前回の「カオスマップからひも解くデジタルマーケティング」では、カスタマーデータプラットフォーム(CDP)を取り上げました。今回は、CDP同様に顧客データ管理に関連する「プライバシーデータマネジメント」を取り上げます。
プライバシーデータマネジメントとは、顧客の個人情報を安全に取得、管理することを目的とした様々な取り組みを指します。
個人情報の取り扱いを軽視する企業は多くないと考えます。個人情報の取り扱いをきちんとするためにWebサイトの問い合わせフォームには、サーバー証明書を使ってSSL/TSLによる通信の暗号化を施し、プライバシーポリシーを明示した上でEメールアドレスや氏名などの個人情報を取得することが一般的となっています。
個人情報を保存するデータベースも暗号化し、監視システムを導入して、厳格な取り扱いルールを定めるといったことも一般的です。海外の企業と比較しても日本企業のセキュリティに対する取り組みは「CDP」など他の領域と比較すると積極的といえるかもしれません。
一見あまり変化が起きることが少なさそうに見えるこのプライバシーデータマネジメントの領域には、近年大きな変化がありました。EU(欧州連合)で施行された一般データ保護規則(General Data Protection Regulation:GDPR)という新たな法規制に、対応を迫られているのです。
GDPRが国内企業の顧客個人情報に影響
2018年5月25日、GDPRが施行されました。これは、「個人」が「自分自身」の「個人情報」を「自ら」コントロールできるようにすることを目的に、企業に個人情報の取得や処理に厳しいルールを課す法律です。
GDPRの詳しい解説は他の記事に譲り、ここでは簡潔にポイントをまとめます。
- EU市民・居住者の権利を守るための法律でありEUに存在する企業だけが対象ではない(EU市民・居住者の個人情報を扱えば、日本を含めた全世界の企業が制裁の対象となる)
- Cookieなどのオンライン識別子は個人情報とされる(2017年に施行された日本の改正個人情報保護法ではCookieが個人情報かはあいまいな定義)
- 個人情報取得時は、ユーザーへの通知・同意の獲得を明確にして、容易に撤回できるようにする必要がある
- 個人情報の利用を拒否したユーザーに対しても同様にサービスを提供する必要がある(但し、サービスの前提になっている場合を除く)
- 個人情報の処理に関しては、それを記録しておく必要がある
- DPO(データ保護責任者)を任命する必要がある
- 個人データの侵害・漏洩時に、72時間以内に監督機関に通知する必要がある
- EU域外へ個人情報を移転することに対し、厳格なルールを定めた
GDPRの対応が「ポリシーの策定」だけで済むわけではなく、「個人情報に関する業務プロセスや組織体制の見直し」も必要になることが分かると思います。
