GDPR(EU一般データ保護規則)とは2018年5月25日にスタートしたのがGDPRという個人データ保護の枠組みです。General Data(一般データ)をProtection(保護)するRegulation(規則)で、一般データ保護規則と呼ばれています。EU加盟28か国とEU以外のアイスランド、ノルウェー、リヒテンシュタインが対象となります。GDPRでは対象国に住む住人の個人データの処理と対象圏外への移転ルールを決めています。EUにはもともと1995年にスタートしたEUデータ保護指令がありました。指令は加盟国を拘束しますが、達成するための手段と方法は加盟国に任されます。今回の規則は指令より厳しく、すべての加盟国を拘束し、加盟国が議会で批准手続をしなくても、そのまま法律になります。つまりどこの国でも同じ個人データ保護が求められることになります。GDPRの対象範囲GDPRでいう一般データとは何でしょうか。一般データとは個人データのことで住所、氏名、電話番号、生年月日、メールアドレス、顔写真、身体的要素、社会的要素、銀行口座情報や医療情報、スマホなどが集めるSNSへの書き込み、GPS情報などが対象となります。日本の個人情報保護法による個人データと同等と考えてかまいませんが、GDPRの方が若干広めになっています。細かなことを言うとGDPRには日本の個人情報保護法にはないオンライン識別子(IPアドレスやCookie、RFIDなど)や無記名の個人の履歴データも含まれています。また6ケ月以内に消去する個人データは日本では開示の対象外ですがGDPRでは必要です。日本企業にも影響がある?GDPRが適用される事業所GDPRが適用される対象国に事業所があれば当然ですが、例えば日本にゲーム配信会社があって、対象国の住人がゲーム参加(有償、無償問わず)している場合は、個人データを集めて処理することになりGDPRの対象となります。ネットサービス、メルマガ、広告ビジネスを海外向けサービスとして行う場合は、IPアドレスやCookieも個人データとなりますのでGDPRに適用しておいた方がよいでしょう。厳密に解釈すると国内で民泊ビジネスを行っていてヨーロッパからの観光客を泊めるのならGDPRが適用されます。あまり構えず他の国の宿泊者と同様にしっかり個人データを守っておけば大丈夫です。事業者に求められる義務と罰則難しく考えず、自分がお客さまの立場だったらどのように個人データを扱ってほしいかを考えれば大丈夫です。個人データを集める前に情報収集の目的や用途、情報管理方法、情報提供の同意・撤回方法を相手に伝えます。ただし法律用語満載の難しい文章はダメで相手が理解しやすい文章で下記の観点が必要です。●任意性…個人データの提供はあくまで任意であり、拒否してもかまいません。●具体性…個人データをどのような目的で使うか明確化します。マーケティング全般で使うなどは広すぎてダメ。●同意の記録…個人データ提供者が同意した事実を明確に記録します。デフォルトが「同意する」になっていると無効で、個人データ提供者が自ら同意しないと同意したことになりません。また最初から個人データの保護を考えてサービス内容を設計しましょう。個人データへの侵害があれば監督機関と各個人にすみやかに通知する義務があります。監督機関では、できたら個人データ侵害を認識した時から72時間以内の通知を求めています。個人データを多く定期的に集めるような場合は、データ・プロテクション・オフィサー(DPO)の設置が必要です。日本でいう個人情報保護責任者となります。ただし経営者の都合で処分されない特権をもつなど独立的な位置づけが必要です。内部の職員に限らず、サービス契約に基づく外部の専門家(弁護士等)を任命してかまいません。GDPRに違反した時の罰則ですが、事業者としての義務を果たさない場合、課徴金として最大1,000万ユーロまたは全世界での年間売上高のうち最大2%までのうち高い方を課されます。また本人の同意を得ることなどデータ処理の基本原則に違反した場合に、課徴金として最大で2,000万ユーロまたは全世界の総売上の最大4%のいずれか高い方が課されます。全世界の総売上なのでGAFAはGDPRに戦々恐々としています。日本への個人データ移転ができるようになるGDPRは対象国以外に個人データを持ち出すことを原則禁止していますが、十分なレベルの保護措置を確保している国には域外持ち出しを例外的に認める「十分性認定」という仕組みがあり、現在、日本を認める手続きに入っています。認められていないと、データの移転を行う事業者自らが個々に契約を結ぶ必要があり、とても大変です。日本企業が気をつけるべき点GDPRが直接、日本企業に影響を与える点は少ないですが、日本へのデータ移転をすすめるため、GDPRに即した形に個人情報保護法のガイドラインが改定される動きになっています。例えばGDPRでは、保有期間にかかわらず全ての個人データについて開示・訂正・利用停止等の請求権が認められていますが、日本でも厳格化されます。今までのガイドラインでは個人からの個人データ開示請求に対し、「本人に開示を請求する範囲を特定してもらい、本人が特定した範囲で開示すれば足りる」としていましたが、なくなります。開示請求があった個人に、「開示する情報はそちらが具体的に指摘して」と門前払いしていた企業は言い逃れできなくなります。請求があれば全部、出さないといけません。GDPR対応で、グーグルがプライバシーポリシーを改定し、自分で自分の個人データを管理しやすくしました。これはグーグルプライバシーという名前で日本でも提供されています。GDPRでは忘れられる権利があり、実際にグーグルは欧州において検索結果削除を行っています。また自分の情報を自由に持ち運ぶデータ・ポータビリティ権を包括的に認めていますので、これから日本企業も対応が必要になってくるでしょう。GDPR対応へ向けてマーケティング担当者は何をすべきか個人情報保護は世界の潮流ですので、しっかり個人データを守る体制を社内に構築しなければなりませんが、本当にその個人データが必要なのかという視点が重要です。例えばコストのかかるDMを送る必要がなく、メルマガで十分なら住所は不要です。項目を削除すればそれだけ漏えいリスクを下げることができます。集めておいたら何かに使える、という程度の個人データは棚卸をして削除しましょう。次にリスクマネジメントを行い、対応策を検討します。リスクの発生度合い、起きた場合の影響度を表にまとめ、どの項目から重点的に取り組めばよいか考えます。全てのリスクを低減できればよいのですが、費用がかかる話なのでリスクを認識しながら保有することや保険のようにリスク移転するなど対応策を考えます。個人データをしっかり扱える社内体制が整ったならプライバシーマークやJIS Q 27001(情報セキュリティマネジメントシステム)の第三者認証を取得し、アピールすることもできます。個人情報保護法では委託先が個人データを適切に扱えるかどうか問うており取引先選定ポイントの一つとなります。世界で一番厳しいGDPRに対応したサービスにしておけば、全世界的にビジネスができることになります。2018年5月前後から、グーグルなどふだん使っているインターネットサービスで個人データに係る確認を求められることが続きました。これらはGDPR対応するために全世界でサービスを見直した影響です。時代はさらに動いており、2018年10月から企業向け蓄積型データ取引市場(エブリセンスプロ)が立ち上がり、企業や団体が全国の宿泊施設の予約状況データの販売や自動車の実燃費に関するデータ販売をスタートしています。個人情報保護法の改正で情報銀行がいよいよ立ち上がり、個人が自らの個人データを売る市場が誕生します。今までは自社内での個人データ活用でしたが、個人が特定できない形に個人データを加工すれば外部に販売することもできます。情報収集の目的をきっちり伝える必要がありますが個人データを新しいビジネス展開につなげることができます。GDPRと個人情報保護法ガイドラインの改正の動きを把握し、マーケティングにいかしていきましょう。