はじめに
欧州連合(EU)の新しいデータ保護の枠組みである、EU一般データ保護規則(GDPR)が、2018年5月25日に施行されます。GDPRは、これまでで、最も重要なデータ保護法令であり、EU居住者への商品やサービスの提供に関連する個人データを処理し、またはEU域内の個人の行動を監視しているすべての組織に影響を与えます。GDPRは、個人データ処理の制限の厳格化によって個人のプライバシー権を強化し、データに対する権利の大幅な拡大と、データの性質、目的および利用に係る透明性の向上を図っています。
データ保護とGDPR遵守へのマルケトの取り組み
Engagement Economyの影響力と顧客中心性を強く提唱するマルケトは、プライバシーとデータの保護をデータ主体の手に委ねることの重要性を理解しています。他のデータ保護法と同様、GDPRを遵守するには、マルケトとお客様双方の取り組みが必要です。マルケトは、2018年5月25日までにGDPRを遵守する予定で、弊社サービスには既にお客様がGDPRの同意の要件に従うために必要な機能を組み入れています。マルケトはGDPRの関連規定を慎重に確認し、規制機関が発行する関連するGDPRガイダンスを細かくフォローしております。このような手順が、お客様がマルケトのサービスをGDPRに遵守して使用できるようにするツールの開発に役立っています。
GDPRの概要
GDPRは、現行の指令に代わる規則として、上記日付で全EU加盟国で同時に法的強制力を持ち、各加盟国で施行されているデータ保護法に取って代わり、従うべき共通の原則を提供することで、コンプライアンスの整備を図ります。
EU居住者の個人データを処理し、またはEU域内での個人の行動を監視するすべての組織は、その拠点に関わらず、この新しい規則の適用対象となります。「処理」と「個人データ」という用語は、次のように広く定義されています。「処理」とは、「個人データに対して行われる単一のまたは一連の作業」を意味し、「個人データ」は、「識別された、または識別され得る自然人(「データ主体」)に関するあらゆる情報」を意味します。GDPRは、管理者(個人データの処理の目的および手段を決定する組織)および処理者(管理者からの指示に基づいて個人データの処理を行う組織)のさまざまな遵守事項を規定しています。
GDPR上の主な遵守事項
GDPRによって、組織がデータを収集する方法、ならびに処理を行うための法的根拠の取得、書面化、および管理を行う方法が変わります。以下は、GDPR上の主な遵守事項の一部をまとめたものです。
| 主な遵守事項 |
概要 |
| 設計および初期設定によるデータ保護 |
管理者および処理者は、個人データの処理を伴う新しい製品やサービスにデータ保護を組み込み(設計)、すべてのビジネス判断においてデータ保護の問題を考慮(初期設定)する必要があります。 |
| 処理の適法性 |
処理は、同意、契約の履行、法的義務、重大な利益の保護、公共の利益のために行われる業務、またはデータ主体の基本的権利と比較考量した正当な利益に基づいて行われる必要があります。 |
| 同意の条件 |
同意の要求は、宣言または明示的かつ積極的な行為によって、自発的になされ、特定して、情報提供を受けたうえで、かつ曖昧でないものである必要があります。 |
| 処理の保護 |
管理者および処理者は、リスクに対する適切なセキュリティレベルを保証する適切な技術的および組織的対策を実施するものとします。 |
| データ主体の権利と情報 |
管理者は、第13条および第14条で定める情報をデータ主体に提供し、データ主体は、自身の個人データへのアクセス、データの修正や削除、データ処理の制限、データの転送を行えるほか、個人データに基づく自動処理による意思決定を拒否できるものとします。 |
| データインベントリ |
管理者および処理者は、個人データに対して行われた処理行為の記録を含めた集中リポジトリを作成する必要があります。 |
| データ保護への影響評価 |
処理の種類によって、自然人の権利や自由に対して高いリスクを生じさせる可能性がある場合、管理者は、処理の前に、予定された処理作業の個人データ保護への影響評価を実施しなければなりません。 |
| データ保護責任者 |
管理者および処理者のうち、中心的業務が、大規模にデータ主体の定期的かつ系統的な監視を必要とする処理作業、または特別カテゴリーのデータの大規模な処理であるものは、データ保護責任者を選任しなければなりません。 |
| 管理者と処理者の関係 |
管理者と処理者の関係は、実施される処理の条件を規定し、処理者が委託した下請処理者に異議を述べる権利を管理者に付与することを内容とする、拘束力のある契約に準拠する必要があります。 |
| データ侵害の報告 |
管理者は、個人データの侵害が発生した場合、可能な限り、侵害を認識してから72時間以内に管轄監督機関に通知をし、自然人の権利および自由に対して高いリスクが生じる可能性がある場合には、影響を受けるデータ主体に不当な遅滞なく通知しなければなりません。 |
マーケティングへの影響
マーケターとして、信頼に基づいて真摯に提供される、パーソナルで人間的に感じられる体験を創出しすれば、お客様のこころを掴むことができます。
マルケトの目標はGDPRと一致しています。すなわち、お客様の権利を尊重し、お客様の信頼を勝ち取り続けることです。
日々の業務で使用する個人データの収集、利用、およびセキュリティに関するこのような高い期待に、マーケターがどのように応えるかが重要となります。マルケトは、マーケターがこのような期待に応えるための支援ができると確信しています。
GDPRには、特にマーケターに関連があり、結果として過去、現在、および将来の実務を慎重に見極める必要のある主な項目が2つあります。一つ目は、個人データを収集して利用するための個人の同意です。2つ目は、説明責任であり、すなわち、GDPRの原則をどのように遵守しているかを証明できることです。
GDPRに基づく同意
ほとんどのマルケトのお客様によるマーケティング活動では、個人データ処理の法的根拠として同意を利用するものと考えられます。すべてのマルケトのお客様は、個人データ処理の許可を得て、書面にし、これを維持する方法を確認する必要があります。
GDPRでは「同意」を以下のように定義しています。
「自発的になされた、特定して、情報提供を受けたうえで、かつ曖昧でないデータ主体の意思表示であり、これにより、当該データ主体が、宣言または明示的かつ積極的な行為によって、自己に関わる個人データの処理に合意することを表すもの。」第4条(11)
GDPRの第7条(同意の条件)では、同意の要求は、明瞭かつ平易な文言を用い、その他の事項と明らかに区別できるものであること、データ主体にいつでも同意を撤回する権利が与えられていること、ある契約の履行(サービスの提供を含む)が、当該契約の履行に必要のない個人データの処理に対する同意を条件としている場合は、同意が自発的になされていないこととすることが必要とされています。第13条および14条は、データ収集時にデータ主体に提供される情報の概要を規定しています。
予めチェックされたオプトインや、黙示的なオプトインでは不十分であり、データ主体は、同意する対象を把握していなければならず、また、いつでも同意を撤回することができなければなりません。マルケトのお客様は、積極的な同意を得るよう、収集サイトを構成し、必要な情報を知らせるプライバシーポリシーや通知へのリンクを提供する等の措置を講じることができ、またそうする必要があります。
GDPRに基づく説明責任
GDPRに基づく最も重要な要件の1つは、説明責任の原則です。各組織はGDPR遵守を証明できる必要があり、従って、どのような技術的および組織的対策によって当該組織が説明責任の原則を満たすことができるのかを検討しなければなりません。
GDPRの第24条では、管理者に対し、GDPRに「従って処理が実施されていることを確保し、証明可能にするための適切な技術的および組織的対策を実施」することを求めています。
マルケトは、お客様がGDPR原則に遵守していることを証明するために役立つ、以下を含む数多くの機能を提供しています。
- ロールベースの許可
- 監査証跡
- 保存データの暗号化
- データ管理
GDPR遵守に向けて推奨する手順
2018年5月25日に向けて各企業が取るべきさまざまな手順がありますが、その一部を以下に紹介します。
- GDPR遵守チームを結成して、任務を割り当てる
- GDPR対応状況評価を行う
- データ保護責任者設置義務を検討し、必要なら選任する
- データ主体の権利行使に対応できるようポリシーと手続きを採用する
- 処理者および下請処理者との契約を見直し、更新する
- 個人データ処理活動の記録を作成する
- 各処理活動の法的根拠を取得し、書面化し、維持する
- プライバシーおよびセキュリティポリシーや手続きを更新する
- データ侵害の通知手順を更新する
GDPRに関する資料
以下は、GDPRに関する資料へのリンク先です。該当する規制機関がガイドラインを追加した場合、随時更新します。
このページの内容は、お客様に、マルケトのサービスに関連するGDPRへの理解に役立てていただくことを目的としていますが、ここで提供する情報は、法的助言として解釈されてはならず、GDPRに基づく各組織に固有の義務の解釈や、個人データ処理のための企業の製品やサービスの利用については、各組織の法律顧問にご相談ください。
