デジタルマーケティングを始めよう
  • TEL: 03-6418-9221

デジタルマーケティング ブログ

基礎から最新情報まで、マーケティング担当者向けの役立ちブログ

span>
メールアドレスをご登録いただくと、定期的に最新情報をお届けします。

個人情報の取扱を定めた新基準!GDPR(EU一般データ保護規則)とは?

2018年5月、適用開始となったGDPR(EU一般データ保護規則)。個人情報の取扱いについての新しいルールを知り、より安心安全な仕組みづくりに役立てよう。

  • GDPR
  • 2018年 06月 27日

GDPRとは何か?

GDPRとは、EU一般データ保護規則(General Data Protection Regulation)のことです。EU(欧州連合)における個人のデータ保護のために作られた法律で、2018年5月25日から適用開始となりました。その影響を受け、普段登録して使っているWebサービスからルール変更のお知らせを受け取った、という方も多いのではないでしょうか。

今回はこのGDPRについて、個人データの取扱についてのどのようなルールなのか、GDPRが適用される範囲は、違反した場合はなど、気になるポイントをまとめました。EUにおける法律と言っても、日本にまったく無関係というわけではありません。状況によっては日本国内の企業にも適用されます。安心・安全に個人情報を取扱うためにも、新しく定められたルールについて知っておきましょう。

個人情報の取扱、適切ですか?

GDPRはこれから先、日本での法律制定や、個人情報の取扱についての当たり前とされているルールにも影響を与えるかもしれません。テクノロジーやツールの進化に従って、企業では個人のデータを収集し、属性や条件に合わせたきめこまやかな顧客対応、マーケティングができるようになってきています。望まれる情報や商品を、望まれるタイミングで提供していこう、それが顧客満足や成果につながる、というわけですね。

しかしそのような変化に伴い、個人情報を適切に取り扱うための仕組みやツールが普及しているか、ルールの周知が広がっているかというと、必ずしもそうとは言えないのではないでしょうか。

少し前のことですが、インバウンドマーケティング・コンテンツマーケティングの効力が多くの人の知るところとなり、SEOにおいても多くのコンテンツを投入することが効果を上げることが立証されましたよね。その結果、どのような状況となったか。この点に、現在の個人情報の取扱いについて注意が必要であることのヒントが見えます。

コンテンツマーケティングやコンテンツの力によるSEOに取り組んだ多くの企業では、ものすごいスピードで記事が生産されていきました。しかし中には、他者のコンテンツの盗用で記事を大量生産したり、不適切な引用を行い、他者の権利侵害をしていたりと問題のあるサイトも含まれていました。

大企業が運営する自社メディアでもこのような権利侵害があったことが明らかになり、謝罪会見を開くにいたったことはまだ記憶に新しいですよね。医療ジャンルなど専門知識が必要な分野で内容の信憑性が疑わしい量産記事が上位表示されてしまい、この点が問題視され、Googleのアルゴリズムに影響を与えるなどの波紋もありました。

大きな効果が出るツールや方法は、極端なやり方や悪用につながってしまうこともあります。個人の情報蓄積・大量のデータ分析、分析したデータの活用(個人に合わせたアプローチ)に注目が集まる今、企業では、GDPRをきっかけにして適切な個人情報の取扱いについて理解を深め、自社のルールについても見直す良い機会なのではないでしょうか。

GDPRが日本に与える影響

「EU一般データ保護規則」の名前のとおり、GDPRは、EU(欧州連合)加盟国における法律です。EU内の個人データ保護を目的としています。そのため、日本国内でのみ活動している企業、日本国内の人だけ使っているサービス(EU内にいる個人のデータを扱わない場合)は、GDPRは適用されません。GDPRが適用開始となりましたが、特に対応不要ということになります。

しかし「EU域内に子会社や支店などの拠点がある」「EU域内の個人に商品やサービスを提供している」「EU域内の個人の行動を監視する場合」には、日本の企業や団体であってもGDPRの適用範囲になります。本社がどこの国にあるかや、会社の規模は関係ありません。条件を満たせば中小企業や零細企業、政府機関や事業者団体なども含め、日本国内の企業・団体にもGDPRが適用されます。

【GDPRが適用される日本の企業】
・EU域内に子会社や支店などの拠点がある
・EU域内の個人に商品やサービスを提供している
・EU域内の個人の行動を監視する場合

GDPRは対象となる企業や団体の義務であり、違反した場合は少なくない額の罰金が発生する可能性があります。具体的には、「最大2000万ユーロ、または全世界売上の4%のいずれか高い方」の金額の罰金が発生する可能性があるようですね。1ユーロは128円として計算すると、2000万ユーロ=日本円にして25億6000万円です。

GDPRにおける「個人データ」とは、取扱のルールとは

GDPRにおける「個人データ」とは、「識別された又は識別され得る自然人に関するあらゆる情報」とされています。これだけではちょっとイメージしにくいですね。たとえばサイトの閲覧ユーザーや顧客の氏名、位置データ、メールアドレス、オンライン識別子(IPアドレス、クッキー識別子等)などです。身体的/生理学的/遺伝子的/精神的/経済的/文化的/社会的固有性に関する情報など、身体や思想に関する固有情報も含まれます。

こう並べてみると、かなり多岐にわたりますね。このように個人のもつ属性や思想、個人を特定できるデータを取扱う人たちが何をすべきか(すべきでないのか)義務を定めたのがGDPRというわけです。現代に合わせた、きめ細やかな取り決めがなされています。

どのような義務があるか具体的な例を上げてみましょう。たとえば、個人データを取得する際には、その目的や保管する期間等を通知し、本人から同意を得なければなりません。また、データを取得される側である個人は、取得された自らの情報にアクセスできるようにしなければなりません。また、健康状態や人種、性的指向、信仰、政治的信条などセンシティブな情報ついては原則として取扱い禁止とされています。

また、もしも取得・蓄積した個人データの侵害が発生した場合には、原則として72時間以内に、管轄監督機関に通知しなければならず、高いリスクの可能性がある侵害であれば、本人にも通知しなければなりません。GDPRに対応する企業では、このようなルールに沿ってすでにプライバシーポリシーの改訂がなされています。

日本国内にもすでに個人情報保護法というルールが存在しますし、多くのWebサイトやWebサービスでは各自にプライバシーポリシーを設けて、適切なデータの取扱いを定め、そのルールを公開しています。しかし、それらもGDPRに対応できるきめ細やかなルールであるかというと、そうではないのが現状です。

この記事の冒頭で述べたとおり、個人のデータ取得・活用に注目が集まる今、個人情報の取扱についての最新ルールであるGDPRについても知り、個人情報の取扱に留意することは企業や団体はもちろん、Webやデジタルマーケティングに関わる個人にとっても非常に有用な機会となるはずです。

※参考
個人情報保護委員会「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」
http://www.meti.go.jp/policy/mono_info_service/connected_industries/pdf/gdpr01.pdf

経済産業省「個人情報保護」
http://www.meti.go.jp/policy/it_policy/privacy/

※上記経済産業省ページ内、「EU:一般データ保護規則、十分性認定等の動きを踏
まえた産業界の取り組みと課題」(JIPDEC主催第18回データ流通促進WG~国境を越えるデータ流通の促進~12月7日開催)
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/18datewg08.pdf

このコンテンツは参考になりましたか?

メルマガ登録はこちら

デジタルマーケティングに役立つ最新情報を随時配信しています。

span>

最新記事

人気の記事

タグ

アーカイブ

デジタルマーケティングを始めよう

一人ひとりへの違うおもてなし、してみたくありませんか?
あなたがしてあげたい、おもてなしの旅の計画を作りましょう。
Pagez Marketing Cloudが一人ひとり違う、おもてなしの旅に連れていきます。

マーケティングでお悩みですか?

国内大手企業に導入されている高機能CMSにマーケティング機能をプラス。
サイト管理、フォーム、顧客管理、メール配信、コンテンツマーケティング、マーケティングオートメーション。
デジタルマーケティングに必要なツールをオールインパッケージしたクラウドサービス。
Pagez Marketing Cloudは必要な機能を選択して、始めることができます。


Pagez Marketing Cloudとは

掲載メディア