ページトップへ
2018.06.28

オンラインマーケティングが迎える危機!?
GDPRとeプライバシー規則が与える影響とは?

「GDPR」「eプライバシー規則」

 マーケターに皆さんなら一度は耳にしたことがあると思います。この2つによって、世界的にマーケティングの在り方が大きく変化する可能性があります。そこで、本記事ではそもそも「GDPR」「eプライバシー規則」とは何なの?といったところから、2つがマーケティングに与える影響、そして日本企業が対応しなければいけないケースまでを解説していきます。

1.「GDPR」って何?

 世界的に話題となっているGDPRとはそもそも何なのでしょうか?
 これは「EU一般データ保護規則(General Data Protection Regulation)」の略で、わかりやすくいうとEU圏内における個人情報保護法です。元々「EU一般データ保護指令」という法が施行されていましたが、世界的にデータ化が進み、データ漏洩問題が深刻となる中で、より強化された内容となっているGDPRが採択され、2018年5月25日から施行されました。

 GDPRには個人情報の処理・移転をはじめとして監督機関の設置など、個人情報を保護するための法的要件が細かく定められています。これにより多くの個人情報を取り扱う事業者に様々な義務が発生することになります。
 また、EU一般データ保護指令では具体的な保護規則は各国に委ねられていたため、各国間で差異がありましたが、GDPRは全EU加盟国の共通の法規則として適用されます。GDPRは欧州圏内の個人情報保護の規則を統合し、強化することを目的として制定されました。

◇GDPRを理解するうえで押さえておくべきポイント
 それではGDPRにおいて重要なポイントとなる事項を整理していきましょう。
・対象となるデータ
 規則の対象となるのは個人データです。
 氏名、クレジットカード情報、メールアドレス、cookies情報、IPアドレスなど個人を特定できるものは幅広く対象となります。

・適用範囲
 EEA(欧州経済領域:European Economic Area=EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー)内に拠点を置く企業はもちろん対象となります。さらに、拠点はEEA内にはなかったとしてもEEA内居住者に対して商品・サービスを提供していたり、モニタリングしていたりする場合は規則の適用範囲となります。

・具体的な内容
 企業は個人情報を処理・保管するにあたって、定められた規則に則って適切で安全な方法を取らなければなりません。また、万が一漏洩が発覚した場合には72時間以内に監督機関に通知しなければなりません。さらに、個人データを扱う際は目的を達成するために必要な期間を超えてデータを保持してはならない、大量の個人データを扱う企業ではデータ保護最高責任者の設置を義務付ける等細かく定められています。
 また、基本的にEEA内の個人情報をEEA外に移転することは禁止されており、移転するためには例外的に適法となる十分性認定を欧州委員会から受ける必要があります。日本は現在、この十分性認定をうけるためEUと交渉を行っていますが現状では認められていないため、企業は本人の同意・拘束的企業準則の策定・標準契約条項の締結のいずれかの条件を満たさなくては、個人データを移転することはできません。

・制裁
 定められた規則を守らなかった企業には高額の制裁金が課されます。具体的には当該企業の全世界売り上げの4%もしくは2千万ユーロのうちの高い方となっています。2千万ユーロとは日本円でおよそ25億円であるので、相当な高額の制裁金といえるでしょう。

2.「eプライバシー規則」って何?

 GDPRが施行されて一息つく暇もなく施行を検討されているのがeプライバシー規則です。GDPRの追加規則として提案されたこのeプライバシー規則ですが、先ほどのGDPRよりも厳しいと言われています。さっそくどういった内容のものなのか見ていきましょう。
 GDPRとの違いは、GDPRは利用者データ全般に対する規則を定めているのに対して、eプライバシー規則は特にcookiesに焦点を当てているということです。そのためeプライバシー規則は通称クッキー法とも呼ばれます。eプライバシー規則の重要なポイントとして以下のような点があります。

・あらゆるオンライントラッキング(cookiesなど)は、そのトラッキングを望むかどうかについてユーザーから同意を得なければならない。また、その個人データ利用についていつでも制限できるようにしなくてはいけない。
・今までのように利用者の許可を得ずにcookiesを渡すことはできない。また、トラッキングを拒否したからといってサイトへのアクセスをブロックする(トラッキングウォール)ことは禁止する。

◇eプライバシー規則によるマーケティングへの影響
 行動データターゲティングやリターゲティングなど、現代のオンラインマーケティングの根幹を支えているcookiesの使用を大きく制限するeプライバシー規則がマーケティング領域に与える影響は非常に大きいと言わざるを得ません。これらのcookiesに頼ったマーケティング手法はまず間違いなく大打撃を受けるといってよいでしょう。トラッキングウォールを禁止しているため、広告主側からcookiesの利用を直接促すということも難しい状況です。
 また、cookiesにはファーストパーティcookieとサードパーティcookieの2種類があり、どちらなのかによって受ける影響が変わってきます。ファーストパーティcookieとは実際に訪れたサイトのドメインから発行されるcookieで、サードパーティcookieとはそれ以外のドメインから発行されるcookieのことです。サードパーティcookieの代表的な例としてバナー広告を配信しているサーバーから付与されるものがあります。この性質を踏まえると、サードパーティcookiesを発行するドメインはユーザーがそのドメインのサイトに訪問したわけではないので、cookie発行の同意を得られる可能性が低くなります。一方でファーストパーティcookieはユーザーが実際に訪れようと思って訪れているサイトから付与されるcookieなので、同意を得られる可能性が高くなります。このため、サードパーティcookieに依存したサービスよりも、ログイン機能などでファーストパーティcookieを付与し、ユーザーと直接関係を構築しているサービスの方が今後有利になっていくと考えられます。

 このeプライバシー規則が2017年1月に提案されて以来、ヨーロッパ社会では大議論が巻き起こっています。eプライバシー規則はユーザーのプライバシーを厳重に守ることができるようになる一方で、ネットビジネスを大きく制限することになります。今やcookieはビジネスのあらゆるところで用いられています。行動データやリターゲティングを用いた広告配信はもちろん、企業がメール配信などをする際の顧客のセグメンテーション、ターゲティングなど、今では当たり前になりつつあることが大幅にできなくなる可能性があるのです。この点について、デジタル業界全体の収益の激減やアプリケーションの利便性の低下など懸念事項が各所から挙げられ、施行することに対する批判の声も多くあります。

3.日本企業が対応しなければならないケースとは?

 ヨーロッパでこのような大論争を巻き起こしているGDPRとeプライバシー規則ですが、日本企業が対応しなくてはならないケースとはどういった場合なのでしょうか。ここではその点について説明していきます。
まず日本においてこの2つの規則が関わってくる以下のような企業・団体・組織です。
 ・EEA圏内に法人や支店、営業所などを持っている場合
 ・日本からEEA内に企業・個人問わず商品やサービスを提供している場合
 ・EEAから個人データの処理の委託を受けている場合

 ここで注意すべき点は、拠点がEUに1つもない企業であったとしても、EU内の相手と取引をしている場合にはこれらの規則が適用されるということです。そのため、自分たちは日本でビジネスをしているのだから関係のない話だ、ということにはならないので注意が必要です。
 日本でも個人情報保護法が全面改正されましたが、欧州ほど厳重にはなっておらず、実際に欧州委員会からは十分性の認定を受けることができていません。そのため、これから企業がEUとの取引を円滑に進めていくためには各企業ごとにGDPRで定められた規則に従って対応していくことが必要となってきます。
 各企業が個人データの管理体制について見直し、基準に達していなければ強化していかなければ、これから先EUと取引することはできなくなります。また、もしeプライバシー規則についても施行が決定した場合には、事業形態自体を変えていかなければ成り立たなくなってしまう可能性すらあります。近年ではMAツールやBIツール、DMPなどデータを活用して効果的なマーケティングを実施するためのテクノロジーが普及しつつあります。今回のGDPR、eプライバシー規則のように世界的にもプライバシーの重要性が高まっている今、これらのツールを導入する際にも性能・機能といったところだけではなく、プライバシーの安全性といった面についても考慮する必要が出てきています。

無料のeBook
詳しくはこちら