消費者のプライバシー保護に対する意識の高い欧州では、ビッグデータ分析によって意図せずに転用される懸念が高まる個人情報に対する規制が強まっています。2018年5月に施行されるGDPR(欧州一般データ保護規則)では、個人情報の取り扱いについて厳しい規制と罰則が定められました。日本企業であっても、EU市民の個人情報を取り扱う場合、規制の対象となります。
目次
GDPR(欧州一般データ保護規則)は、2018年5月25日に施行される、欧州市民のプライバシー保護を目的とした規則です。情報化社会において個人情報が高い価値を持つようになる一方で、消費者が意図していない目的で、気づかないうちに個人情報が転用されている懸念が広がってきています。そこで、EUは個人情報を取り扱う企業に対し、個人情報を取り扱うよう、規則や罰則を制定しました。
GDPRでは、氏名などの個人を特定できる情報や、銀行口座・クレジットカード番号といった個人に紐づくデータを保護対象としています。そのデータを収集する企業、及び、データの管理・処理を委託された企業が、個人情報を保護する責任を負います。
個人情報は様々な場面で収集されます。マーケティング活動では、見込み顧客から名刺を収集し、製品やイベントの案内を行ったりするでしょう。Webサービスを運営していれば、ユーザーは氏名や住所を入力します。採用活動における履歴書の収集も個人情報です。全ての業務プロセスにおいて、保護するべきデータ項目を特定し、その処理過程を把握しておく必要があります。
個人情報を収集する場合には、明示的な同意が求められます。例えば、Webサービスのユーザー登録画面ではプライバシーポリシーへの同意をユーザーにチェックさせる義務が発生します。収集した情報は、本来の目的に必要な期間を超えて保持してはならないとされます。具体的には、新卒一括採用で収集した履歴書は、採用活動が終わり次第、削除が必要となる可能性が考えられます。
欧州で施行されるGDPRは日本企業にどのような影響があるのでしょうか。EUは活動の拠点に関わらず、EU市民の個人情報が全て対象となります。グローバルに事業を展開する企業は、取引先や関連企業にEU市民が含まれるでしょう。Webサービスで多言語対応を行い、国外からのユーザー登録を許可している場合、EUからの参加が予想されます。
GDPRではEU圏内から個人情報を移転するのは避けなければなりません。人事管理システムやERP、CRMなど、情報システムの所在地が日本国内にあるとすると、EU市民の情報を日本へと移転することになります。この場合、本人からの明示的な同意を得るか、拘束的企業準則(Binding Corporate Rules)を策定するか、標準契約条項(Standard Contractual Clauses)を締結する必要があります。
GDPRに違反した場合の制裁は極めて大きいとされます。前年度の全世界売上高の4%、もしくは2000万ユーロのうち、より高い方が制裁金となるというのは、極めて重い措置です。例えば、個人情報の情報漏えいが発生した場合、GDPRでは72時間以内に規制当局へ通知する義務があります。また、データを提供した個人にも、速やかに通知する必要があります。このような規制に違反した場合、前述した多額の制裁金が科されるのです。
日本企業では楽天グループがGDPRに対応し、拘束的企業準則の承認を取得したと発表しました。また、インターネットイニシアティブ(IIJ)では、GDPR対策を進めるコンサルティングサービスを開始しています。
マーケティング担当者は、GDPRに対して正しく備える必要があります。どのようなデータをどこから取得したかを明確にするのは第一歩です。個人から、データを削除する旨の依頼が合った場合、削除できるよう、プロセスを整備するのも重要です。
B2C企業は大規模なCRMシステムを構築しているので、個人情報に関わるリスクは無視できません。B2B企業でも、企業間の取り引きに個人情報を取り扱うので、GDPR対応は必要になります。
GDPRは顧客とコミュニケーションの機会でもあります。例えば、メールマガジンのオプトインを確認するために、個人情報更新を促すメールを送れば、顧客は反応した上で、次なる購買を検討してくれるかもしれません。何より、GDPR対応が完了したというプレスリリースを行えば、プライバシー保護への取り組みをアピールする絶好のチャンスとなるでしょう。
本記事では、日本企業であっても対応が必要になるGDPRについて解説しました。必要となる管理体制は企業の状況によって変わりますので、法律家の指導を受けながら、体制構築することを推奨いたします。