EUにおける個人情報保護に関する法律である一般データ保護規制(GDPR)が、2018年5月25日に施行されてから1年半が過ぎた。企業や組織が個人データを処理することについて管理するEU全体の規制である。「自然人の基本的管理と自由」を保護するために、データの処理手順、透明性、文書化、ユーザーの同意に関する厳しい要件を定めている。
本記事では、ハートコア株式会社CSO CX本部 本部長 宮本海氏にウェブサイトにおけるGDPR対策について日本や世界のトレンドを聞いた。
グローバルビジネスの広がりでGDPR対応が必須に
GDPR施行の背景には、昨今クラウドの利用が拡大していることや、ビジネスのグローバル化を背景に、個人情報保護の重要性が意識されると同時に、サイバー攻撃をはじめ、内部不正による個人情報漏えいなどの事件が世界的に増加していることがある。
もし違反が発覚した場合、最大で企業の全世界の年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い方を支払う義務が発生する。世界では、Googleがデータ収集後の用途開示義務違反などで約62億円、マリオットインターナショナルが5億人分の個人情報漏えいなどで約132億円の罰則金を科せられている。
まだ罰則を受けた日本企業は存在していないものの、欧州に支部や支店を持つ企業はもちろん、訪日中のEEA(欧州経済領域、European Economic Area)域内居住者に対してサービスや商品を提供するサイトも規制の対象になる。2020年の東京五輪を控え、日本企業にも十分かかわりのある法律となっており、今後はリスクヘッジのため、対応策の実施が待たれているところである。
「Coockieを発行します、利用します」では不十分
GDPRでは、名前や電話番号、メールアドレスだけでなく、coockieも個人情報の一部としてみなすため、ユーザーにcoockie情報の収集について同意を得る必要があります。以下のような注意書きがポップアップするのを見たことがあるかもしれない。
※クリックすると拡大画像が見られます
しかし、このようなただ同意を求めるだけでは対応として不十分。実際には、次の表のように、アナリティクス、A/Bテスト、マーケティングオートメーションなど利用用途を明確にした上で同意を得る必要がある。
※クリックすると拡大画像が見られます
ゼロクッキーロードの実現がカギ
日本企業がウェブサイトでGDPR対応をする際に、ポイントとなるのがゼロクッキーロードの実現だ。ゼロクッキーロードとは、同意を得る前に、サイトへのCoockieとその他の個人データ処理アクションの読み込みを一時的に停止することを意味する。オプトアウト方式も同じ概念で、GDPRに準拠する際には必須の要件である。
すべてのCoockieを洗い出した上で、あらゆるタグについて、有効にするタイミングを同意するタイミングに合わせてコントロールする必要がある。
※クリックすると拡大画像が見られます
Piwik PRO GDPR Consent Managerが解決
企業は、GDPRの規制を順守した上で、訪問者のプライバシーを尊重しつつ、データ収集に対する同意を集め、効率的な管理を実施していく必要がある。
その要件を満たす最良のツールとして「Piwik PRO GDPR Consent Manager」を紹介する。このツールを使うことで、サイト訪問者から寄せられるデータ消去、データ修正、同意のステータス、リクエストの履歴といった要求を可視化し、管理画面上で操作できる。欧州を中心に、世界の132社、5万サイトが導入。GDPRを展開する側の組織である欧州委員会も採用している。
※クリックすると拡大画像が見られます
完全なゼロクッキーロードを実現する際にも、Piwik PRO GDPR Consent Managerが大きな力を発揮する。アナリティクス、マーケティングオートメーション、リマーケティングなどCoockieを利用して個人情報を集めるタグをこのツールに移行するだけでいい。また、タグマネージャーのGUI上で、収集目的に合わせてカテゴライズを直感的に実施でき、同意取得における目的別のタグの有効化が非常に容易になるのも特徴だ。
※クリックすると拡大画像が見られます
Piwik PRO GDPR Consent Managerの製品構成
Piwik PRO GDPR Consent Managerを構成するのは、Widget Manager、Admin Panel、Tag Managerの3つだ。
Widget Managerは、同意のポップアップやサンクスポップアップなどを手軽に作成するマネージャーだ。また、スティッキーバーによる同意を促すUIを作成し、管理することもできる。
GDPRでは、データ消去、データ修正、データアクセスと移植性など各データ主体の要求を記録し、オペレーターが確認できるようにしなくてはならない。Data subject requestsというAdmin Panelを使用し、こうした要件を満たすことができる。
Consent ManagerにはTag Manager機能も持っている。同意されたらタグを有効化する、同意されない場合は有効化しないといったコントロールが可能だ。
今後重要視されるGDPR
一般財団法人日本情報経済社会推進協会(JIPDEC)と調査会社のITRが実施した調査「企業IT利活用動向調査2019」によると、「GDPRにのっとり適切に個人情報の移転を実施している」との回答は前年比8%増えて34.4%と順調だった一方で、「知っているが何も対応していない」が13.5%、「GDPR」を気にすることなく個人情報をの移転を実施している」が19.8%おり、現在も未対応の企業が3割を超えて存在していることが明らかになった。
GDPRについては、2019年1月末に個人情報保護法にGDPR補完ルールを追加することで、十分性を認定する(欧州委員会から、個人情報の『十分な保護水準』を有すると認められること)という合意が成立したことによって、当初よりも国内企業における対応のハードルが下がったとも言われた。これは、GDPRに対応したことで自社が発行するメールマガジンの登録者が大幅に減少してしまったなど、企業がデジタルマーケティングを実施する上で、少なからぬ影響が出ていることを考えると、都合の良い面があるのは事実と言える。一方で、日本と中国やアジア諸国など、EU域外との取引にもかかわらず、GDPR補完ルールの制限を受けることになるなど、デメリットも存在している。
総務省は30年度版の情報通信白書で、日本とEUの個人情報保護法制には一定の差異が存在することに鑑み、十分性認定の実現と合わせ、その差異を埋めることを検討する必要があるとしている。
具体的には、十分性認定により移転されたEU市民のデータを日本国内で取り扱うにあたって、個人情報保護委員会が公表の規定に関わるガイドラインを出している。要配慮の個人情報の範囲や、匿名加工情報を利用する際の措置などEU市民の個人データを取り扱う際に留意する必要があるという。ビジネスのグローバル化の流れの中で、GDPRへの対応は、少しずつでも進めていく必要のある取り組みであることが分かる。
ハートコアが無料診断を実施
ハートコアは、GDPR対応を検討する企業向けに、企業のウェブサイトのトップページを無料診断するサービスを実施している。GDPRに対応する際に、必要となる要素を分析し、提案する。GDPRへの対応方法における不透明感が気になっているならば、こうしたサービスを利用してみるのも効果的な選択といえる。
