越境ECサイト 従事者なら 今すぐ知るべき GDPRと eプライバシー規則

2018/05/31

今話題のGDPR(General Data Protection Regulation)について、デンマークでGDPR対策支援を行うSiteimprove社の瀬川氏にお話を伺いました。欧州向けに越境EC取り組む事業者様やこれから取り組もうと検討されている方の参考になりますと幸いです。

※注意書き
当記事はWebサイトにおけるGDPR対策をサポートするSaaSベンダーかつ、自社でもGDPRへの対応が必要なデンマーク企業「Siteimprove」に勤めている日本人マーケターとしての私見となります。
GDPRへの対応は必ず法務担当者と相談しながら進めてください。

目次

1.GDPRって、そもそも何なのか?

GDPRとは一般データ保護規則(General Data Protection Regulation)の略で、EU居住者の個人データを保護するという観点から、ヨーロッパ各国におけるデータプライバシー関連法令をEU全域にわたり初めて統合した規則です。
2018年5月25日に施行されました。

EUを相手に越境ECに従事している方は、今すぐGDPRへの対策を取る必要があります。
なぜなら、GDPRの施行によって、企業はEU居住者からの個人データの訂正や削除などのリクエストに応じる義務が課せられているからです。

また、それらの取り組み状況に関し、必要に応じてデータ保護当局に証拠を提示する必要もあり、GDPRに準拠していない組織は最大で年間売上の4%、または2,000万ユーロのいずれか高い方の制裁金が科されることがあります。

調査会社フォレスターリサーチが2018年1月末に公表したデータでは、EU企業がGDPRへの対策に関して全世界的に見て最も悲観的で、調査対象の26%のみがGDPRに対応できていると回答していました。また、GDPR施行当日のデンマーク国営放送(DR)のニュースの中で、DRが確認した86の市町村のうち、約半数の41の市町村がGDPRの準備が間に合わなかったと回答していると伝えられていました。

ただ、GDPRは不明瞭な点も多いため、2018年5月25日時点で、100%準拠できていると宣言すればそれでOKというものではありません。状況に合わせて対応を強化および継続し続ける必要があります。

2.GDPRによって影響を受けるのはどんな組織か

EU居住者の個人データを保持または処理しているすべての組織が大きな影響を受けます。
リスクがあるのはヨーロッパ域内の組織にとどまらず、EU居住者に商品やサービスを提供し、それに伴い個人データを取り扱っている組織はすべて、この規則に準拠する必要があります。

つまり、日本からEU圏に商品を販売する越境ECもGDPRの対象となります。では、どのような事に気をつける必要があるのでしょうか。

越境ECサイト運営者として何よりもまず行うべきは以下、3点となります。

1.顧客に関して本当に必要な情報だけを収集し、必要がなくなったらすぐに破棄するという仕組みをつくること
2.EU居住者が個人データの変更や削除を要請する際に利用できる連絡先をWebサイトに明記すること
3.EU居住者の要請に対応した記録を残すプロセスを整えること

実際のユーザーへの対応方法として、(越境ECではありませんが)弊社を例にとってみると、SiteimproveのサービスおよびWebサイト利用にあたって

・データ管理者は誰なのか
・どのように、また、なぜ個人データを集めるのか
・集めた情報には誰がアクセスする権限があるのか
・その情報を保管する期間はどれだけの長さなのか
・ユーザーとしてどのような権利を行使できるのか

といった情報をわかりやすく、かつ具体的に掲載しています。

Siteimproveのプライバシー通知一覧はこちら

繰り返しになりますが、GDPRは上記の対応をチェックリストとして取り組めばそれで終わり、というわけではないことに注意してください。
GDPR対応を考える上で何より大切なのは、それが「継続的なプロセスである」ということです。

3.GDPRを補完するeプライバシー規則

GDPRはオンラインに限らず、包括的にEU居住者の個人データを保護する規則です。
それに加えて、電子通信に関してGDPRを補完するeプライバシー規則(ePrivacy Regulation)という規則の準備もEUでは進められています。

eプライバシー規則に関して今の段階で押さえておくべきこととしては、データ収集はユーザーの能動的な同意が必要になる点が挙げられます。つまり、オプトアウトではなくオプトインが必要になります。
例としては、先ほどご紹介したデンマーク国営放送(DR)のWebサイトでは、クッキー利用に関するチェックボックスがデフォルトでオンになっていますが、これはeプライバシー規則が施行されればアウトになるでしょう。

 

たまたま見つけただけですが、TechCrunchでは既にクッキー利用に関してオプトインが採用されています。

まとめ

GDPRが施行された今、企業として見て見ぬ振りはベストな選択とは言えません。ただ、WebサイトにおけるGDPRコンプライアンスを実現するにあたっては、99条もあるGDPRの規制事項すべてを網羅する必要はないでしょう。

まずは自社サイトの運営がGDPRによってどのような影響を受けるのか、また、コンプライアンスを実現するために自社のWeb・IT・マーケティングの各部門が協力して何をすべきかを把握することをお勧めしています。

そのために行うべきことをまとめたE-Book「GDPRコンプライアンスに向けた組織的なWebサイト運営」を無料で提供していますので、この機会にぜひご利用ください。

E-Bookダウンロードページへのリンクはこちら

GDPRを恐れるのではなく、EU居住者に製品またはサービスを提供できる事業者としての地位を確立する戦略として活用されてみてはいかがでしょうか。

投稿者プロフィール

Naoya Segawa
Siteimprove株式会社
リージョナルマーケティングスペシャリスト日本担当

大阪大学、コペンハーゲンIT大学(修士)卒。日本の留学エージェントでのウェブマーケティングや外資系ソフトウェアベンダーでのローカリゼーションなどに従事した後、2014年4月にデンマークへ移住。2017年8月よりSiteimproveのコペンハーゲン本社にて、日本向けマーケティングを担当。

無料相談はこちらから

Get a free consultation

メールでのお問い合わせ

メールで無料見積もり
メールは24時間365日受付中!
※問い合わせメールの文章は日本語・英語のどちらでも大丈夫です

海外WEBマーケティングソリューション一覧

Solutions