明確に欧州向けのプロモーションでは要GDPR対応
有園:今回は、個人情報保護をテーマに、TMI総合法律事務所の大井哲也弁護士を訪ねています。大井先生はM&AやIPO、情報通信やITなど複数領域に精通され、個人情報保護法のセミナーなども行われています。併せて多くのインターネットやアプリの運営企業の顧問をされていますが、アドテクや広告会社もクライアントなのですね。
大井:そうですね。データを収集するプラットフォーマーやそのデータを利活用するデジタルマーケティング業界のクライアントさんが多いです。
有園:同時に、TMIプライバシー&セキュリティコンサルティングの代表もされていますが。
大井:はい。弁護士というと「法を生業にしている職業」と思われることが多いですが、私自身の関心事は完全にひとえに「ビジネスをどう法の枠内で推進するのか?」にあります。
個人情報保護法の問題もそうですが、法の建前が理想的でも、ビジネス現場の実態に照らし合わせるとどうしても難しいところが出てきます。そこでいかに法規制をクリアしながらサービスを構築するかが、クライアントさんから求められる課題です。
そこで、法律業務は、弁護士としてリーガルサービスを提供しますが、具体的にシステムの実装レベルに落とし込むときにどのようなソリューションが有効かをコンサルティング会社でアドバイスできるようにしています。
有園:早速ですが、旅行業界のクライアントからの相談事項が実際にあります。それに関連した質問をさせてください。新型コロナウイルスのワクチン接種も世界的に進む中で、来年ぐらいから旅行への需要が世界的にリバウンドするという期待があります。
観光業を中心に、日本でもGDPR対応が求められるシーンが出てきていると思いますが、まず、どういった場合にGDPRを順守すべきかをうかがえますか?
大井:はい。GDPR適用の要件のポイントは、「EU地域に居住または所在する者をターゲットに商品・サービスを提供しているか」という点です。EU地域に居住または所在していることが条件なので、EU地域に住んでいれば国籍が日本でも対象ですが、逆にEU国籍で日本在住の人は対象になりません。
また、日本企業のECサイトにおいて、日本語と英語のサイトがあるということだけでは「EU居住者向けである」とは直ちに認定されません。ですが英語、独語、仏語サイトがあり、ECサービスの広告をフランスやイタリアの雑誌やウェブに出稿するなどEU地域向けにプロモーションを実施している、決済通貨をユーロに設定している、EUに配送拠点を置いているなど、総合的に見て、「EU居住者に訴求している、ターゲットとしている」と判断されたら、GDPRの対応が必要です。
インバウンド需要を取り込む各種サービスにおける対応状況
有園:そうすると、英語のECサイトにたまたまドイツ居住者が訪問してきた場合、ECサイト運営者がそのCookieデータやそれに紐づく閲覧履歴を収集しても、GDPRの対応は必要ないわけですね。
逆に、たとえばEU地域から日本の国際路線を持つ日系航空会社だと、サービスをEU地域向けに提供し、また、EU地域でGo to Japanキャンペーンなどを行ってプロモーションを実施していたりしたら、対応は必須だと。
大井:そうですね。GDPR対応が必要となります。GDPR対応のためには、まずECサイトなどウェブサイトに表示しているプライバシーポリシーを、日本向けのポリシー版に加えて、GDPR対応版のプライバシーポリシーを用意することが必要です。これはアプリでも同様です。
航空会社とホテルが連携し、ホテルがEU地域からのインバウンドの宿泊者向けにサービスを提供し、またEU地域向けにプロモーションを打っていたら、そのホテルもGDPR対応が必要となります。
国内のホテルでも、EU地域から日本のインバウンド需要を取り込もうとサービスを設計し、EU向けにプロモーションを打っている日本国内の大手ホテルは、2018年5月25日のGDPR施行時までにGDPR対応を完了しています。インバウンド需要を取り込む日本の大手ホテルや外資系のホテルのプライバシーポリシーを見ていただくと、EU地域に居住・所在する方向けに別途GDPR版のプライバシーポリシーが掲載されていることがわかるでしょう。
有園:そのインバウンド需要を国内路線、あるいは鉄道や自治体が地方へも呼び込もうとしていますよね。特に地方は人口が減少している地域が多いので、インバウンド需要を取り込んで関係人口を増やしていく必要があるといわれています。その場合は?
大井:国内の鉄道会社であっても、EU地域向けにプロモーションを打つなどしてEU地域に居住する旅行者から予約を受け付け、EU地域からの旅行者をターゲットとしている場合、本来はGDPR対応を実施すべきですが、あまり進んでいないのが実態です。
