企業による消費者データの利用は常に関心の高いトピックです。セキュリティ侵害が発生するたびに、消費者は自分の個人情報が悪用される可能性や、万が一悪用された場合の影響についての懸念が高まり、こういったトピックへの関心もさらに高まっています。米国ではほとんどの州といくつかの都市でデータ漏えいに関する法律が定められており、消費者データの保護に関する法律を施行しているところも多数あります。ヨーロッパでは20年以上前から、居住者向けのデータ保護法が施行されています。
しかし過去20年の間に、技術が大幅に進化し、消費者にとってのデータのメリットも変化しました。そこで欧州連合はData Protection Directive(以下、データ保護指令)という古い法律を一新し、堅牢性を高めたGeneral Data Protection Regulation(一般データ保護規則 以下、GDPR)を施行することにしました。ではGDPRは 消費者にどのような影響を及ぼすのか、見ていきましょう。
GDPRとは
GDPRは、インターネット、eコマース、オンライン広告、データドリブンマーケティングの増加を考慮し、EU法を更新したものです。GDPRでは、これまでの法律条項の多くを書き直しただけでなく、違反した場合の罰金を重くしました。新しい規則では、侵害が発生した場合、企業が規制当局に報告することを定めており、多くの場合、消費者への報告も求められます。そして消費者が企業に対して、業務委託元や取引先が自分のデータを何に使うのかを確認できるように定めています。従来のデータ保護指令に代わるGDPRは、既存の規則を進化させたものというよりは、重要な変更点を盛り込み、国別の法律数を削減するためのものです。生活環境、データ量とその拡散性、接続性が高まっている世界での個人データの価値向上を反映するために、このような変更を行いました。
影響を受けるのは誰か
2018年5月25日の施行により、この法律の影響を受けるのが誰なのかを知ることが重要です。「個人データ」の範囲は広く、IPアドレスなどのオンライン識別情報から、ソーシャル識別情報、通常の名前や連絡先(EUでの個人および職場情報)も含まれます。しかし基本的には、GDPRは個人を特定できるあらゆる情報を対象としており、基本的な人権として個人データの保護を強化することを目指しています。それは、EU居住者のデータを保護します。つまり、データを収集している企業にEUの顧客がいる場合、世界中のどこに本社や支社があろうと関係なく、GDPRの対象となるのです。GDPRは個人データのセキュリティを確保するため、企業に対して「適切な技術的/組織的」対策を講じるよう定めています。
GDPRは企業による消費者のデータ収集、保存方法、何らかの同意記録の保管、個人データの用途の開示についても定めています。GDPRではEU居住者が企業に対してデータの取得方法を尋ねること、マーケティングのオプトアウト、そして場合によっては収集したデータの削除も求めることができます。
備える方法
GDPRの施行日が間近に迫る中、企業にとっても、EUの消費者にとっても、最も重要なことはその内容を把握して準備することです。企業は自社の規程がGDPRと合致していることを確認する必要があります。消費者は自分の権利を把握し、GDPRで認められている個人データに関する質問内容や方法を理解しておく必要があります。データ収集の度に「同意」を求められ、データ漏えいに関する通知も増えるでしょう。しかしどのような新しい法律でもそうですが、消費者データに関するGDPRの本当の意味が理解されるまでには、長年かけて多くの訴訟を経なければならないでしょう。
※本ページの内容は、2018年2月18日更新のMcAfee Blogの内容です。
原文:The GDPR Basics:What Consumers Need to Know
著者:Gary Davis