GDPR 、日本の企業は どのように捉えるべきか?:ブランド&パブリッシャーが取るべき対応

法外な罰金はちょっと怖いものの、正直言って「対岸の火事」……。来たる5月25日に施行される、EUのGDPRについて、そのように捉えている日本企業は多いだろう。

日本語に訳すと「一般データ保護規則(General Data Protection Regulation)」となる、このEUの新しい法律。欧州経済領域(EEA)域内に属する人間(各国民だけでなく、旅行者、短期滞在者も含む)の個人データ(名前、住所、電話番号だけでなく、クッキーやIPアドレスも含む)を扱う際は、いままでにないほど厳密な管理を求められるだけでなく、それに違反した場合、罰則金が最高1700万ポンド(約24億円)にも及ぶことが注目を集めてきた。

また、この法律の影響が及ぶ範囲は、EU関連国内の企業だけではない。全世界において、GDPRの対象となる人物の個人データを収集する企業には、同様の対応が求められる。つまり、日本企業もその対象内にあるといえるのだ。DIGIDAYではこれまで、欧州だけでなく米国のブランドパブリッシャーが、その対応に追われる様子を報じてきた。だが、日本企業はどのように対応すべきなのだろうか?

「まず、自社のウェブサービスが日本国民向けか、国外の人にも向けたものか、そこにひとつ分岐点がある」と、データソリューションベンダーであるシーセンス(Cxense)日本法人の代表、江川亮一氏は語る。シーセンスは、EU加盟国のひとつノルウェーに本社があるため、GDPRは同社内でホットトピックになっているという。「日本国外の人に向けたもの、たとえばインバウンドを狙ったメディアとか、英語バージョンを用意しているサイトとかを運営している企業は、気をつけた方がいい」。

GDPR、3つのポイント

そんな江川氏に、GDPRにおいて、日本企業が知っておきたいことを聞いたら、以下の3つのポイントにまとめてくれた。

1. GDPRは、3つのロール(役割)における取り決めのことを指す。そのロールとは、データを提供するユーザーを指す「データ主体」、そのデータを収集・管理する「データコントローラー(管理者)」、そしてデータを処理・加工する「データプロセッサー(処理者)」の3つだ。パブリッシャーやブランドは「データコントローラー」、テクニカルベンダーは「データプロセッサー」という立場になる。

2. GDPRにおいてデータ主体となるのは、EEA域内に属する人間。たとえ、日本のサイト・サービスであっても、データコントローラーが意図的に、GDPRの対象となる人物の個人データを収集していれば、罰則の対象となる。もし日本語サイトしかなく、日本人向けのサービスしか行なっていない場合、それほど気に病む必要はない。

3. データコントローラーは、データ主体がそのサイト・サービスに訪れた際、個人情報の利用方法を開示し、同意を得なければ、データを得ることができない。また、そのデータの保管場所もGDPRが定める、EUを中心とした限られた地域にしなくてはいけない。

「5月25日の施行に向けて、ほとんどの日本の企業は、いますぐなにかアクションを起こす必要は、特にないと思う」と、江川氏はまとめる。だが、日本においても2017年には、個人情報保護法が改定され、適用対象が中小企業まで広がったほか、透明性担保のための記録作業などが新たに義務付けられた。「だから、今後、日本でもGDPRのような法案が出て来る可能性は否めない。日本のブランドやパブリッシャーもこれを機会に、データの取り扱いについて、多少の危機感を感じるべきだろう」。

問われるメディアの信頼性

実際、去年と比べると、日本国内のクライアントがGDPRに関して口にする機会は増えたと、江川氏は語る。しかし、GDPRが『一般データ保護規則』という意味だと理解しているところは、そんなに多くないようだと続けた。

「日本のブランドもパブリッシャーも、いまから自社メディアへのエンゲージメントを高めるような取り組みを実施するべき。今後、日本でもGDPR同様の規制が施行された場合、メディアに訪問したユーザーからデータ使用のコンセント(同意)を得る必要が出て来る。そのときモノを言うのが『メディアの信頼性』だからだ」。

施行を間近に控えたEUでは、ユーザー数の減少を懸念する声が絶えないという。データコントローラーは、データ主体からコンセントを得るための準備と、データプロセッサーとのアグリーメント(契約)の見直し、両方への対応をしなければならないからだ。「欧州のパブリッシャーのなかで、両方の準備が完了しているのは、おそらく全体の20〜30%ほどだろう」。

GDPRは、その罰則金が高額なことでも特徴のひとつだ。新しい規則に従わない企業は売り上げの4%、または最高1700万ポンドを支払わなければならない。現状の進捗度を聞くと、このままでは多くの企業が支払いを強いられるように思えるが、その点に関してはある程度猶予があるようだ。ほかの法律同様、施行からいきなりすべての事項が厳しく取り締まられるわけではない。法的に触れることなく、しっかり準備をしているという説明さえできれば、多少の融通は効くという。

日本での実現可能性

ヨーロッパでは混乱が続いているが、こうした障壁を乗り越えて勝ち得たユーザーは、パブリッシャーにとって貴重な資産になるだけでなく、メディアの差別化に繋がると、江川氏は指摘する。また、サードパーティーデータへの規制が厳しくなれば、ブランドセーフィティなどの問題が起きにくくなり、ブランド企業もメリットを得ることができるだろう。

欧州ではGDPRだけでなく、クッキー使用の規制に重点を置いた「eプライバシー規則」の施行も控えている。また米国でも、ケンブリッジ・アナリティカによるFacebookの個人情報不正利用を受けて、GDPRを踏襲した「CONSENT法案」と呼ばれる法案が提出されるなど、世界各地で個人データの取り扱い規制が強まってきた。

「個人的には欧州だけでなく、日本でもGDPRのような取り組みが実現されるべきだと思う」と、江川氏は続ける。「よく言われていることだが、国内のブランドとパブリッシャーのあいだには大きな距離がある。日本でもこのような取り組みがはじまれば、両者の建設的な対話のきっかけにもなるはずだ」。

GDPRについてより詳細を知りたい方は、無料PDF「GDPR入門ガイド」をダウンロードしてください。

Written by 村上莞、長田真