欧州で2018年5月に施行される新たな個人情報保護の法制度「GDPR(一般データ保護規則)」。違反すれば最大で売上高の4%という罰金もあって、企業における対応は必須だ。加えて、GDPRに倣うかのように個人情報保護の法制化、あるいは法制の強化も相次いでいる。CIO、情報システム部門は何を理解し、どう動くべきか。2回にわたって解説する(本誌)。
インターネット上のサービスにおけるパーソナライズ化は、ますます高度化、複雑化が進んでいます。例を挙げましょう。
- 朝目覚めると、ベッドサイドの情報デバイスが今朝の体調を分析して、お勧めのサプリやエクササイズを提案してくれる。
- スマートカーで記録された運転履歴をもとに『優良ドライバー』であると認定されたため、自動車保険の更新後保険料が安くなる。
- モバイルの画面には、最新のニュースと過去の売買傾向を分析した結果として本日のお勧め取引が表示されている。指紋認証で承認すると取引が自動実行される。
これらはすでに実現されているか、すぐにでも実現可能です。とても便利な半面、取得される個人データが万一、漏洩したり悪用されたりすると大きな問題を生み出しかねません。
加速する個人データの収集・活用の流れ
サービスの提供主体である企業から見た時、「サーバー上に保存された顧客データベース」だけを守っていれば良い時代は過ぎ去り、守るべき「情報」の定義や「データ利用」の概念自体から、見直しを行わなければならない状況となってきています。
個人データと言えば、これまでは契約時に取得した名前や住所、電話番号が中心でした。しかし現在は、契約時に提供される基本的な個人データに加え、その際に付与される会員番号やオンラインIDなどをキーとして、その後の様々な行動履歴が継続的に収集・蓄積されるようになってきています(図1)。

拡大画像表示
このようなケースでは、最初の基本的な個人データの取得こそ明示的に行われるものの、その後の個人データの取得は、本人が意識していない状態で行われることも少なくありません。例えば、CookieでWebの閲覧履歴がモニタリングされていたり、商品の購入でポイントを付与される都度、購買履歴が収集されていたりするといったことがその例です。
会員登録(無料)が必要です
- 1
- 2
- 次へ >