みなさん、最近何かと話題のGDPRとは何かご存知でしょうか?
今回は様々な業界に大きな影響を及ぼしつつあるGDPRについて考えてみたいと思います。
GDPRとは
GDPRとはEU一般データ保護規則(General Data Protection Regulation)のことで、2016年4月にヨーロッパで制定され、2018年5月に施行されました。
非常に強いデータ保護法で、細かい規制事項が99条にも分けて述べられています。
GDPRでは大きく分けて3つのことを言っています。
データ保護管理の強化
個人データの保護に関して、明確な規制は今までありませんでしたが、大量のデータを扱う企業においては、データ保護・管理の専門家である監督者をつけるなどして徹底した保護体制をしかなくてはいけなくなりました。
個人データ移管の禁止
EU域内で得られた個人情報に関しては、原則として他地域へ移管することができません。すなわちEU内での購買行動データを解析したい場合はもちろんEU国内で行わなければならず、他国データとの紐づけもできません。EUで商売を行うグローバルな企業にとっては大きな打撃と言えるでしょう。
個人データの主体の権利
基本的に今までは、ユーザーがあるページを訪れると自動でそのページに置かれたタグが読み込まれ、様々なツールのデータトラッキングが可能になっておりました。意思決定に迷っているユーザーに大きな影響を与えるリターゲティングも、ユーザーのCookie情報からトラッキングしておりました。
それが簡単に出来ていたのは、ユーザーの承認がいらなかったから
今回施行されたGDPRでは、EUのユーザーにおいてデータを取得する場合は必ず明瞭な説明のもと同意を求めなくてはいけなくなりました。また、一度承認したユーザーに対しても必ず分かりやすい形で撤回できるよう示しておかなくてはいけないそうです。
これにより、相当な数のデータ取得ができなくなる恐れがあります。
しかし、企業によっては分かりにくい形で見せて、なるべく承認させるような見せ方をしているところもあります。
このような企業に対して果たしてどのような基準で罰が下るのか今後目が離せない状況です。
違反するとどうなるの?
違反するとどうなるのか。この違反に対する罰則金がえげつないんです。
「全世界における年間総売上高の4%」or「26憶円」の高い方が罰則金として請求されます。
これは相当な打撃ですよね。26億円なんてちょっとした企業ならそれだけで倒産に追い込まれてしまいますし、1兆の売上高を誇る大企業でも4%というと400憶・・・
営業利益から400憶引かれたら大変なことになりますね。
GDPRの罰則金がいかに恐いか理解いただけたでしょうか?
なぜ今個人情報保護法が?
やはり良く言われているのは、アメリカ発祥のGoogleやFacebook、AmazonなどのIT企業の躍進です。
全世界を席捲しているアメリカのITの巨匠たちはヨーロッパからすると良くは思わないんでしょうねー。さらにはUberやAirbnbなどユニコーン企業も続いていますし。
確かに個人情報を勝手に抜き取って広告のターゲティングに使われているというのは、嫌な気持ちもするかもしれませんが、今後パーソナライズ化が進み、自分に合った自分の好きな商品・サービスを適切なタイミングで享受できるようになるためには個人データ保護法など悠長なことはいっていられません。
どちらにせよ、世の中の流れに逆らうことはできないのだから一時的な歯止めはかかるかもしれませんが段々とまた緩まっていくとみています。
また、世の中の流れとしてはITテクノロジーの進化→個人情報保護の動き→規制緩和→ITテクノロジーの進化→個人情報保護の動きというように循環があるそうです。
今後さらなるIT業界の発展のためにはここは乗り切らなくてはならない正念場なのですね。
Criteoへの影響は?
本拠地をフランスパリに置くリターゲティングの巨匠であるCriteoへはどのような影響があるのでしょうか?CriteoのサイトではCriteoが取得しているのはGDPRに引っかからない機密度の低いデータだと言っています。
しかしこの機密度というのはどのように測るのか明確に決まっているのでしょうか?私の認識だと、ユーザーがデータ取得に納得していない段階で訴えられたら終わりだと思っています。明確にユーザーに同意を求めたほうが今のところは安全でしょう。
この難しいGDPRという問題には目が離せませんね。