GDPRを好機ととらえ、プライバシーに優しい企業へ ~ プライバシー情報取得における「同意の取り方」とは

2018年05月17日



【POINT】

  • 個人は「プライバシーを公開する範囲」を決める権利を持つ
  • 既に対策を講じていても、GDPRに変わるにあたって差分がある場合は問題になる    
  • 自社が「EU域外適用」に該当するのか懸念がある場合は、現地の当局や弁護士に相談しておくとよい

この記事の前編(※)では、EU一般データ保護規則(General Data Protection Regulation:GDPR)がEUデータ保護指令(Data Protection Directive)の後継であり、すでに企業は対策ができている可能性があること、およびGDPRを機会として顧客のプライバシーに優しい企業へと飛躍する意義について述べた。後編では、企業のマーケティング施策にとって大切になる「プライバシー情報取得の同意」について掘り下げたい。

この分野におけるエキスパートとして多くの日本企業にアドバイスを提供してきた、デロイト トーマツ リスクサービス株式会社の北野晴人氏に引き続き話を伺う。

 

※前編はこちら:GDPRを好機ととらえ、顧客に信頼される企業へ ~より良い顧客体験提供ために取り組むべき、GDPRの基本事項とは

個人がプライバシーを公開する範囲を決める

個人がプライバシーを公開する範囲を決める

GDPRは、個人のプライバシー権を守る法律だ。一方、人は普段の生活の中で、少なからずプライバシーに関する情報を他者へと公開している。

たとえば、友人と食事に行くときについて考えて見よう。2人は、「いつ」「どのレストランで」「どんなメニューから何を選び」「何を食べ」「どんな会話をしたか」を公開(共有)し合っている。これは、デジタルの世界において企業と個人が接触することと、本質的な違いは無い。ただし、デジタルは“すべてを忘れない(忘れないようにすることができる)”という特質がある。いまでは、メニューを眺める視線の動きから、最終的にどれとどれを比較したのか、その決断に要した時間はどれくらいであったか、などの情報まで取れるようになっている。

個人がプライバシーを公開する範囲を決める

さてあなたは、会話で得た情報から友人の嗜好により詳しくなり、次の食事の場所を設定しやすくなる。友人も、自分好みの場所を提案してくれることを違和感なく受け容れるだろう。「この人と食事に行く店には、必ず大好物の銘柄の酒が置いてあるのはなぜだろう」と疑問に思うことはないはずだ。

マーケティング活動において、顧客体験の質を高いレベルへと引き上げていくには、このような積み重ねが大切になる。私たちは仲の良い友人には積極的にプライバシーを公開してより良い関係を築きたいと考えているが、これと同じことだ。つまり、GDPRにおいて大切なのは、顧客の「プライバシーを公開することでより良いサービスを受けられるのならば、積極的にプライバシーを公開したい」という権利もきちんと保護されるということだ。

個人がプライバシーを公開する範囲を決める

ただし企業としては、「その範囲を決めるのは個人であること」に注意しなければならない。たとえば、「店舗がカメラを設置し、そこに自分が映る可能性がある」というケースを考えてみよう。ある顧客は、「店舗の顧客動線チェックのために自分の映像が使われ、多くの従業員に見られるのは嫌だ」と感じるかもしれない。しかし、「映像として記録されないセンサーなら構わない」、「防犯目的にのみ使い、1週間後に必ず消してくれるなら良い」と許容範囲を示してくれる顧客もいる。一方、「私はこの店でよく買い物をするから、私にとって快適な導線になるならどんどん使ってほしい」という顧客もいるかもしれない。このように、顧客が望んだり許容したりしたことであれば、企業は公序良俗に反せず、合法であれば、適切なルールにもとづいてそれを利用できるのだ。

すでに罰則を受けた企業も

すでに罰則を受けた企業も

問題になるのは、「同意を取る」やり方だ。欧米の多くのwebサイトでは、Cookie使用の注意喚起メッセージが出てくる。これは、CookieやログインIPなどもEUデータ保護指令やGDPRの個人識別データとして適用対象になっているためだ。これらは氏名や年齢を含まず、取得したとしてもその扱い方は限定的になりそうではある。そのため単なる警告にとどまっているが、ユーザーに会員登録を促す会員サイトのような仕組みがあれば、約款等での対応が必要になる。これについて多くの企業は、すでにEUデータ保護指令の時点で対策を講じているが、GDPRに変わるにあたって差分がある場合には問題になってくる。

「実は、GDPR移行を進めるプロセスで、すでにペナルティを課された日本企業もあるのです。現行法のEUデータ保護指令による罰金で、大きな金額ではなかったのですが、その企業が“まじめ過ぎた”がゆえの罰則でした。日本であれば世論を含めて許され、ブランドイメージも毀損しないケースです」(北野氏)

この企業は、欧州で顧客情報を保有していた。そのすべての顧客に対して、近くGDPRが始まることを報告し、その際にプライバシー情報の処理に同意してくれるかどうかを尋ねるメールを一斉配信した。「GDPR開始後もプライバシー情報を使わせてほしい」という内容ではない。不同意の場合、情報を削除するパスも用意した内容だった。

どこに問題があったのだろう。

答えは、「すべての顧客が同意していることが明確でないメールを、全顧客に向けて一斉配信した」ことだった。

「EUデータ保護指令からGDPRに移行するにあたって、同意を取り直さなければならない可能性のある約款が見つかったとき、特にEU側が「リスクが高い」と認識している処理を行いたい場合は、なるべく当局や現地弁護士を交えて話し合うことが望ましいです。サービスの拡張などで同意を取り直す必要があるケースは今後も出てくると考えられますので、そうした際に気をつけたい事例です。ここでいうリスクが高い処理というのは、収集した行動履歴データ(web上での閲覧履歴や位置情報、購買履歴等を含む)を使って個人の趣向を推測する、いわゆるプロファイリングや行動ターゲティング広告のようなものを含みます。各国の規制当局であるデータ保護機関(Data Protection Authority:DPA)も、相談に来ることを想定しているケースが多数ありますから、きちんと話し合って落としどころを探るようにしてください」(北野氏)

自社が適用対象なのかどうか

自社が適用対象なのかどうか

日本でサービスを提供していて、欧州に拠点がなく、欧州からのサイトアクセスは少数ながら見られるという企業も、悩みを抱えているかもしれない。すでに、欧州からのアクセスに対して、接続を遮断している企業やサービスもある。ただ、このような画一的な対応では、たとえば短期出張者のニーズにこたえられないという別の悩みも出てきてしまう。

「まず考えてほしいのは、その業務が本当にGDPRの適用対象なのかどうかです」と北野氏は話す。

「たとえば、インターネット上でサービスを提供している企業が、日本人向けに日本語でサービスを行うwebサイトを運営しているとしましょう。そのサイトを欧州在住者が使っていた場合などは、域外適用(本社がEU域外でもGDPRが適用されること)対象とは言えない可能性があると考えられます。英語サイトでも、欧州向けであるとは限らないのでグレーゾーンでしょう」。

自社が適用対象なのかどうか

GDPRは、上図のように域外適用条件を定めている。裏を返せば、「条件に当てはまらない組織やサービスは、適用対象外である」ということだ。ただし、グレーゾーンは残っている可能性がある。懸念がある場合は、自社のサービスの内容について、現地の当局や弁護士などに相談しておくとよいだろう。それなら最低限のコストで客観的な確認ができる。前編で述べたが、EU域内に一律に同じ規制が適用されるため、適用対象外であることがわかれば、EU域内のどこでも適用対象外だ。いままでと同じサービスを、同じやり方で続けることができる。

とはいえ、それは本質的な解決策とは言えない。相手が日本人でも、EU域内に住んでいる人たちであっても、顧客のプライバシー関連情報を安心して預けてもらい、それによってより優れたサービスを提供することを目指すことが、「デジタルで優れた顧客体験を提供できるプライバシーに優しい組織」へと成長することにつながる。GDPRを契機に、改めて顧客のプライバシーを守ることや、顧客に積極的にプライバシーを開示してもらうことで提供できる新しい体験やサービスについて考えてみてほしい。

北野 晴人 氏

北野 晴人 氏
デロイト トーマツ リスクサービス パートナー

二種通信事業者、外資系通信機器ベンダーなどを経て、2001年から2013年春までリレーショナル データベース、アイデンティティ管理を中心にセキュリティ関連製品の販売戦略/ビジネス開発などを担当。その後、セキュリティ技術と法律、マネジメントをつなぐコンサルティングを提供中。情報セキュリティ大学院大学客員研究員。博士(情報学)、(ISC)2アジア パシフィック アドバイザリーカウンシルメンバー。

公認情報システムセキュリティプロフェッショナル(CISSP)
日本行政情報セキュリティプロフェッショナル(JGISP)

 

UNITE編集部


おすすめ情報