GDPR(一般データ保護規則)がデジタルマーケティングに与えた影響は、広範囲にわたり、特にWebを通じた情報収集やデータ活用には多くの制約が加わりました。
一方で現代のビジネス環境で競争優位性を保つためには、正確な情報収集、多様なデータから得られるインサイトや予測分析の実現は、不可欠とも言える重要な要素でしょう。
GDPRの影響により、データの収集に制約が加わる中で、従来どおりの手法では期待通りの効果を得ることが難しくなっているケースもあります。しかし、適切な手法や環境を用いることで、有用なデータを安全に収集・活用することは十分に可能です。
この記事では、GDPRに準拠しながら、企業が情報収集を続けるための対策について見ていきます。
IPアドレスも対象?GDPR対策の前に知っておきたいポイント
GDPRの対策を立てる前に、自社が展開するサービスがGDPRの対象となるのかを確認する必要があります。ここでは、どのようなサービスがGDPRの対象となるのか見てみましょう。
GDPRの対策が必要となる事例や条件
EU域内のデータをEU域外へ転送する企業は、GDPRの対策が必要です。
具体的には以下の企業が該当します。
・EU域内に支店などの営業所を持っている企業
・EU域内で収集した個人データを処理する企業
・EU域内に向けて商品やサービスを提供する企業
GDPRによる規制内容
GDPRでは、原則として、EU域内からEU域外へのデータ転送を禁止しています。EU域内で収集したユーザ情報をEU域外で分析し、何かに活用しようとする場合、まずは分析対象となるデータをEU域外に転送しなければなりません。
このデータ転送の行為そのものを禁ずることでデータ活用の行為に対しても、規制をかけていると言えます。
クッキー以外も対策が必要?GDPRの対象となるデータとは
GDPRでは、個人データを「識別された自然人または識別可能な自然人(データ対象者)に関する情報を意味する。」とし、識別子、もしくは、身体的、生理的、遺伝的、精神的、経済的、文化的または社会的な要素を参照することによって、識別され得るもの、と定義しています。(GDPR第14条、第1号)
具体的には、下記のようなデータは定義に該当し、GDPRに基づいて処理する必要があります。
・メールアドレス
・IPアドレス
・位置情報
・身体や精神、文化的な特徴 など
明確に個人を特定できないデータであっても、GDPRでは保護の対象としています。自社が展開する事業や提供するサービスが、GDPRの対象となるのであれば、適切な対策を講じる必要があります。
GDPR上で適法となるための対策とは?
GDPRでは、第12条から第23条で、個人(データ主体)のプライバシーの権利が明確に規定されています。そのため、個人情報や個人データを取扱う事業者は、個人(データ主体)からの各権利に基づく要求に適切に応えることが義務付けられています。
では具体的に、どのような対応が必要とされているのでしょうか。
ユーザの同意を得る
個人データの取扱いについて、ユーザへ明示し、同意を得る必要があります。ユーザが理解しやすく、容易にアクセスできる方法で表示することが定められており、ユーザが同意したことをいつでも証明できるようにしておく必要があります。
ユーザの権利を尊重する
GDPRでは、個人(データ主体)に以下の権利を保障しています。事業者は、ユーザ自身からの要求に対して、速やかに対応する必要があります。
・アクセス権
データ管理者に自身の個人情報の処理について確認し、個人情報へのアクセスを要求する権利
・訂正権
自身の個人データに関する訂正をデータ管理者に要求する権利
・削除権(忘れられる権利)
データ管理者に自身の個人データの削除を要求する権利
・制限権
データ管理者に自身の個人データの処理に制限や中止を要求する権利
・データポータビリティの権利
自身の個人データを構造化され、一般的に使用され、機械で読み取り可能な形式で受け取る権利
・異議権
データ主体が自身に関する個人データの取扱いに対し、異議を述べる権利
一方で個人データを収集する事業者側には、ユーザの同意の取得や同意を取得したことの証明など、ユーザの権利を守ることを目的としたさまざまな義務や責任が課されています。
・個人データを取扱うシステム・人的体制を整備し、GDPRを遵守する責任
・個人データの取扱いに関する記録をとる責任
個人データの取得内容と処理方法と利用目的、他の外部サービスへの連携の有無を含みます。尚、連携にはデータ主体の同意が必要です。
・個人データの侵害時に対応する責任
個人データが漏洩した場合、データ管理者が最初に侵害を認識してから、所轄監督機関に対して72時間以内に通知する義務があります。
事業者がこれらの義務、責任を果たすためには、システム環境の改修やサービスの追加など、あらたな仕組みを構築するための投資が必要となる可能性があります。
GDPRに準拠し、安全にアクセス解析を行なうアプローチ
前述の対策を講じることにより、GDPRに適応したデータ管理を実現することは可能ですが、自社で全ての対策を実施するには、システム周りの技術や法的な専門知識が必要となります。それらの対応を自社で行うことが困難な場合は、GDPRに準拠した外部サービスを活用することがひとつの選択肢になります。
GDPR対策において外部サービスを活用するメリット
・要求される専門知識が少ない
既に必要な機能や要件が実装されている環境の使い方を覚えればアクセス解析を開始できるため、要求される専門知識を少なくすることができます。
・GDPRに対応するための工数削減
GDPRに対応しているサービスであれば、GDPR対応のためのシステム構築や実装作業が不要、もしくは範囲を限定できます。
・定期的なアップデートを期待できる
GDPRのみならず、個人情報保護法や電気通信事業法は、今後も改正されます。自社開発を行うと、その都度改修や新たなレギュレーションへの対応が必要となりますが、外部サービスであれば、サービスの提供元によって改修されたシステムを利用するだけで、法改正に対応できます。
・運用上の困りごとやトラブルに対する情報
思うように情報収集を進められない場合や連携先の各システムとの調整・対応など、Webサイト運営をしていると様々な課題が発生します。それらの課題に関する情報や運用サポートを提供しているサービスであれば、自社開発のシステムより、必要な情報を得やすくなります。
外部サービスを活用する際の注意点
・コストがかかる場合がある
無償提供されているものもありますが、高機能なアクセス解析サービスは、多くの場合は有償となります。サービスの利用コストと自社開発のコストやリスクのバランスを考慮し、利用コストが高額になりすぎないサービスの選定が重要です。
・運用に必要な知識量を事前に把握しておく
運用代行などを利用しない限りは、運用は自社で行なうことになります。必要な機能がサービス内で実現されていても、それらを効果的に使えなければ、期待する効果を得られません。前提となる知識やスキルなどを踏まえ、自社のリソースで継続的に運用できるかを検討しましょう。
・サポート体制を確認しておく
簡単なQ&Aサイトの提供、セミナーを受講し自助努力で運用、といったケースもあれば、自社に寄り添ったヒアリングや提案など伴走型のサポートを受けられるサービスもあります。ハンズオントレーニングや勉強会など、利用者側のスキル向上を支援するプログラムの有無などを含め、サポート内容を事前に確認しましょう。
自社にマッチしたサービスを活用し、ユーザのプライバシー保護と自社の法令遵守を実現した上で、高精度なアクセス解析を両立することを目指すことができます。
GDPR対策には複数の選択肢が存在する
GDPRの施行により、多くの企業に対して対策・対応が求められています。全てを自社で対応するのであれば、既存のシステムとポリシーを最大限に生かしたGDPR対策の実現も見込めるでしょう。
しかし、そのような対策を実施できる企業は、限られているのが実情ではないでしょうか?中には、以下のような不安をお持ちの方もいらっしゃるかもしれません。
・そもそも自社がGDPRの対象となるのか?
・GDPRの対象となると分かってはいるが、まだ手をつけられていない。
・GDPRに違反してしまっている可能性があるのかが分からない。
GDPRには、改正電気通信事業法のような取扱いデータの規模の大小による救済措置のような定義はありません。また、たとえ個人データを収集、処理する事業者がEC域外に拠点を置いていたとしても、EU居住者のデータを取扱う時点で同法の適用対象となってしまいます。
RTmetricsは、今回ご紹介したGDPRのデータ主体の権利保護を実現するために役立つ機能が搭載されています。GDPRの他、改正個人情報保護法や改正電気通信事業法によるCookie規制においても、有効な対策を実現できるアクセス解析ツールです。
ユーザのプライバシー保護に配慮したアクセス解析の実現にRTmetricsをぜひお役立てください。
