マーケターなら知らないでは済まされない！「GDPR」のマーケティングへの影響

最近、話題になっている「GDPR」。
皆さんの中には、今まさに対応中の方も多いのではないでしょうか。

言うまでもなくマーケティングにおいて、個人データの取り扱いは最重要です。EUで取り扱う個人データは日本と違う点が多くありますが、この「GDPR」はEUと関わる企業だけでなく、いわばすべての企業に無視できない問題です。

そこで今回は、マーケターにとっては知らないでは済まされない「GDPR」についてお届けいたします。

「GDPR」とは何か？なぜ重要なのか、その背景とは？

「GDPR」とは、正式名称が「EU一般データ保護規則(General Date Protection Regulation)」のことで、「EU一般データ保護指令」に代わる規則として2016年にEU会議において採択・承認されました。

「GDPR」は、EU加盟国に加えEEA(欧州経済領域)の３カ国に在住するすべての個人データの「処理」と「移転」に関する個人情報保護の法律です。これは「規則」であり全ての加盟国に直接効力が発生します。

近年では、グローバル化やビックデータ、クラウドサービスの台頭・拡大により個人情報の重要性がますます高まっています。
それに伴い、サイバー攻撃や内部不正等による、個人情報に関わる危険性も高まっているのも事実です。知らない間に個人情報が処理・移転されている事件が多くなっているのもご存知の通りです。

そんな背景から、EUで「GDPR」が採択されたのです。

「GDPR」で注意すべき5項目

では実際に「GDPR」では、どんなことに注意する必要があるのでしょうか。

1. 適用範囲は？
   「GDPR」はEUの保護内容ではありますが、EUに拠点を置いてる・置いていないに限らず、WebサイトをEU内のユーザーが閲覧する可能性がある場合は、規制を考慮する必要があります。
   
   
2. 適用データは？
   EUにおける個人データの扱いは広範囲なものになります。従業員・顧客の氏名が含まれるもの、メールアドレス、個人の画像など様々ありますが、特に注意すべきは、日本と欧州では取り扱いが異なる情報です。IPアドレスやCookieなどオンラインの識別子は日本では取り扱い保護の対象ではありませんが、欧州では保護する必要があるのです。
   
   
3. 個人データの処理は？
   個人データを処理する場合は、以下のような規制事項を守る必要があります。
   ・個人データを収集、利用する場合、有効な同意の取得が必要となります。
   ・外部に委託する場合、個人データの管理者だけでなく、委託先でも代理人を任命する必
   　要があります。
   ・大量に個人データを扱う場合、データ保護に関する知識・専門性を有する、データ保護
   　オフィサー(DPO)を設置する必要があります。
   ・個人データの処理をする目的の達成する期間を超えて、データを保持し続けることはで
   　きません。
   
   
4. 個人データの移転は？
   EEA(欧州経済領域)の域内から第３国への個人データ移転は、十分な認定を受けていない場合は禁止されています。
   日本のように、欧州委員会によって、適切な個人情報保護制度がない場合、拘束的企業準則(Binding Corporate Rules)と標準契約条項(Standerd Contract Clauses)の策定が必須となります。
   
   
5. 罰則は？
   「GDPR」に違反した場合、次のような罰則があります。
   ・前年度の全売上高の4%、または2000万ユーロのうちより金額が高い方の制裁金が
   　課せられます。
   ・情報の漏洩が発覚した場合には、72時間以内に規制当局へ通知する義務が発生します。
   なかなか厳しいですね。

マーケティングにおける影響とは？

それではマーケティングにおいては、どのような影響があると考えられるでしょうか。

特にマーケティングにおいて「GDPR」が及ぼす影響の一つとして「Cookie」の扱いがあると考えられます。

webサイトにアクセスした人に、同意を得ないでCookieの取得をした場合それが「EU圏内」の人である可能性は十分にあります。
欧州のサイトでは、オプトイン（サイト訪問者に対してCookie取得の同意を得ること）するときに、ポップアップウィンドウなどで許可を取るのが当たり前になっていますが、日本ではCookieに対して情報の保護がないため、同意を得る仕組みができていないことが多いのです。

今回の「GDPR」によって、Cookieの使用の同意を求める、または解除できるような仕組みの導入の検討が日本の企業でも進むと考えられます。
マーケティング担当者も「GDPR」を理解し、その仕組みを導入していく必要があるでしょう。

MAやアクセス解析においてGDPR対応は絶対に必要

Cookieを利用している代表的なシーンとしては、マーケティングオートメーション（MA）やアクセス解析が挙げられるでしょう。
MAでは、個人データを元に顧客の行動を追跡することで、顧客ニーズに合わせたコミュニケーションを自動的に行うことが可能です。
したがってそこでは、オプトアウト、つまりユーザー側でメーリングリストからの除外やメールマガジンの配信停止ができるような設計が必要になるのです。
また、Google Analyticsの解析でもClient IDやトラッキング情報を保持することから「GDPR」の影響は受けます。そのため、保持期間の設定が出来るようになっています。

BtoB企業でのインバウンドマーケティングの導入が進んできている中で、CRMやCookieによるマーケティング活用など、企業間での取引に個人データを使用することが今以上に増えていくことを考えると、「GDPR」の対応は必要不可欠と言えるでしょう。

「GDPR」への対応はどうすればよいか？

それでは、どのように対応していくべきなのでしょうか？以下3点についてはマーケティングご担当者であれば最低限意識する必要があるでしょう。

・どこに、どのように、どれくらいのデータが管理されているかを確認しましょう

 上記で述べたように、Google Analyticsを使用しているだけで「GDPR」の対象になる可能性があります。担当者が知らない間に「個人データ」を保持していたということも十分あり得るのです。
したがって、まずは「個人データを受け取る入り口」から確認するようにしましょう。
自社サイトにユーザーの名前やメールアドレスを受付けるフォームはありませんか？また、Cookieや固有のIDを取得するツール（MAやGoogle Analytics、Adobe Analyticsなど)を導入していませんか？そして、そのデータがどこでどのように管理されているか、一度確認してみましょう。

・サイト訪問者に対してプライバシー通知を徹底しましょう

サイト訪問者には、自分の個人データの取得を拒否する権利があり、消去する権利もあります。つまり、オプトインする時にCookieや固有のIDを取得することを伝え同意を得る必要があります。また、訪問者が自らオプトアウトできる状態も作る必要もあります。

・プライバシーポリシーの見直しをしましょう

自社サイトのプライバシーポリシーに個別のCookieをマーケティングやアクセス解析として使うことを明示してありますか？また場合によってはCookieの保持期間を定めることも必要になることもあります。まずは現在のプライバシーポリシーがGDPRに抵触しないか法務部門や専門家へ相談することをおすすめします。

「GDPR」への対応をチャンスに変えましょう

個人データを守るルールの厳格化という流れは、いわばインバウンドマーケティングが企業にも浸透してきていると考えることが出来ます。

マーケティングにおいて、顧客との信頼関係の構築は最も重要です。
「GDPR」への適切な対応でサイト訪問者の権利を尊重し、企業のブランドアップや信頼構築につなげましょう。