マーケティング部門が取るべきGDPR対応
GDPRは欧州経済領域内で取得した個人データの「処理」と「移転」に関する法律であり、組織の所在地、規模に関係なく適用され、一定の要件を満たす場合には、日本企業も適用の対象となり得る。
マーケティング部門も他人事では済まされない。EU市民に対するマーケティング活動や、Cookieのトラッキングを通じて個人データを取り扱っていれば、GDPRの対応が求められるからだ。たとえば、インバウンド需要や東京五輪需要を取り込もうと、日本に訪れたEU国籍の個人情報をWebフォームから取得した場合も、GDPR対応が必要になる可能性がある。また、Web解析ツールで欧州経済領域内における位置情報を取得した場合も対象となる。自社は関係無いと思い込み個人データ保護を怠れば、制裁の対象と成る可能性が有る。マーケティング部門が取るべきGDPR対応手順を以下に示す。
- 法務部門にGDPR対応策の有無を確認する
- 保有している個人データを識別し、保存場所を特定する
- 不要な個人データを削除
- EU国籍の個人データがないか確認する
- マーケティングツールのGDPR対応状況を確認する
- 個人データの使用方法とアクセス方法を管理
日本企業のGDPR対応は遅れていると指摘されている。早急に自社の対応状況を調査することを推奨する。なお、本稿の見解は、筆者の所属企業の見解ではなく、あくまでも筆者の見解であることを付言する。
伊藤忠テクノソリューションズ株式会社
クラウドインテグレーションビジネス推進部
エキスパートエンジニア 大元 隆志氏
通信事業者のインフラ設計、提案、企画を12年経験。現在はCASBソリューションのセールス開発・プリセールスを担当する一方で、国士舘大学経営学部にて学生向けに企業におけるクラウド、モバイル利活用について講座を担当する。最新のIT動向や技術動向分析が高く評価され、ヤフーニュース、IT Leaders、ITmediaマーケティング等IT系メディアで多くの記事を執筆。所有資格:米国PMI認定PMP、MCPC認定シニアモバイルシステムコンサルタント。近著に『ビッグデータ・アナリティクス時代の日本企業の挑戦』(翔泳社)がある。
マーケターはデータの棚卸しができているか
GDPRに備えて必要なことは、「マーケターはデータの棚卸しができているか?」ということにつきる。マーケターは、データの種類や利用目的等と紐付けて、データを管理できているだろうか。GDPRでは、パーソナルデータの適法な処理(第6条)が定められている。これらのデータがどのような適法な処理に基づくものかを整理することが第一に求められる。適法な処理には、(a)から(f)の6つの定めがあり、同意、契約や正当な利益等が含まれる。
多くの場合、マーケターは同意や正当な利益に基づいたパーソナルデータの処理を行うことになるが、基本原則(第5条)の観点からも、漫然とした法的根拠に基づいた処理は許容されない。基本原則に則り、
- 適法性・公正性及び透明性
- 目的の限定
- データの最小化
- 正確性
- 記録保存の制限
- 完全性・機密性
を満たしたデータ処理であることを、データ主体(本人)及びデータ保護当局に対して常に説明できる必要がある。
マーケターが取り扱うデータが日々増える中で、このようなデータの棚卸しが十分にできているかを自ら証明できるような体制づくりが求められている。加えて、適法な処理の根拠は、処理の目的毎に管理される必要がある。一つのデータが複数の利用目的を持っている場合には、特に注意が必要だ。正当な利益の場合と比べて、同意を根拠とする場合は、削除権(忘れられる権利)及びデータポータビリティの権利の対象となる。GDPRを一つの機会として、取り扱うデータの棚卸しをお勧めする。
株式会社KDDI総合研究所
フューチャーデザイン1部門
3グループアソシエイト 加藤 尚徳氏
KDDI総合研究所において、情報法制(プライバシー・個人情報等)を中心とした法制度や技術の調査・研究・コンサル業務に従事。また、大学の非常勤講師として、情報法、知的財産法、情報セキュリティに関する講義を担当している。総合研究大学院大学複合科学研究科情報学専攻単位取得満期退学、修士(情報学)、神奈川大学および神奈川工科大学非常勤講師、慶應義塾大学SFC研究所上席所員。
