライン識別子の削除
  • 全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成

こうした処理を行う上でどのようなルールが定められているのでしょうか。EY Japanはは、主なルールとして以下を挙げています

  • 個人データを取得するときは、目的や第三者へ提供するかどうか、保管期間などについて、わかりやすく通知する
  • 上記について個人に同意を得ること、また、同意を自由に撤回できる仕組みを整える
  • 個人データの処理および保管にあたり適切な安全管理措置を行う
  • 目的に必要な期間を超えた場合、あるいは個人が同意を撤回した場合は、すみやかにデータを削除する
  • 従業員数が250名を超える企業などでは個人データの処理についての記録を書面で残さなければならない
  • 個人データの侵害が発生したときは監督機関へ、72時間以内に通知しなければならない
  • 定期的に大量の個人データを扱う企業では、データ保護官を任命する

個人データの移転

「移転」とはEEAの外へ個人データを移動することを指します。NTTデータ先端技術株式会社は、以下のような具体例を挙げています

  • EEA内から個人データを含んだ電子形式の文書を電子メールでEEA外に送付する
  • EEA内の子会社から従業員個人データをEEA外の親会社に移転する
  • EEA内のクラウド事業者がEEA内で取得した個人データをEEA外のクラウド事業者に再委託する

GDPRでは、原則としてEEA外への個人データの移転を禁止しています。しかし、移転先の国でも、EUと同等の個人データ保護が行われていると認定された場合、あるいは個別に保護措置が取られていると認められた場合に、移転が可能になります。

日本とEUの間では、2019年1月に認定が行われたため、公的機関などの例外をのぞき、個人データの移転が許されています。(2020年4月現在)

参考:日EU間で個人データ保護水準に関する相互十分性を認定

GDPRに違反したときの制裁金

違反した管理者には最大で「全世界の年間売上の4%または2,000万ユーロ」の高額な制裁金が課されます。2019年1月21日には、フランスのデータ保護当局CNILが、Googleに5000万ユーロ(およそ62億円)の罰金を命じるなど、実際に巨額制裁金が課されるケースも出てきています。

GDPRのマーケティングへの影響

image-4

前述の通り、GDPRの背景には企業による個人データの活用があります。

個人データから顧客を知ることは、マーケティングを通してより良い体験を届けるためにも大切な取り組みです。それらのデータをどう守るのか、扱う際にどう顧客の権利を尊重するかを考えていく必要があります。

以下では、とくに押さえておくべき「同意取得義務」と「説明責任」について説明します。

個人データ取得における同意取得義務

GDPRではあらゆる個人データ取得において個人から同意を得るよう義務づけています。そのため、GDPRに則って個人データを取得するには、基本的に同意を得ることが必要になります。

また、個人はデータの取得に「同意しない」権利、「同意を撤回する」権利を持ちます。管理者は個人データを取得する際、本人の求めに応じて停止する「オプトアウト方式」ではなく、事前に同意を求める「オプトイン方式」を採用する必要があります。

取得・管理における説明責任

同意を得る際には説明も必須になります。企業は以下のような目的を明確かつわかりやすい形で説明しなければいけません。

  • 個人データ取得に関する受付窓口情報、連絡先
  • 個人データ取得の目的
  • 取得する個人データの種類
  • 第三者提供の有無
  • 個人データの保管期間、管理・破棄方法

同意義務も説明責任も、顧客が知らない間にデータを取得され、権利が侵害されてしまう状態を防ぐためのルールです。これらを守って、顧客が安心して利用できるサービスを提供することは、マーケティングにおいてより一層重要になるでしょう。

マーケターに求められるGDPRへの対応

では、マーケティングに携わる担当者はどのような対応を行う必要があるのでしょうか。事業内容やサービスによって異なりますが、共通して重要な対応方法を解説します。

あくまで主な対応方法のため、前提となるGDPRの適用有無や具体的な対応については、専門家へ相談するようにしてください。

現状のデータ管理フローの把握

GDPRへの対応が必要な場合、現状どのような場面で個人データを取得しているかを洗い出しましょう。個人データを取得する場面としては、以下のような例が挙げられます。

  • 問い合わせフォーム
  • アンケート
  • 会員登録画面
  • チャットボット
  • ログイン画面

取得している場面を洗い出したら、取得している目的や個人データの種類、管理方法を棚卸しします。

管理フローとプライバシーポリシーの改定

現状が把握できたら、個人データの管理フローがGDPRに則っているかを確認、必要に応じて変更を行います。GDPRでは情報漏えい時に報告を行う義務もあります。インシデント発生時の対応フローも整えておきましょう。

管理フローが決定したら、既存のプライバシーポリシーを、GDPRに合わせて改定します。先ほど「取得・管理における説明責任」で挙げた項目が明示されているか、必ずチェックしましょう。

  • 個人データ取得に関する受付窓口情報、連絡先
  • 個人データ取得の目的
  • 取得する個人データの種類
  • 第三者提供の有無
  • 個人データの保管期間、管理・破棄方法

自社サービスの見直し

自社のWebサイトやアプリで個人データを取得している場合は、事前に同意を得るコミュニケーションを図るよう開発を行いましょう。

例えば、フォーム送信時にチェックボックスを設置する、訪問時にポップアップを表示するなどが挙げられます。

日本航空株式会社のWebサイトに欧州からアクセスすると、Cookie取得に同意できるポップアップが表示されます。

gdpr image-5

GDPR以降、EU外でも個人データ保護にまつわる議論が進んでおり、日々新たな動きが出てきています。上記の対応を終えた後も、定期的に国内外の情報をチェックし、適切に対応していく必要があるでしょう。

顧客の権利を尊重したマーケティングへ

企業が個人データを適切に管理すること、利用について同意を得ること、説明責任を果たすことによって、顧客は安心してサービスを利用できます。そうした安心の積み重ねはCXの向上においても大切です。データ活用と並行して、個人データの保護にもしっかりと向き合っていきましょう。

SHARE