公式ウェブサイトのGDPR対応について
オリンピックイヤー2020年、どんな1年になるのか? 大きな期待と今までにない高揚感を感じながら新年を迎えた。世界中が注目するスポーツイベントにより、20年の訪日外国人数は3600万人、観光客1人当たりの消費額の増加が見込まれ、インバウンド消費は3・5兆円引き上げられると予想されている。とてつもない経済効果が期待できる。
そのような状況が来る前に公式ウェブサイトのGDPR対応は済んでいるか? GDPR(General Data Protection Regulation)は、18年に制定されたEU一般データ保護規則。「EEA(European Economic Area)=欧州経済領域」の個人データ保護強化を目的とした新たなデータ保護法だ。EU圏内での法律なので、日本の企業には関係ないと思うかもしれないが、特に宿泊業の場合は、世界中から宿泊先を探すユーザーが公式ウェブサイトに訪問してくる。「公式ウェブサイトにEU圏内居住者からアクセスがある」「公式ウェブサイトでEU圏内居住者へサービスを提供する(客室を販売する)」のどちらかに当てはまるのであれば、公式サイトはGDPR対応が必要と考えられる。日本人で欧州に居住している方は「欧州居住者」とみなされる。
GDPRが定義する個人データは、個人を識別する可能性のあるすべての情報を指す。Cookie(クッキー)などのように、公式ウェブサイト訪問者が気が付かないうちに取得してしまう情報も個人データに含まれる。
ちなみに国内の個人情報保護法ではクッキーは適用対象とされていなかったが、19年11月28日の日本経済新聞の1面に個人情報保護法の見直しにクッキーを含める新ルールを整えると報じられていた。
GDPR対応について違反企業への罰則規定が厳しいため、対応を急ぐ大手企業が増えている。《例》データの取り扱いに対し、適切な技術的管理をしなかった場合=「企業の全世界年間売上高の2%」または「1千万ユーロ」のいずれか高い方▽個人データの処理や域外移転に関するルールを遵守しなかった場合=「企業の全世界年間売上高の4%」または「2千万ユーロ」のいずれか高い方。これらなど、対応の不備による影響の度合いで制裁金が異なり、かなり厳しい内容となっている。
公式ウェブサイトのGDPR対応として、早急に見直すべき三つのポイントは、
(1)プライバシーポリシー・クッキーポリシーを見直す=GDPRに対応したプライバシーポリシーやクッキーポリシーになっているか? プライバシーポリシーでは、個人データの利用目的、取得する個人データの種類、共同利用の有無、訂正削除要求の受付窓口を記載することが必須。
(2)アクセス解析ツールのGDPR対応を確認=公式ウェブサイトのアクセス状況を把握するためにアクセス解析ツールを入れて計測している施設は多いと思うが、アクセス解析ツールではクッキーなどの個人データを取得している。アクセス解析ツールでメジャーなGoogle Analyticsではデータの自動削除機能がある。今後はGDPRに対応しているアクセス解析ツールを使うことが重要だ。
(3)クッキー取得の同意管理=公式ウェブサイトに訪問したユーザーに対する、IPアドレス、クッキーなどのオンライン上での識別子の取得に関して、同意管理(Consent Management)を行う必要がある。次の二つの方式がある。
オプトイン方式=企業などが個人情報を収集・利用しようとする場合、事前に本人の許可が必要であることを意味すること。※同意する前にクッキー等の取得はしてはいけない(ゼロクッキーロード)
オプトアウト方式=企業などが個人情報を収集・利用することができるということを事前に決め、本人に知らせておいた上で、後に本人に利用を制限できる機会を与えることを意味する。
GDPR対応は、オプトイン方式でのデータ取得が必須になる。
補足=ゼロクッキーロードとはユーザーが明確な同意の意思表示をする前に、クッキーを利用するあらゆるJavascriptやピクセルタグを停止する手法。
ユーザーが明示的に同意の意思表示をする前(例えば、ポップアップを画面が表示される前、もしくは表示されている間)に、さまざまなマーケティングツールがクッキーを利用し始めてしまうと、「個人情報を同意なしに利用する」という状況を引き起こすことになる。
世界中から日本に注目が集まるタイミングだからこそGDPR対応は必須と考える。
(コレリィアンドアトラクト代表取締役)