「GDPRという言葉を聞いたが、内容がよくわからない」
「GDPRが自社に関係あるのか？を知りたい」

マーケティング担当者のなかで、このような疑問をお持ちの方は少なくないようです。GDPRをよく理解しないまま放置していると、違反が判明した場合、巨額な罰則金を科せられるかもしれません。

本記事では、GDPRの概要と、マーケターとして押さえておきたいポイントと対策を解説します。

GDPRとは

GDPRとは、General Data Protection Regulationを略した言葉です。日本語では、「EU一般データ保護規則」を意味します。これは、EU圏内に住むすべての個人のデータ保護を強化する規則で、2018年5月25日に施行されました。

EUにおいては、個人情報保護に関する規則としては、1995年に「Directive 95/46/EC」が施行されています。しかし、それはFacebookやGoogleすら誕生する前のことで、それから20年以上が経過したIT社会の現状には、まったく適合しなくなりました。そこで、現状に即した個人データの保護を実現するために、Directive 95/46/ECを廃止し、新たにGDPRを定めたのです。

EUにおいては、個人データの保護については「基本的人権」の一部とされていることから、GDPRに違反すると厳しく罰せられ、巨額の罰則金が科されます。そのため、特に、グローバルマーケティングにかかわる企業は、GDPRを正しく理解しておく必要があるのです。

GDPRの対象となる個人データ

GDPRで特筆すべきなのは、IPアドレスやCookieといったデジタルデータが個人情報として扱われるようになったことです。

これまで多くの企業が、IPアドレスやCookieなどの情報を収集し、マーケティングなどに活用してきました。しかし、これらの識別端子を用いればインターネット上で個人を特定できるため、個人情報として扱われるのは今の時代、当然のことといえます。

GDPRが施行された今、IPアドレスやCookieなどの情報を取得する際には、ユーザが理解できるようなかたちで許可を取り、適切に扱う必要があるのです。

GDPRに違反した場合

もし、IPアドレスやCookieなどの個人データを許可なく取得し、不適切に扱った場合は、処罰の対象になります。また、データを漏えいしてしまったにもかかわらず、適切な対応を取らなかった場合も同様です。

罰則金の最大額は2,000万ユーロ以下、もしくは、事業の場合、直前の会計年度の世界全体における売上総額の4%以下、のいずれか高いほうとされています。2,000万ユーロともなると約26億円に達します。GDPR違反の最大のリスクは、この罰則金の高さといわれています。

実際2019年には、フランスにおいてGoogleがGDPR違反による制裁金62億円（当時の日本円換算）を科され、大きな話題となりました。

日本企業は、GDPRの対象になるのか？

GDPRがEUにおける規則であることから、「日本の企業は、対象にならないのでは？」「自社には関係ない」と考えてしまいがちです。しかし、たとえ日本企業であっても、EU圏内の人々を対象としたグローバルマーケティングを展開するケースでは、GDPRの対象となるため注意が必要です。

また、グローバル進出はしているものの欧州はターゲットとせず、例えば、アメリカや東南アジアを対象に、サイトの英語化など進めている企業も多いのではないでしょうか。

そういったケースでも、英語サイトを運営している時点で、EU圏に住む人がアクセスすれば、意図せずに個人データを取得してしまう可能性があります。そうなるとGDPRの対象となってしまうため、自社には無関係ととらえていると、大きな問題に発展してしまうかもしれません。

日本語サイトは、対象外

多言語翻訳されていない日本語だけのサイトなら、日本人のみが対象であることが明らかであるため、GDPRの適用外となります。

そのため万が一、EU圏のユーザからアクセスがあり、Cookie情報などを取得したとしても、日本をターゲットにしたサイトと認識され、現段階では処罰の対象にはなりません。

また、日本でも2020年6月に改正個人情報保護法が成立しましたが、IPアドレスやCookieに関しては、それ単体では特定の個人が識別できないことから、個人情報とは定義されませんでした。そのため、日本においてはIPアドレスやCookieを収集して自社で活用することは、現時点では原則として問題とはされません。

ですが、世界的にデジタルデータが個人情報として取り扱われるようになる流れにあることは事実です。マーケターとしては日本を含め、今後の世界的な動向を注視しておく必要があるでしょう。

日本のマーケターが気を付けるべき、GDPR対策のポイント

ここからは、日本のマーケターが具体的に気を付けるべき、GDPR対策のポイントを4つ解説します。

1.GDPRについて正しく理解する

GDPRの対策を考えるのであれば、GDPRの中身について原文をチェックしたり、専門家の指示を仰いだりするなどして、正しく理解する必要があります。個人情報保護委員会のページにも日本語訳文書が掲載されているので、目を通しておきましょう。

2.Cookieを取得するにあたって同意を得るようにする

最近では日本語サイトであっても、画面下に「Cookieの提供に同意しますか？」というナビゲーションバナーを目にすることが増えてきました。現状、日本の法律においては、Cookieの利用については本人の同意は必要とされていませんが、対策しておくに越したことはありません。

MAツールのなかには、PardotやHubSpotのようにナビゲーション表示機能が備わったものもあります。また、Marketoのように、ナビゲーションを表示するのではなく、ブラウザの追跡拒否設定を判別してトラッキングをオフにする機能を備えたものもあるので、ツールの導入を検討するのもおすすめです。

3.プライバシーポリシーをGDPRに対応したものにする

プライバシーポリシーとは、個人情報の取得や利用の目的、また、管理方法や責任者を明確にして文章化したものです。ホームページにおいては、プライバシーポリシーの作成と公開が個人情報保護法において義務付けられているため、すでに公開されているはずです。

開設しているのが日本語サイトのみであれば現状のままで問題ありませんが、欧州へのサービスを行っている、あるいは多言語対応をしている場合には、プライバシーポリシーの内容を確認し、GDPRに対応していないようなら、専門家に相談した上で早急に内容を更新しましょう。

4.万が一、情報が漏れてしまった場合の対応を明確にする

GDPRでは万が一、情報漏えいが発生した場合、72時間以内に監督機関に報告する義務があると定めています。これを怠った場合には処罰対象となるため、グローバル展開をしているケースでは、有事の際に「だれが」「どのような対応を取るのか」を明確にしておくようにしましょう。

なお、GDPRでは一定要件を満たす企業は、データ保護責任者の設置を義務付けています。自社が該当するか？については、専門家に相談し、対応するようにしましょう。また、設置義務の対象外であったとしても、迅速な対応が求められる以上、万が一に備えて責任者を明確にしておくのが理想です。

まとめ

GDPRは、EU圏内に住む人すべての個人のデータを保護する規則ですが、グローバル展開している、または今後、目指している日本企業にとっては、決して無関係ではありません。

また現時点では、日本においてはIPアドレスやCookieなどの情報は個人情報として扱われていませんが、世界的には保護する方向に流れています。GDPRについては、個人情報について取り扱う機会の多いマーケターは押さえておきたいポイントです。日本を含め、今後の世界的な動きを注視しておく必要があるでしょう。