EUで施行されるGDPRとは?日本の企業も知らなきゃ損するホームページのプライバシー保護
どのようなデータを守るべきか?
イメージ画像 / Unsplash
GDPRによれば、保護対象とされているデータは*「個人データ」と「センシティブデータ」*の2種類です。
ここでいう「個人データ」とは、個人を特定できるあらゆるデータのことを言います。名前、メールアドレス、住所のほか、ウェアラブルデバイスなどで取得した生体データ、あるいはWebサービス上で取得するユーザー名も「個人データ」に含まれていることに注意する必要があります。
また、「センシティブデータ」とは、EUが名前以上にプライバシーを含むと判断しているデータです。人種や宗教、性的指向、政治的信条、犯罪歴などは、すべて「センシティブデータ」として扱われます。「センシティブデータ」はGDPRでは「個人データ」以上に重視しており、「センシティブデータ」が流出し悪用された場合には、より重い罪に問われることになります。
意外と盲点になるのが、IPアドレスやCookieの利用です。例えば、IPアドレスが悪意ある主体に漏れてしまった場合、IPアドレスから個人を特定でき、最悪の場合センシティブデータを悪用される恐れがあります。そのため、「センシティブデータ」を取り扱っていない場合でも、「個人データ」の取り扱いには注意するようにしましょう。
WebマーケターがGDPRのコンプライアンスを遵守する3ステップ
1. PBDアプローチを採用する
イメージ画像 / Unsplash
PBDとは、「Privacy By Design」の略で、プライバシー情報を法的なコンプライアンスとしてではなく、企業としての標準的なアプローチとして策定する態度のことです。もちろん日本でも個人情報保護法がありますが、法律があるから法律を守る手段を作るのではなく、企業として当然プライバシー保護に努める、といった態度が、PBRということになります。
PBDアプローチでは、*「透明性のあるプライバシー利用」*が前提となっているため、ユーザーの同意なしには個人情報を利用しません。例えば、Webマーケティングで登録ユーザーの属性を分析するデータサイエンスを行う場合にも、ユーザーの同意を持って行うようにします。
PBDアプローチは、マーケティングを積極的に行なっている企業には窮屈に感じるかもしれません。しかし、PBDはデータの主たる所有者であるユーザー中心でプライバシーを扱う考え方であり、企業としては率先して取り入れていきたいプライバシー保護の考え方だと言えます。
2. PIAを策定する
イメージ画像 / Unsplash
プライバシーポリシーを策定している企業は多いでしょう。しかし、GDPRで求められている個人情報保護を満たすためには、さらに踏み込んでPIAを書いてみるとよいでしょう。
PIAとは、「Privacy Impact Assessment」の略で、日本語では*「プライバシー影響調査」*と訳されます。理屈上は、PIAは製品の情報が更新されたときに随時書き換えられる文書ですが、最初は既存の製品が利用している個人情報に関して振り返りながらまとめていくとよいでしょう。
PIAを書く目的は、会社のサービスで利用しているプライバシーを脅かす脅威を把握して、それに対する対処法を決定するためです。端的に言えば、ユーザーのプライバシー問題に対するチェックリストやロードマップだとも言えます。
残念ながらPIAの書き方に定型のフォーマットはありませんが、自身で情報をまとめやすいようにカスタマイズしてみるとよいでしょう。少なくとも、以下の点に関しては盛り込みましょう。
(1) 取得しているデータは何か?
(2) 個人情報利用の同意プロセスはどのようになっているか?
(3) 特定されるリスクは何か?
(4) リスクに対する解決策は何か?
(5) 現存進行しているプロジェクトに取り入れられる具体的な行動は何か?
GDPRが施行されるという点とは関係なく、PIAを書いてみるだけで大きなリスクヘッジとなるでしょう。
3. 正当なユーザーの同意を求める
イメージ画像 / Unsplash
Facebookではサードパーティー製のサービスに接続することで占いや人脈マップなどを作るサービスが流行しましたが、こうしたちょっとしたゲームから個人情報が流出します。
2018年時点の個人情報保護のスタンダードは、たとえこうしたゲームなどでユーザーの*「同意」*を得られたとしても、ユーザーが想定した個人情報利用をされていなければ、本当の意味で同意が得られたとは言えないという点です。
さまざまな悪意ある手段でユーザーの「同意」を得ようとしてはいけません。また、明確に意図が伝わらないマイクロコピーを用いるのもNGです。GDPRでは、以下の点に気をつける必要があります。
(1) 同意は明確で、確認可能で、公平に行われる必要がある
(2) 同意を得る際には「平易な言葉」を使う
(3) デジタルサービスでも16歳以下には「親権者」の同意を得る
(4) サードパーティーへのデータ提供は「都度」確認する
もし、現在自分の会社で行われている同意の取得方法が以上の4つを満たしていなければ、早急に同意の取得方法を変える必要があります。「取得するのはメールアドレスとユーザー名だけだから、親権者の同意は不要だ」と脇を甘くすると、緊急事態に陥った際に大きなリスクを背負うことになるでしょう。
- ウェアラブルデバイス
- ウェアラブルデバイスとは、手首や腕、頭など体の一部に装着して使用するコンピュータデバイスのことを指します。Googleの開発しているGoogleGlassやサムスンのGalaxyGear、AppleのAppleWatchなどがあります。メガネや腕時計のような形で身に付けることができ、スマートフォンにかわる端末として注目されています。
- マーケティング
- マーケティングとは、ビジネスの仕組みや手法を駆使し商品展開や販売戦略などを展開することによって、売上が成立する市場を作ることです。駆使する媒体や技術、仕組みや規則性などと組み合わせて「XXマーケティング」などと使います。たとえば、電話を使った「テレマーケティング」やインターネットを使った「ネットマーケティング」などがあります。また、専門的でマニアックな市場でビジネス展開をしていくことを「ニッチマーケティング」と呼びます。
- マーケティング
- マーケティングとは、ビジネスの仕組みや手法を駆使し商品展開や販売戦略などを展開することによって、売上が成立する市場を作ることです。駆使する媒体や技術、仕組みや規則性などと組み合わせて「XXマーケティング」などと使います。たとえば、電話を使った「テレマーケティング」やインターネットを使った「ネットマーケティング」などがあります。また、専門的でマニアックな市場でビジネス展開をしていくことを「ニッチマーケティング」と呼びます。
この記事を書いたライター
おすすめ記事
関連記事
関連ツール・サービス
おすすめエントリー
同じカテゴリから記事を探す
カテゴリから記事をさがす
●Webマーケティング手法
- SEO(検索エンジン最適化)
- Web広告・広告効果測定
- SNSマーケティング
- 動画マーケティング
- メールマーケティング
- コンテンツマーケティング
- BtoBマーケティング
- リサーチ・市場調査
- 広報・PR
- アフィリエイト広告・ASP
●ステップ
●ツール・素材
- CMS・サイト制作
- フォーム作成
- LP制作・LPO
- ABテスト・EFO・CRO
- Web接客・チャットボット
- 動画・映像制作
- アクセス解析
- マーケティングオートメーション(MA)
- メールマーケティング
- データ分析・BI
- CRM(顧客管理)
- SFA(商談管理)
- Web会議
- 営業支援
- EC・通販・ネットショップ
- 口コミ分析・ソーシャルリスニング
- フォント
- 素材サイト
●目的・施策
- Google広告
- Facebook広告
- Twitter広告
- Instagram広告
- LINE運用
- LINE広告
- YouTube運用
- YouTube広告
- TikTok広告
- テレビCM
- サイト制作・サイトリニューアル
- LP制作・LPO
- UI
- UX
- オウンドメディア運営
- 記事制作・ライティング
- コピーライティング
- ホワイトペーパー制作
- デザイン
- セミナー・展示会
- 動画・映像制作
- データ分析・BI
- EC・通販・ネットショップ
- 口コミ分析・ソーシャルリスニング
●課題
●その他
