最近、話題になっている「GDPR」。
皆さんの中には、今まさに対応中の方も多いのではないでしょうか。
言うまでもなくマーケティングにおいて、個人データの取り扱いは最重要です。EUで取り扱う個人データは日本と違う点が多くありますが、この「GDPR」はEUと関わる企業だけでなく、いわばすべての企業に無視できない問題です。
そこで今回は、マーケターにとっては知らないでは済まされない「GDPR」についてお届けいたします。
「GDPR」とは、正式名称が「EU一般データ保護規則(General Date Protection Regulation)」のことで、「EU一般データ保護指令」に代わる規則として2016年にEU会議において採択・承認されました。
「GDPR」は、EU加盟国に加えEEA(欧州経済領域)の3カ国に在住するすべての個人データの「処理」と「移転」に関する個人情報保護の法律です。これは「規則」であり全ての加盟国に直接効力が発生します。
近年では、グローバル化やビックデータ、クラウドサービスの台頭・拡大により個人情報の重要性がますます高まっています。
それに伴い、サイバー攻撃や内部不正等による、個人情報に関わる危険性も高まっているのも事実です。知らない間に個人情報が処理・移転されている事件が多くなっているのもご存知の通りです。
そんな背景から、EUで「GDPR」が採択されたのです。
では実際に「GDPR」では、どんなことに注意する必要があるのでしょうか。
それではマーケティングにおいては、どのような影響があると考えられるでしょうか。
特にマーケティングにおいて「GDPR」が及ぼす影響の一つとして「Cookie」の扱いがあると考えられます。
webサイトにアクセスした人に、同意を得ないでCookieの取得をした場合それが「EU圏内」の人である可能性は十分にあります。
欧州のサイトでは、オプトイン(サイト訪問者に対してCookie取得の同意を得ること)するときに、ポップアップウィンドウなどで許可を取るのが当たり前になっていますが、日本ではCookieに対して情報の保護がないため、同意を得る仕組みができていないことが多いのです。
今回の「GDPR」によって、Cookieの使用の同意を求める、または解除できるような仕組みの導入の検討が日本の企業でも進むと考えられます。
マーケティング担当者も「GDPR」を理解し、その仕組みを導入していく必要があるでしょう。
Cookieを利用している代表的なシーンとしては、マーケティングオートメーション(MA)やアクセス解析が挙げられるでしょう。
MAでは、個人データを元に顧客の行動を追跡することで、顧客ニーズに合わせたコミュニケーションを自動的に行うことが可能です。
したがってそこでは、オプトアウト、つまりユーザー側でメーリングリストからの除外やメールマガジンの配信停止ができるような設計が必要になるのです。
また、Google Analyticsの解析でもClient IDやトラッキング情報を保持することから「GDPR」の影響は受けます。そのため、保持期間の設定が出来るようになっています。
BtoB企業でのインバウンドマーケティングの導入が進んできている中で、CRMやCookieによるマーケティング活用など、企業間での取引に個人データを使用することが今以上に増えていくことを考えると、「GDPR」の対応は必要不可欠と言えるでしょう。
それでは、どのように対応していくべきなのでしょうか?以下3点についてはマーケティングご担当者であれば最低限意識する必要があるでしょう。
上記で述べたように、Google Analyticsを使用しているだけで「GDPR」の対象になる可能性があります。担当者が知らない間に「個人データ」を保持していたということも十分あり得るのです。
したがって、まずは「個人データを受け取る入り口」から確認するようにしましょう。
自社サイトにユーザーの名前やメールアドレスを受付けるフォームはありませんか?また、Cookieや固有のIDを取得するツール(MAやGoogle Analytics、Adobe Analyticsなど)を導入していませんか?そして、そのデータがどこでどのように管理されているか、一度確認してみましょう。
サイト訪問者には、自分の個人データの取得を拒否する権利があり、消去する権利もあります。つまり、オプトインする時にCookieや固有のIDを取得することを伝え同意を得る必要があります。また、訪問者が自らオプトアウトできる状態も作る必要もあります。
自社サイトのプライバシーポリシーに個別のCookieをマーケティングやアクセス解析として使うことを明示してありますか?また場合によってはCookieの保持期間を定めることも必要になることもあります。まずは現在のプライバシーポリシーがGDPRに抵触しないか法務部門や専門家へ相談することをおすすめします。
個人データを守るルールの厳格化という流れは、いわばインバウンドマーケティングが企業にも浸透してきていると考えることが出来ます。
マーケティングにおいて、顧客との信頼関係の構築は最も重要です。
「GDPR」への適切な対応でサイト訪問者の権利を尊重し、企業のブランドアップや信頼構築につなげましょう。