GDPR(EU一般データ保護規則)とは?【マーケター必須知識】
昨今、記憶に新しいFacebookの個人情報が不正利用などといった、個人情報の取り扱いに関するニュースが頻繁にあります。
こうした個人情報を取り扱いの方法について、日本でも個人情報保護法が改定されました。
しかし、日本ではウェブ上のデータに関しては、そこまで大きくは取り上げられてはいませんね。
そんな中、海外では数年前より、このウェブ上の登録データや閲覧/行動データから個人を特定できるな情報(IPアドレスやCookieなど)に関しても問題視されています。
特に欧州では、2018年からGDPRという制度が施行されていますし、欧米でも2020年から一部地域でも施行されます。
日本もこのような動きの影響を受けますし、今後加速していきます。
「GDPRってなんだっけ?」という状況では、今後デジタルマーケティング(CRMやデジタル広告など)を実施するに不安要素しかないです。
そのため、GDPRという制度を理解しておく必要があるので、まとめようと思います。
GDPR(EU一般データ保護規則)とは?
欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の制度です。
2018年5月25日からウェブ上にある個人を特定できる情報(IPアドレスやCookieなど)についても、個人情報としてしっかりと扱うした制度となります。
正式名称は、
「EU一般データ保護規則」(GDPR:General Data Protection Regulation)
となります。
頭文字をとって、「GDPR(ジーディーピーアール)」となります。
ウェブ上にある個人を特定できるデータとは?
普段なにげなく利用しているインターネットですが、個人を特定できる情報は結構ありますが、下記も個人情報とみなします。
- Cookie
- IPアドレス
・Cookieとは?(簡単に概要を説明します)
そのデバイスを利用している人のウェブ上の閲覧や行動したデータを記録する技術です。
例えば、あるECサイトにて、”スニーカー”を閲覧したとします。そのときは購入まで至らず一旦ECサイトから離脱します。
数日後にECサイトを訪問すると、閲覧履歴として残っていることがあると思います。
これがCookieという技術を利用してユーザーの閲覧したデータをそのユーザーのブラウザに保存しておくことができます。
こうしたCookieを利用して、サイトレコメンドや広告ターゲティングにも利用されている実態があります。
Cookieがその人の閲覧や行動のデータを収集しているという点から、その人に関するCookieデータが蓄積されれば、ある人の人物像が予測ができてしまいます。
では次にIPアドレスです
・IPアドレスとは?(簡単に概要を説明します)
IPアドレスはいわずもがなかなと思いますが、インターネット上に接続された機器が持つナンバーのことです。
データをやり取りする際、ネットワーク上で通信相手を間違わないようにするために使われます。
パソコンやスマートフォンなどネットワーク上の機器を識別するために割り当てられていて、インターネット上での住所のような役割を担っています。
IPアドレスだけで、個人情報まで全ては把握できませんが、利用方法によってはわかることもあります。
そのため、「Cookie」や「IPアドレス」のようなオンライン識別子についても個人情報として扱う必要があります。
それがGDPRです。
GDPRの注意点
既にCookieやIPアドレスは、個人情報になるということは理解できたと思います。
しかし、それだけではないんです。
もう一点、
- 個人情報取得する際はユーザーの同意が必須
となります。
最近だと、よく企業ウェブサイトを訪問すると、サイト下部にオーバーレイのようなかたちで、Cookie取得に関する同意を求められると思います。
まさにそれが、必須で必要なのです。
ウェブサイト訪問者の同意なくして、Cookie情報を無断で取得すること自体がGDPRに引っかかります。
そのため、企業のウェブサイトでは、最近そのような表示をすることが多くなっています。
特に日本ではまだ未対応の企業も多いと思いますので、来たる日本版GDPRに備え、対策を講じておきたいですね。
GDPRの適用範囲(日本への影響)
GDPRの適用範囲についてまとめます。
しっかりと守らないと多額の罰金が発生してしまいます。
「EU圏だけでしょ?」と思っていると痛い目を見ることになるので、適用範囲は理解しましょう。
適用範囲
- EU内に拠点を置く、データ管理者(EU居住者からデータを収集する組織)
- または、処理者(データ管理者の委託先としてデータを処理する組織)
- または、データの主体者(個人)
- EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合
というEU域内でビジネスを行なっている企業や個人もそうですが、EU域外でビジネスを行なっていたとしてもEU居住者に対してビジネスを展開している場合は対象になります。
自社サービスが該当しないかはしっかりと把握してGDPRに対応しましょう。
GDPRのまとめ
基本は以下の2点です。
- CookieやIPアドレスは個人情報
- 上記、個人情報取得する際はユーザーの同意が必須
2018年5月25日からGDPRが施行されましたが、2020年1月にもカリフォルニア州でCCPAという法案も施行されるので、日本も2020年には大きく動くと推測されます。
いきなりプライバシーポリシーを企業(社内)で変えることはなかなか難しいと思うので、今から少しづつ取り組むことが必要ですね。
CCPAについてもまとめたいと思いますので、記事執筆しましたら、こちらも反映させます。
CCPAについてはこちらからどうぞ↓
以上がGDPR(EU一般データ保護規則)についてのまとめでした。
ご参考になれば幸いです。