あなたの会社は大丈夫？ GDPR対策の概要とBowNowでできる最低限の対策について

GDPRとは、EU域内の個人情報（データ）保護を規定する法律として2018年5月に施行された「EU一般データ保護規則（General Data Protection Regulation）」の略称です。直近では、日本でも2020年6月に「個人情報保護法」の一部改正が可決され、Cookie などの第三者提供を制限する規定が盛り込まれました。
個人情報を活用してナーチャリングや商談創出をおこなうMAツールは、これらの個人情報に関連する規約の影響を大きく受けます。取り分けインターネット経由で得られるデータは、出典の国内・外を問わないため、国際的なレギュレーションも理解しておくことが重要です。
これからの時代、マーケティング施策をおこなっていくためには、Cookieなどの端末情報やメールアドレスなどの個人情報をうまく活用していくことは必要不可欠です。今回は、知っておきたいGDPRの基礎知識と弊社ツール「BowNow」で対策できることをご紹介します。

 

 

 

 

 

GDPR対策とは

GDPR （General Data Protection Regulation）とは、EU域内で個人データを統一基準で管理保護するために規定された規約です。2018年5月25日に施行され、日本語では「EU一般データ保護規制」と訳されます。
日本でも耳にすることの多いGDPRですが、ヨーロッパの個人情報に関する規約が、日本のビジネスにどう関わるのか、明確に理解していないという方も多いと思います。GDPRが日本のビジネスに影響を及ぼすポイントをまとめました。

 

●規制の対象地域はEUだけでなく EEA（European Economic Area / 欧州経済領域。EU28ヵ国+ノルウェー、アイスランド、リヒテンシュタイン）も対象となります。EU・EEAエリアに子会社や関連会社を持つ企業は注意が必要です。
●対象となる個人データの範囲が広く、EEA域内に所在する個人（国籍や居住地などを問わない）の個人データとされています。EEA内で活動する企業への適用だけではなく、EEA域内に所在する個人に対してEEA域外からサービス提供したり、EEA域外からEEA域内の個人データを獲得したりする活動に対してもGDPRの規制が適用されます。
●日本の「個人情報保護法」では、IPアドレスやCookieなどの識別端末子は法律上の個人情報に該当しませんが（2020年7月現在）、GDPRはではIPアドレスやCookieなどの識別端末子も個人データに定義されています。
●GDPRの罰則金は全世界年間売上の4％または2,000万ユーロと高額で、違反行為に対して厳格な制裁が規定されています。

 

実際、米Facebookとその傘下の米Google 、Instagram、WhatsAppは、GDPRの施行初日にプライバシー保護活動を行うNPOに提訴されており、後日、フランス政府がGoogleに5,000万ユーロ（約62億円）もの制裁金を命じたことが大きなニュースとなりました。このことからも、GDPRがEU地域だけの問題ではなく、グローバルにサービスを展開する企業にとって大きな影響力を持つことがわかります。
日本でもGDPRの施行以降、Cookie取得の同意を確認するポップアップを表示するWebサイトが増加しています。しかし、日本国内の企業では「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業が34.4％いる一方で、3割以上の企業がGDPRに未対応であることが報じられています（JIPDECとITRの調査、2019年2月時点）。

 

 

GDPR対策でやるべきこと

では、日本企業がGDPRに対策するにはどのようなことを行うべきなのでしょうか。ここでは、一例として対策の一般的なフローをご紹介します。
※正式な対応策は専門家の指導のもと、誤りがないよう進めてください。

 

（1）GDPR関連規定の作成

まず、自社が扱う個人データがどのようなもので、どういった経路で入手しているのか（どういった経路で入手予定か）を把握する必要があります。それらのボリュームと、個人データを扱う予定の拠点数や従業員数なども割り出します。そのうえで、GDPR関連の自社規定を策定する必要があります。
すでにGDPR対応に対応しているグローバル企業のGDPRステートメントを参考に自社の規定を定めましょう。

 

例：エムオーツーリスト
ビジネストラベルを手がける商船三井系の旅行代理店エムオーツーリストでは、GDPR対応の「一般データ保護規則（GDPR）（ダービー支店＆ロンドン営業所）」を策定しています。
参考：一般データ保護規則（GDPR）（ダービー支店＆ロンドン営業所）

 

（2）DPOを設置して体制整備

自社の規定が策定できたら、データ保護責任者（DPO/ Data Protection Officer）を置き、社内体制を整備します。
GDPRでは、組織や個人情報の取り扱い状況によってはDPOの設置が義務づけられているわけではありませんが、GDPR 関連業務をスムーズに行うためにも明確な責任者がいた方が良いので、DPO設置が望ましいでしょう。
参考：エムタメ！【DPO選任が義務付けられる条件】

 

（3）提供サービスの改修やバージョンアップ

現状、提供しているサービスがユーザーのメールアドレスや氏名などの個人情報やCookieを取得しており、今後も取得を続けていく場合は、個人データ、Cookieを取得することに対してユーザーに許可・同意をもらうフローに改修する必要があります。このように個人情報の取得や広告の配信にユーザーが許諾の意思を示すことを「オプトイン」と言います。

 

（4）社内理解度の向上

GDPR対策を全社的に行うためには社員全員がGDPRとGDPR対策について理解している必要があるため、研修など教育を行う必要があります。個人データを扱う部署に対しては特に重点的に行う必要があるでしょう。

 

（5）インシデントフロー構築

GDPRでは、個人データが侵害されるインシデントが起きた場合、72時間以内に監督機関へ報告することを義務づけています。ただし、インシデント発生から72時間ではなく、インシデントの可能性を認知した時点から72時間とされており、報告が72時間を過ぎた場合も違反とみなされ制裁が課されます。
日本で起きているインシデントは、実際にサイバー攻撃を受けてから気づくまでに時間がかかる場合が多く、インシデント発生時のフローを見直して備える必要があります。

 

 

BowNowで最低限できることから始めよう

一般的にMAツールでは、閲覧者の行動履歴情報、属性情報などの取得のためCookieやIPアドレスなどの端末情報を活用しています。
前述のように日本の「個人情報保護法」では、Cookieなどの端末情報は個人情報には該当しません(2020年7月現在)。ただし、2020年6月5日に成立した同法の改正案では、「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける」との条件が加わっており、DMP広告を活用するなど、第三者提供の可能性のある企業は注意が必要です。

 

とはいえ、いきなりここまでの対策をすべておこなうのはハードルが高いと感じる企業様も多いと思います。GDPR、国内法のこのような背景からもBowNowでは最低限の対策として、(1)個人情報取得確認の表示、(2)Cookieポリシーの掲載を推奨しています。

 

BowNowでの個人情報取得確認の表示の仕方

BowNowでは、Webサイトで閲覧者の行動履歴情報、属性情報などの取得のための機能を利用していることをユーザーに表示することができます。

 

Webサイト内表示イメージ

 

ユーザーは上記ポップアップ内の「Online Privacy Notice (オンラインプライバシー通知) 」をクリックすると個人データの取り扱いを行っているサービスの一覧を確認することができます。

 

一覧表示された各サービスには該当サービスのオプトアウト（無効化）リンクが生成されているため、企業側で準備すべきオプトアウトの導線を簡単に用意できます。この機能を「Cookie取得一覧表示」といいます。

 

利用方法

（1）この機能はスタンダードプラン、CloudCircusプランのみ利用可能です。

（2）利用するにはお申し込みと設定が必要になります。下記フォームよりお申し込みください。
　　　Cookie取得一覧表示お申し込みフォーム

（3）お申し込み・設定が完了すると、BowNow管理画面の「設定」に「個人情報取得の確認を表示する」が表示されます。

（4）表示設定でサイト画面上に表示される位置・文章等の変更が可能です。
　　　※詳しい設定可能項目はこちらをご覧ください。
　　　BowNowマニュアルサイト「個人情報取得の確認を表示する」
　　　※変更を行えるアカウントはラインセンスアカウントのみです。

 

BowNowを利用する上でのセキュリティ記載・告知について

MAツールを活用し、個人情報を取得する際には、利用目的の「告知」または「公表」が必要です。またBowNowでは、Cookie情報を取得する旨のポリシーも掲載することを推奨しています。マニュアルサイトでは、Cookieポリシーの参考文章を掲載していますのでご参照ください。
※Cookieポリシーは自社ポリシーに則り記載の判断をお願いします。参考文章の記載事項による責任は弊社では負いかねます。

 

 

まとめ

これまでご説明した通り、GDPRは適用範囲が広く日本企業の事業にも影響する可能性があること、また個人情報の取り扱いに関する国際的な判断基準となっていることから、国内法と合わせて情報を正しく把握することが大切です。
MAは大切なお客様の情報を活用することで成り立っています。活用させていただくお客様の個人情報を丁寧に扱い、保護することを前提に各社のポリシーに則った対応をお願いします。
※記事中の各種法律は改正される場合があります。必ずご自身で最新の情報をご確認ください。

 

 

MAツールの選定にお困りではないですか？

BowNowは、2015年のリリース以降、中小BtoB企業を中心に多くのお客さまのお悩みに寄り添ってきました。
当社にお問い合わせいただくお客さまの多くが

・MAツールが何のためのツールなのかイマイチよく分かっていない
・MAツールの種類が多すぎて自社に最適なMAツールが分からない
・自社でMAツールを導入すべきタイミングなのかが分からない

のように「そもそもMAツールって何ができるの？」という検討の入り口で悩まれています。

BowNowは、日本の中小BtoB企業でも使いこなせるMAツールとして、「シンプル」「低コスト」「使いこなせる」をコンセプトに開発されたMAツールです。 まだ検討の入り口でお悩みのご担当者さまもお気軽に当社にご相談ください。

BowNowを簡単＆まとめて知れる資料はこちら（概要・機能・料金を紹介）

自社に近い事例を知りたい、導入の不安の解消したいなら無料相談

BowNowとは

BowNow誕生秘話