マイクロサービス、RPA、デジタルツイン、AMP……。数え切れないほどの新しい思想やアーキテクチャ、技術等々に関するIT用語が、生まれては消え、またときに息を吹き返しています。メディア露出が増えれば何となくわかっているような気になって、でも実はモヤッとしていて、美味しそうな圏外なようなキーワードたちの数々を「それってウチに影響あるんだっけ?」という視点で分解してみたいと思います。今回取り上げるのは、2018年5月25日よりEU(欧州連合)で施行された「GDPR:General Data Protection Regulation(一般データ保護規則)」です。
EEA域内に拠点がなくても、個人データを日本から取得する場合は対象になります。EEA域内に所在する「個人」が対象のため、直接商品やサービスを提供した消費者一般に限らず、拠点の従業員や取引先担当者、また日本からの出張者や旅行者といった個人のデータも含まれます。東京のホテル予約やネットショッピングといったB2Cオンラインビジネス、フライト予約時に登録するハラルやベジタリアン希望、営業車の走行記録や従業員の健診データ、政府機関が行う外国人対象アンケート調査やWebフォームでの資料請求など、広義で捉えると「全く無縁」といいきれないほど幅広いのです。
図5:EEA域内に所在する個人が保護の対象に:EEA域内に拠点がなくても、域内に所在する個人データを扱う場合は「移転」とみなす拡大画像表示
EEA域内に拠点があっても、データ収集・処理が拠点内で完結している場合は、日本法人は適用外なので、域内拠点のみが規制対象です。ただし、例えば日本からEEA拠点へ転勤や出張等で所在する従業員が、日本等域外のメールサーバーを使用する場合は「移転」とみなされるようです。
図6:「移転」とならない例拡大画像表示
【歴史】デジタル単一市場への道程
DSMは2010年5月に公表されたEUの中長期的な情報通信戦略「欧州デジタル・アジェンダ(Digital Agenda for Europe)」の筆頭に掲げられた方針です。これをふまえ2015年5月にデジタル分野のコンテンツ、サービス、事業が国境を越え、EU全域で流通・展開される環境を目指す「欧州デジタル単一市場戦略(A Digital Single Market Strategy for Europe)」が公表され、国境を越えるオンライン貿易に関する市場障壁や規制の撤去、EUへのデジタル資本等の直接投資の拡大、EU市民の財・サービスへのアクセス改善を通じた生活を向上などが盛り込まれました。
2016年5月には消費者と企業が手軽かつ安全にEU域内で製品やサービスをネット上で売買するためのeコマースパッケージ提言(A comprehensive approach to stimulating cross-border e-Commerce for Europe’s citizens and businesses)を公表し、域内電子商取引におけるバリア撤廃を図ります。
GDPRについては2012年1月の提案から成立へ向けた協議と調整が始まり、2014年3月に欧州議会で、2015年6月に欧州連合理事会で採択。その後同2015年12月に欧州委員会、欧州議会、欧州連合理事会の3者合意を経て、2016年4月に欧州議会において採択されました。ePrivacy Regulation(いわゆるクッキー法)は内容が確定していませんが、2018―2019年には採択の見込みです。通信の内容と時間・場所といったメタデータの両方が保護対象に加わり、ユーザーの同意がないメールや電話マーケティングが禁止される一方、同意のもとであればデータを利用した追加サービスが可能になる見込みです。
DSMが目指すデジタル経済発展へ向け、2018年7月には英仏政府が協定を発表。両国のイノベーション、AI、データ行政・デジタル行政及びデジタル産業育成において協力関係を強化します。
【事例・動向】はやくも訴訟も対応ソリューションもさまざま
GDPR施行後2018年5月にはさっそくフランスのデジタル権利団体La Quadrature du NetがGoogle(Gmail、YouTubeおよび検索)、Facebook、Apple、Amazon.com、LinkedInに個人情報提供への同意を「強制された」として12,000人の署名を集めました。またオーストリアの活動家Max Schrems氏は同様に78億ユーロの制裁金を課すようFacebookとGoogleを提訴。Googleは広告目的のメールスキャンを中止、Facebookがユーザーデータのダウンロード機能を追加といった対策に加え、データ収集・利用方法に関する説明強化やプライバシーポリシー更新などの対応を行いましたが、混乱は当面続きそうです。海外からの閲覧を制限したり、クッキー提供への同意を求めるポップアップを設けたニュースサイト等をご覧になった方も多いでしょう。
画面1:Googleマイアクティビティの例:過去の検索履歴管理が簡単になり、イラストを使った説明も強化されている拡大画像表示
KPMG、PwCといったコンサルティングファームや法律事務所にとってはビジネスチャンスで、包括的なコンサルティングからDPOや代理人選定支援、ドキュメント作成や社員教育など、様々な対策サービスが展開されています。各社が無料提供するアセスメントツールは有効活用できそうです。
KPMGはGDPR相当の権利を全消費者に保証すると表明し注目されたMicrosoftと共同で「GDPR問題発見・成熟度評価モデル(GDPR discovery and maturity assessment model)」のほか、データ保護違反発生時の監督機関への通知支援「GDPR 72時間侵害通知支援サービス」を提供します。
欧州拠点を活かしてクラウド利用に関する契約事務を軽減するのはIIJ(インターネットイニシアティブ)です。IIJとIIJヨーロッパがデータ移転に関する契約を締結するため、日本法人とEEA拠点法人間の契約が不要になります。ほかにGDPRアセスメントサービス「IIJコンプライアンスプラットフォーム for GDPR」なども提供しています(関連記事:IIJ、GDPR対応サービスを拡充、データ保護責任者の代行や無料アセスメントなど)。
個人データ管理を支援するConsent Management、Privacy Managementといったカテゴリーのソリューションも出てきました。例えば米OneTrustの個人データ運用状況アセスメントツール「OneTrust」、bうぃEnsightenのクッキーデータの管理・活用ツール「Privacy GDPR」「Privacy Enterprise - total website data governance」等は日本でも利用できます。
で、ウチに関係ある?
IBM Institute for Business Valueが2018年2―4月に実施した34カ国1500社のアンケート調査によると、47%が対応に着手、18%が5月までに着手予定で、5月25日当日までに対応済みの回答は36%にとどまりました。しかしEEA域内に拠点や顧客基盤がある場合はもちろん、現時点では関係が薄かったとしても、GDPRはあらゆるビジネスに個人データの扱い再考を促す潮流のシンボルといえそうです。国境という概念がデジタル化によって曖昧さを増し参入障壁が薄れゆくなか、規制を守りつつ市場を維持・拡大していくには、データすなわち顧客とどう向き合い信頼関係を築くかというビジネスデザインもまた変革を迫られています。
対策の基本
まずは「移転」に該当する処理の有無を確認し、対応が必要な可能性があればいまからでも検討に着手すべきでしょう。対応の要否判断や管理すべきデータの内容は、英国監督機関であるInformation Commissioner’s Officeの提供するセルフアセスメントツールやデータセット管理用のスプレッドシートが参考になります。
画面2:ICOが提供するデータセット管理シート:データコントローラー用に30項目、データプロセッサー用に7項目からなるデータセット管理シートのテンプレートが提供されている。拡大画像表示
GDPRの保護対象データ取得が必要と判断する場合は、上記対象データセットと取り扱いプロセスの整理をふまえた取扱ルールのドキュメント化とDPO設置や72時間以内の報告ルールを実現する管理体制と業務プロセスを確立します。DPOが取組み姿勢をきちんと説明できること(不十分な点があればその認識と対応計画を含めて)が重要とされています。
Webマーケティングへの影響
Web上では、対象個人の同意を得るためのユーザーインターフェイス構築・実装が必要です。例えばクッキーは収集の同意後でなければ取得できないので一旦停止させ、同意ユーザーのアクセス時のみ起動させるといった機能や、同意を得ていないユーザーに対するサービスの再設計が必要な場合もあるでしょう。同意や同意の撤回、削除といった個人の権利行使を記録し適切にサービスへ反映するには、コンセントマネジメントツールの導入や、取得しないと決めた個人データの記録機能を停止させるといったログ管理ツールの設定変更等、データのライフサイクル全てを対象に確認します。
画面3:Web上の事前同意UIの例:取得データの活用先を表示し、チェックボックスで意思を確認する。初期表示がチェック済みになっている(オプトアウト)だと「合意の強制」とみなされる危険がある。拡大画像表示
企業に必要以上のデータ処理を禁じ、個人には必要な情報だけを開示するプロセスを定義したGDPRは、いつの間にかGAFAが独占してきた個人データという既得権益の価値をリセットするルールでもあります。リセット後の世界は、データビジネスを顧客と合意のうえで展開し、お互いハッピーになるビジネスモデルを再考・再構築するチャンスと捉えることができます。GAFAに対する早々の反応を見るまでもなく、ブラックボックスを作らず、本質的な相互信頼のもとでデジタルトランスフォーメーションを進めることができれば、何よりのロックオンかもしれません。
前述の通り、越境移転への規制は何もEUに限った話ではなく、世界的なトレンドです。あらゆるデータは資産であると同時に、リスクにもなりえます。不要な個人データを持たないためにも、改正個人情報保護法対策と基本的には同じ思想に基づき、まずはデータ資産の棚卸しを行うことが最優先です。そしてデータ保護が困難な場合は、GDPR対応の要否に関わらず、一度全て廃棄し「リセットをかける」ことも選択肢のひとつではないでしょうか。
●筆者プロフィール
清水 響子(しみず きょうこ)
1968年生まれ。法政大学院イノベーション・マネジメント専攻MBA、WACA上級ウェブ解析士。CRMソフトのマーケティングや公共機関向けコンサルタント等を経て、現在は「データ流通市場の歩き方」やオープンデータ関連の活動を通じデータ流通の基盤整備、活性化を目指している
- 注目の秘密計算とは? プライバシー強化技術の実用レベルを確認する(2022/02/25)
- デジタル社会が求める「トラスト」の具体像─変わりゆくインターネットの「信頼」[後編](2021/06/14)
- デジタル社会の「トラスト」とは? 日本発「Trusted Web」構想を読み解く[前編](2021/05/18)
- 「情報銀行」を信用して大丈夫? 先行する海外活用動向と普及を阻む課題(後編)(2019/10/24)
- パーソナルデータが資産に?「情報銀行」の仕組みとビジネス環境(前編)(2019/10/10)
