最近、「このホームページではCookieを取得・利用します」という注意書きを、ホームページで見たことはありませんか?

実は、こうした注意書きは、EUで施行されるGDPRと呼ばれる法律を意識したものです。「わざわざご丁寧にお知らせしてくれた」と他人事のように思うかもしれませんが、実は日本の企業も知っておいたほうがいい情報なのです。

そこで今回は、EUで施行されるGDPRと日本の企業も知らなきゃ損するホームページのプライバシー保護についてまとめていきます。昨今、情報セキュリティに関してはかなりセンシティブになっているので、改めて個人データの取り扱いについて確認してみましょう。

「GDPR」とは?

fb.jpg
イメージ画像 / BURST

GDPRとは、「General Data Protection Regulation」の略で、「一般データ保護規則」と呼ばれるEUで制定された個人情報保護に関する法律です。日本でも快晴個人情報保護法が施行されたように、ヨーロッパでもGDPRがいよいよ2018年5月25日に施行されます。

この法律が施行される背景には、インターネット上での個人情報の不正利用が問題になっている点が挙げられます。

2018年3月には、イギリスのEU離脱やアメリカのトランプ政権誕生を影で支えたと言われるコンサルティング会社ケンブリッジ・アナリティカがFacebookユーザーおよそ8700万人分の個人情報を不正利用していたことが明らかになりました。

日々、オンライン上でさまざまな個人情報が送受信されていますが、GDPRはこうした個人情報を保護するために制定されました。端的に言えば、個人データの「処理」と「移転」に関するものとなります。

参考:
フェイスブックのデータ不正共有疑惑「8700万人に影響」 - BBCニュース

GDPRは日本企業にも関係あるの?

japan.jpg
イメージ画像 / Unsplash

日本でもGDPRが注目されている背景には、GDPRが単なるEU加盟国だけの法律だという訳ではなく、日本企業にも大きく関係してくるからです。

GDPRでは、法律の対象を、情報に紐づく個人である「データ主体」、個人データ処理の目的や手段を決定する「管理者」、管理者を代行して個人データの処理を行う「処理者」に分けています。グローバルなビジネスを展開している場合や、顧客にEU在住の個人が含まれている場合は、日本でもEUの個人情報を扱う可能性があるので、対応が迫られています。

情報センサーによれば、とりわけGDPRの影響を受ける対象企業は、以下の場合となります。

(1) EUに子会社や支店、営業所などを有している企業
(2) 日本からEUに商品やサービスを提供している企業
(3) EUから個人データの処理について委託を受けている企業

GDPRに従わない場合、高額な罰金が課せられることがあります。例えば、「適法に個人データを処理しなかった場合」や「個人データ移転の条件に従わなかった場合」などは、企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い方が適用されます。2000万ユーロは、1ユーロ=120円とした場合、日本円に換算すると26億円にものぼります。

また、日本国内でも個人情報保護法が改正され、2017年5月30日から全面施行されています。日本企業が積極的にビジネスをグローバル展開するためには、個人データを適切に管理し、日本の法律とGDPRの両面で自主的に対応することが必要となります。

参考:
GDPRって何? 日本の企業への影響は?|大塚商会
EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項|情報センサー(PDF)

どのようなデータを守るべきか?

privacy.jpg
イメージ画像 / Unsplash

GDPRによれば、保護対象とされているデータは「個人データ」「センシティブデータ」の2種類です。

ここでいう「個人データ」とは、個人を特定できるあらゆるデータのことを言います。名前、メールアドレス、住所のほか、ウェアラブルデバイスなどで取得した生体データ、あるいはWebサービス上で取得するユーザーも「個人データ」に含まれていることに注意する必要があります。

また、「センシティブデータ」とは、EUが名前以上にプライバシーを含むと判断しているデータです。人種や宗教、性的指向、政治的信条、犯罪歴などは、すべて「センシティブデータ」として扱われます。「センシティブデータ」はGDPRでは「個人データ」以上に重視しており、「センシティブデータ」が流出し悪用された場合には、より重い罪に問われることになります。

意外と盲点になるのが、IPアドレスCookieの利用です。例えば、IPアドレスが悪意ある主体に漏れてしまった場合、IPアドレスから個人を特定でき、最悪の場合センシティブデータを悪用される恐れがあります。そのため、「センシティブデータ」を取り扱っていない場合でも、「個人データ」の取り扱いには注意するようにしましょう。

WebマーケターがGDPRのコンプライアンスを遵守する3ステップ

1. PBDアプローチを採用する

approach.jpg
イメージ画像 / Unsplash

PBDとは、「Privacy By Design」の略で、プライバシー情報を法的なコンプライアンスとしてではなく、企業としての標準的なアプローチとして策定する態度のことです。もちろん日本でも個人情報保護法がありますが、法律があるから法律を守る手段を作るのではなく、企業として当然プライバシー保護に努める、といった態度が、PBRということになります。

PBDアプローチでは、「透明性のあるプライバシー利用」が前提となっているため、ユーザーの同意なしには個人情報を利用しません。例えば、Webマーケティングで登録ユーザーの属性を分析するデータサイエンスを行う場合にも、ユーザーの同意を持って行うようにします。

PBDアプローチは、マーケティングを積極的に行なっている企業には窮屈に感じるかもしれません。しかし、PBDはデータの主たる所有者であるユーザー中心でプライバシーを扱う考え方であり、企業としては率先して取り入れていきたいプライバシー保護の考え方だと言えます。

2. PIAを策定する

doc.jpg
イメージ画像 / Unsplash

プライバシーポリシーを策定している企業は多いでしょう。しかし、GDPRで求められている個人情報保護を満たすためには、さらに踏み込んでPIAを書いてみるとよいでしょう。

PIAとは、「Privacy Impact Assessment」の略で、日本語では「プライバシー影響調査」と訳されます。理屈上は、PIAは製品の情報が更新されたときに随時書き換えられる文書ですが、最初は既存の製品が利用している個人情報に関して振り返りながらまとめていくとよいでしょう。

PIAを書く目的は、会社のサービスで利用しているプライバシーを脅かす脅威を把握して、それに対する対処法を決定するためです。端的に言えば、ユーザーのプライバシー問題に対するチェックリストやロードマップだとも言えます。

残念ながらPIAの書き方に定型のフォーマットはありませんが、自身で情報をまとめやすいようにカスタマイズしてみるとよいでしょう。少なくとも、以下の点に関しては盛り込みましょう。

(1) 取得しているデータは何か?
(2) 個人情報利用の同意プロセスはどのようになっているか?
(3) 特定されるリスクは何か?
(4) リスクに対する解決策は何か?
(5) 現存進行しているプロジェクトに取り入れられる具体的な行動は何か?

GDPRが施行されるという点とは関係なく、PIAを書いてみるだけで大きなリスクヘッジとなるでしょう。

3. 正当なユーザーの同意を求める

meeting.jpg
イメージ画像 / Unsplash

Facebookではサードパーティー製のサービスに接続することで占いや人脈マップなどを作るサービスが流行しましたが、こうしたちょっとしたゲームから個人情報が流出します。

2018年時点の個人情報保護のスタンダードは、たとえこうしたゲームなどでユーザー「同意」を得られたとしても、ユーザーが想定した個人情報利用をされていなければ、本当の意味で同意が得られたとは言えないという点です。

さまざまな悪意ある手段でユーザーの「同意」を得ようとしてはいけません。また、明確に意図が伝わらないマイクロコピーを用いるのもNGです。GDPRでは、以下の点に気をつける必要があります。

(1) 同意は明確で、確認可能で、公平に行われる必要がある
(2) 同意を得る際には「平易な言葉」を使う
(3) デジタルサービスでも16歳以下には「親権者」の同意を得る
(4) サードパーティーへのデータ提供は「都度」確認する

もし、現在自分の会社で行われている同意の取得方法が以上の4つを満たしていなければ、早急に同意の取得方法を変える必要があります。「取得するのはメールアドレスとユーザー名だけだから、親権者の同意は不要だ」と脇を甘くすると、緊急事態に陥った際に大きなリスクを背負うことになるでしょう。

まとめ

EUでスタートするGDPRですが、日本企業も自社の情報セキュリティに関して見直す大きなきっかけにすることができるでしょう。インターネットを使ったビジネスでは、世界中のあらゆる場所から個人情報を取得することが可能になるため、細心の注意を払う必要があります。

しかし、ユーザーの個人情報を「守らなければならない」という受動的でやらされの態度では、情報セキュリティは妥協的で脆弱になりがちです。なぜなら、法律を最低限満たせば基準はクリア、という感覚に陥ってしまうからです。

重要なのは、企業が一法人として率先してセキュリティを強化するPBRアプローチを採用することです。法律のあるなしに関係なく、しっかりとした個人情報保護の体制を構築していきましょう。