いよいよGDPR運用開始!準備は万端ですか?

2018年5月25日、いよいよEUでGDPR(一般情報保護規制)の運用がスタートします。GDPRとは、イギリスを含むEU加盟28か国およびアイスランド、ノルウェー、リヒテンシュタインに住む人々の個人データの処理と、EU圏外への移転に関するルールを定めており、EUにおける新しい個人情報保護の枠組みとして注目を集めています。

GDPRの運用開始は、EU以外の企業や団体にも大きな影響を及ぼします。というのも、EU圏外に本拠地を置く企業・団体であっても、EU圏内在住者に対して商品またはサービスを直接提供する場合は、GDPRの規制が適用され、万が一、規制に違反した場合は、高額な制裁金が科せられるからです。

実は、2005年の創業以来、EU圏内の複数の国々でビジネスを展開してきたCriteoは、今回GDPRが定めた規制のほとんどを、ずっと前から理解し・遵守してきました。そう、CriteoはGDPR導入によって企業がなすべき対策や遵守すべき法令について、すでに十分な知識と経験を持っているのです。ここでは、その一部をご紹介しましょう。

  • GDPRは改革ではなく「進化」である

まず皆さんに理解してほしいのは、GDPRはこれまでのEUでの法規制を180度転換するような「改革」ではないということです。EU圏内の各国で遵守されてきた法規制を調和し、一貫性を持たせ、さらに今の時代に合った内容に進化させたものなのです。今まで遵守してきたルールが全く異なる内容に変ってしまうということではありません。

  • 機密性の低いデータは、Opt-inの必要なし!

GDPRが導入されると、個人情報を扱う際には必ず個々人の許可が必要になると考えている人が多いようですが、これは全くの誤解です。

GDPRでは企業や団体がユーザの個人データを収集する際に、ユーザから「明示的な同意」を求めねばならない場合とそうではない場合をはっきりと区別しています。「明示的な同意」というのは、Opt-in、つまり事前にユーザ一人ひとりから、「データを収集してもよい」という明確な許可を得なくてはならないということを意味します。ただし、これは人種、宗教、性的指向、政治的所属、健康状態などの機密性の高いデータを扱う場合の身に適用されるものであって、例えばCookieの履歴のような機密性の低いデータについては適用されません。機密性の低いデータを扱う際にはOpt-inつまり個々のユーザからの事前許可は必要ないのです。

  • 消費者の権利を尊重するCriteoのAd-choiceプログラム

もっとも近年では、消費者側も「個人データ」と「魅力的で役立つ広告の表示」のトレードオフの必要性を十分理解していて、Criteoが行った調査ではEUのインターネットユーザの約90%が行動ターゲティングを理解しており、回答者の75%は自分が興味のある商品やサービスの広告が表示されることを期待していることが明らかになりました。

Criteoでは、消費者の権利を尊重し、すでに2008年から独自の「Ad-choiceプログラム」を採用しています。このプログラムを採用したことによって、消費者はワンクリックで自身の情報をOpt-outを選択、つまり、情報提供を許可しないようにすることができるようになりました。消費者がOpt-outを選択すると、プログラムはすぐにトラッキングとリターゲティングを停止します。その後、ブラウザからすべての識別子を削除して、将来的にそれらをターゲットにすることは不可能になります。なお、 EUのデータ保護規制に従い、収集されたすべての消費者のデータは13ヶ月間で破棄しています。

このほかCriteoでは、個人情報の保護と管理に関する様々な取組を早くから始めており、この分野の専門家の育成・活用にも取り組んでいます。コンプライアンスと最適なパフォーマンスのために、EUの消費者データを物理的に最も近いヨーロッパのデータセンターに保管するなど、最高レベルのセキュリティ対策を講じ、GDPR導入に対応できる万全の体制をすでに整えています。

Criteoの豊富な知識と経験、そして最新のテクノロジーを皆様のGDPR対策に、ぜひお役立てください。