デジタルトランスフォーメーションの流れにより、多くの企業が業務をデジタル化し、業務の効率化や売り上げ改善を図ろうと日々努力しています。それに伴い、個人情報や機密情報漏えいなどの不祥事を防ぐため、コンプライアンスへの高い意識が世間から求められるようになってきました。
コンプライアンスを順守しつつもグローバルで事業を展開していく企業にとって押さえておくべきグローバルの法規制は数多く存在します。
そこで本記事では、GDPR以外のグローバルな法規制の例としてeプライバシー規則やPECR、そして、ITPについて簡単に解説していきます。
目次
GDPR以外も要注意!データを取り扱うならeプライバシー規則も押さえるべき
2018年5月から施行された「General Data Protection Regulation(GDPR)」は、デジタル化の時代に大きな影響をもたらしました。GDPRを日本語にすると「一般データ保護規則」となります。
GDPRにより、企業が取り扱うデータにおける「個人情報」の概念が更新されました。IPアドレスやCookieといったオンライン識別子も個人情報に含まれるため、取得の際にはユーザーからの許可を必ず得なくてはいけません。また、企業が個人情報を集めるときは、自身の素性や連絡先、用途や保管期間などをユーザーに明確に説明することが義務づけられました。
そのほかにもGDPRでは、個人情報の取扱いに関して細かな条項が数多く設定されており、個人情報の漏えいや流用といった不祥事を防ぐための法規制として大いに機能しています。企業の「情報ガバナンス」や「コンプライアンス対応」における意識を高めるために大きく貢献しているといえるでしょう。
一方で、GDPR以外にもデジタル化に関するグローバルの法規制は数多く存在します。企業が問題を起こさないためにも、そのほかの法規制も知っておく必要があるでしょう。
たとえば、GDPRを補完する位置づけとして、2019年に施行予定とされている「eプライバシー規則(ePrivacy regulation)」はご存知でしょうか?。
eプライバシー規則は、通称「Cookie法」とも呼ばれ、Cookieを取り扱う民間企業に対してEU域内ユーザーのプライバシーの遵守を義務付けるものです。GDPRと異なる点として、eプライバシー規則は電子通信サービスを中心に展開しており、これまでのGDPRで明確にカバーしきれなかったCookieなどの同意について、さらに厳格に明文化された規制であるという点です。
またGDPRと同様、EU域内に拠点がない企業であってもEU域内のユーザーに電子通信サービスを提供する場合や、EU域内に所在するユーザーの端末に情報を保持する場合は、eプライバシー規則の域外適用が適用されること、データ侵害時の監督機関への72時間以内の報告義務や最大2,000万ユーロの制裁金が課せられるなど、日本企業も注意が必要です。
この規制では、Webサイトの訪問者にCookie付与の同意を得ることを必須としています。同意なしでWebサイトを運営する企業側はユーザーにCookieを付与することができません。
Cookieが付与されると、過去の閲覧内容からユーザーに合ったコンテンツがおすすめされるなどのサービスを受けられるようになります。つまり、eプライバシー規則はユーザーの了承がないのに、サイト運営者側の都合で勝手にマーケティング活動を行なえないよう制限をかけているルールともいえるでしょう。
次項では「マーケティング活動」という切り口で「PECR」や「ITP」についても、見ていきましょう。
PECR・ITPとは?企業のマーケティング活動にどう関わってくるのか
PECR(Privacy and Electronic Communications Regulation)とは、「プライバシーと電子コミュニケーションに関する規則」のことです。PECRはeプライバシー規制、GDPRと深い関わりがあります。
EU圏ではeプライバシー規制をより広範囲に適用するため、微調整が行われてきました。PECRはeプライバシー規制を電話やメールなどにも適用した規制だといえます。PECRにより、ユーザーの許可がないマーケティング目的の電話やメール、テキストメッセージなどは規制対象となりました。
さらに、ユーザーの行動を勝手に記録したり、通信ネットワークによって位置情報を特定したりするのも違法行為に含まれます。なお、eプライバシー規制の内容がPECRに追いつき次第、eプライバシー規制に統合される予定です。
また、グローバル規制ではないものの、電子通信サービスの制限に関連し、企業のマーケティング活動などに大きな影響を及ぼすものとして「ITP」があります。ITPとは「Intelligent Tracking Prevention」の略で、Apple社が生み出した新機能です。すでにiOS 11やmacOS High Sierra のSafariで実用化されています。
どのような機能かというと、ITPを利用することで、ユーザーはWebサイトを閲覧する際にクロスサイトトラッキングを抑制することができるようになります。
クロスサイトトラッキングとは、ユーザーがあるサイトから別のサイトに移った行動データを記録する行為です。記録者はトラッキングしたデータを基に、同じユーザーへと広告配信などのマーケティング活動をしかけてきます。しかし、ITPは自動学習機能によってサイトにクロストラッキング機能が備わっているかどうかを見極められ、そのうえで、承諾していないトラッキングに制限をかけてくれるものなのです。
個人情報データを取り扱っている企業は、GDPRやeプライバシー規制だけでなく、PECRにも準拠しなければいけないことがあります。さらに、ユーザーがITPを利用すればクロスサイトトラッキングが制限されてしまうなど、デジタル施策を推進している企業にとって企業コンプライアンスを重視しつつも対応策を検討していく必要があるでしょう。
情報ガバナンスを徹底するために!法規制を前にして企業が意識すべきこと
さまざまな企業がデジタル化やデータ処理を日常的に行っている時代では、日々の作業において、規制を意識することなくこなしてしまう可能性も出てきます。しかし、このようなグローバル規制をおざなりに捉えていると、不祥事につながりかねません。企業は常に個人情報の重要性を意識し、従業員にもコンプライアンス対応を含んだ「情報ガバナンス」を徹底させていくべきでしょう。
情報ガバナンスについて上層部が取り組むべき課題としては、まず「管理体制の確立」が挙げられます。自社で取り扱っているデータを細かく分類したうえで、責任者を配置して管理しましょう。「顧客データ」「取引データ」「トラッキングデータ」など、データごとに担当者を決めるのが理想的です。そして、「規則の明文化」を目指します。データの持ち出しを制限するなどの禁止事項のほか、「どうしてデータの取り扱いが重要事項なのか」といった理念までも従業員に伝えましょう。
規則を作成した後に「教育」に移ります。責任者を中心としてセミナーや実習などを行い、個人情報の取り扱いを安全に行えるだけのスキルと知識を育てていきます。このとき、GDPRやeプライバシー規則などの各種法規制についても説明するべきでしょう。また、一部の人間だけでなく全従業員が同じ価値観を共有できるよう、個別に教育プログラムを設けるのもひとつの方法です。教育の際、理論だけを説いてもイメージを持ちにくいケースが出てきます。実際に、過去に起こった不祥事などを例に挙げてみると従業員の理解を深めることができるでしょう。
そのほか、「アフターフォロー」にも万全の体制でのぞむことも重要です。情報ガバナンスがすぐに浸透するとは限りません。長期的な視野で、従業員の業務内容を見守っていくことも必要です。定期的に、個人情報取り扱いに関するペーパーテストを実施するなどして教育の成果を分析するようにしましょう。
グローバル規制とコンプライアンスへの意識を大切に!法規制を踏まえた情報ガバナンス教育で不祥事を防ぐ
企業のデータ管理に対するコンプライアンス意識は、不祥事が起こるリスクと密接に関わっています。
グローバル化の時代では、データ管理にも世界基準の法規制が設定されているので、グローバル展開している日本企業は特に注意が必要です。
法規制をきちんと把握し、情報ガバナンスを徹底させることで、世間から信用される健全な経営を実現させることが可能となるでしょう。