GDPR
GDPRとは
GDPRの基礎知識
GDPR( General Data Protection Regulation:一般データ保護規則) は、2016年にEUで制定され、2018 年 5 月25 日に導入されたデジタルプライバシー規制で、EU域内で適用される法令です。EU に拠点を置く顧客とコミュニケーションをとるマーケティング チームに影響を与えます、規制に従わなければなりません。
GDPRの目的
ヨーロッパ全土でデータプライバシー法を統一する
EU 国民のデータ プライバシーを保護し、権限を与える
地域全体の組織がデータプライバシーに取り組む方法を再構築する
GDPRでは、今まで個人情報とみなされていなかったIPアドレスやCookie情報も個人情報とみなされ、取得する際にユーザーの同意が必要となりました。
マーケティング担当者が顧客にフォームへの入力や Web サイトの Cookie のアクティブ化を促す前に、データ主体にデータ収集の準備をしていることを通知する必要があることを意味します。さらに、マーケティング担当者はデータを収集する理由を説明し、対象者にオプトアウトできる機能を与えなければなりません。
顧客が同意したとしても、同意後に収集した情報の消去、使用の停止を要求する権利があります。収集したデータの閲覧を要求する場合があり、それをタイムリーに提供する必要もあります。
GDPRを遵守するために、企業は自社のデジタル製品や Web サイトにプライバシー設定を組み込むことが求められます。
GDPRに遵守しない場合の罰則
GDPRは指令ではなく規制であるため、法的な拘束力があります。
オプトアウトしたり無視したりすることはできません。実際、遵守しない場合は、最大 2,000 万ユーロ、または世界売上高の 4% の罰金が科せられる可能性があります。
ブリティッシュ・エアウェイズは、 2018年9月に発生したデータ侵害で最大2億ユーロの罰金を科される可能性がある
マリオット・インターナショナルは、 2014年から2018年までのデータ侵害で9,900万ユーロの 罰金を科されると予想されている
オンラインプライバシーに対する EU の新しいアプローチは個人を第一に考えており、個人は搾取されたり無視されたりするのではなく、保護され権限を与えられるべきだと考えています。
GDPR 7 つの基本原則
GDPRの目的は、個人の権利を保護し、個人情報を現在よりもさらに厳密に管理できるようにすることです。下記の7 つの基本原則に基づいています。
合法性、公平性、透明性: 法的根拠を特定し、合理的かつ倫理的な方法でデータを使用し、人々に包括的な情報を提供します。
目的の制限: 個人データは、指定された明示的かつ正当な目的のためにのみ収集し、互換性のないさらなる目的のために処理しないでください。
データの最小化: 特定の目的に必要な量のデータのみを収集します。
正確性: 個人データを正確、完全、最新の状態に保ちます。
ストレージ制限: 個人データを必要以上に長く保存しないでください。
完全性と機密性: データを安全に保つために適切な措置を講じます。
説明責任: あなたとあなたのデータ処理者がデータ保護原則にどのように準拠しているかを実証できるようにします。
GDPRの8 つの主要な原則と個人の権利
GDPRでは、8 つの主要な原則と個人の権利が正式に定められています。
情報を得る権利(透明性):The right to be informed(GDPR 第 13 条および第 14 条)
個人データの処理に関連する情報やコミュニケーションに簡単にアクセスでき、理解しやすく、明確で平易な言葉を使用することが求められます。個人データが処理される具体的な目的は、明示的かつ合法的であり、個人データの収集時に決定される必要があります。
アクセスの権利:The Right of Access ((GDPR 第 15 条)
個人が自分の個人データにアクセスする権利
修正の権利:The right to rectification (GDPR 第 16 条および第 19 条)
個人データが不正確または不完全である場合、個人は個人データを修正してもらう権利を有します。
消去する権利:The right to erasure(GDPR 第 17 条および第 19 条)
別名は「忘れられる権利」。処理を継続するやむを得ない理由がない場合でも、個人が個人データの削除または除去を要求できるようにするものです。
処理を制限する権利:The right of restriction (GDPR 第 18 条)
処理が制限されている場合、個人データを保存することは許可されますが、それ以上処理することはできません。
データポータビリティの権利:The right to data portability (GDPR 第 20 条)
個人がさまざまなサービス間で自分の目的のために個人データを取得して再利用できるようにします。
異議を唱える権利:The right to object to processing of personal data(GDPR 第 21 条)
データ管理者があなたに直接何かをマーケティングしたり、ダイレクトマーケティングを目的としてあなたのプロファイリングを目的としてあなたの個人データを使用している場合、あなたはいつでも異議を唱えることができ、データ管理者はあなたの異議を受け取ったらすぐに処理を停止しなければなりません。公共の利益のために行われる業務の遂行に処理が必要でない限り、研究目的での個人データの処理に反対することもできます。
自動化された意思決定とプロファイリングに関連する権利:Your rights in relation to automated decision making, including profiling(GDPR 第 22 条)
個人は、自動化された処理に基づく決定の対象とならない権利を有します。自動処理が特別なカテゴリの個人データ に関連する場合、処理はお客様が処理に明示的に同意した場合、または実質的な公共の利益の理由で必要な場合にのみ合法となります。
マーケティング活動において、担当者は具体的にどのようにGDPRへの対応すべきか?
デジタル マーケティング担当者は、データの処理と保存に関連する 6 つの法的根拠とルールに関連した具体的な責任を理解する必要があります。
GDPR 第 6 条 –処理に関する 6 つの法的根拠
データ同意
企業や組織はさまざまなデジタル マーケティング チャネルを介して、リードや見込み顧客に関する個人データを収集します。データ主体(識別された、または識別され得る自然人)が 1 つ以上の特定の目的で自分の個人データを処理することに同意していることを指します。
データ処理
組織が収集したデータをどのように使用するか、また、なぜそのように処理する必要があるのかをリード、見込み顧客、顧客が理解しているかどうかを指します。
データ保持
データ保持とは、組織が個人データを保持する期間とそうする理由を指します。
データ転送
データ転送とは、正当なビジネス目的で EU 域外に欧州連合国民の個人データを転送することを指します。
データ削除
データ削除とは、個人データがいつ、どのように組織のシステムから永久に削除されるかを指します。