2018年5月25日、いよいよEUでGDPR(General Data Protection Regulation: 一般データ保護規則」の運用が始まります。GDPRとは、EUにおける新しい個人情報保護の枠組みであり、簡単に言うと、イギリスを含むEU加盟28か国およびアイスランド、ノルウェー、リヒテンシュタインに住む人々の個人データの処理と、EU圏外への移転に関するルールを定めています。
EU圏外の企業・団体でも、EU圏内在住者に対して商品またはサービスを直接提供する場合は、GDPRの規制が適用され、万が一、規制に違反した場合は、高額な制裁金が科せられるので、EU圏内でビジネスを展開している企業にとってGDPRへの対応は必要不可欠です。
もっとも、私たちCriteoにとってGDPRは特に大きな脅威ではありません。なぜなら、私たちは創業以来ずっと、世界最高レベルの技術を駆使して個人情報保護と安全対策に取り組みながら、EUの主要都市でビジネスを拡大してきたからです。もちろん、国ごとに異なる法的要件を1つひとつ遵守してきました。つまり、結果として私たちCriteoはずっと以前から、今回GDPRが定めた主要なルールを遵守してきた企業なのです。
しかし、一般的にはGDPRについて誤解をしている方が多いようです。今回は、その誤解を解くために、ここ数か月の間にCriteoに最も多く寄せられた質問にお答えしましょう。
Q1 DGPRの目的は何ですか?
A GDPRの目的は、大きく分けて次の3つです。
1:個人情報を保護するための法制度を近代化し、グローバリゼーションと科学技術の進展に対応した
内容にすること
2:個人の権利を強化しながら管理の負担を軽減し、EU内での個人データの自由な流れを確保すること
3:個人情報保護規則を明確にし、EU全体で一貫して適用すること
Q2 Criteoのような企業が個人情報を収集するためには、個人からどんな同意をとる必要がありますか?
A 扱うデータの性質によって異なります。人種、宗教、性的指向、政治的所属、健康状態などの機密データを扱う際には、ユーザから「明示的な同意」、つまり事前にデータを使用してもよいというはっきりとした同意を受ける必要があります。
一方、ネットの閲覧履歴のような機密性の低いデータを集めるにあたっては、「明示的な同意」は必要ありません。
Q3 GDPRでは、データを扱う際の同意は「freely given、specific、informed、and unambiguous」でなくてはならないとしていますが、これはどういう意味ですか?
A 「freely given」とは、ユーザがデータ収集に同意するかどうかの自由を与えられていることを指します。つまり、ユーザがデータの収集を拒否した場合に、何らリスクを追わないようにしなくてはならないということ。
もちろん、ユーザはCookieメッセージからCriteoのサービスを直接拒否することができます。
次に「specific、informed」は、ユーザに対して具体的な情報提供が行われていることを指します。言い換えれば、目的を明記せずにデータを集めてはならないということ。Criteoでは、ページ上のリンクをクリックすると、「クロスサイトトラッキング技術」に同意したことになる旨を明確にユーザに伝えています。
また「unambiguous」は、同意はユーザの行動から導き出されたものでなくてはならないということを意味します。例えば、ある人がウェブサイトを閲覧し続けている場合、それはその人がCookieの使用に同意したことを意味します。
繰り返しになりますが、Criteoでは、GDPRの導入を脅威とはとらえていません。むしろ、長期的に見れば、結果として企業とその顧客の双方に多くのメリットをもたらすものだと考えています。
GDPRの導入によってオンラインショッピングはその信頼性を増し、顧客はより安全な買い物を楽しめるようになるでしょう。
GDPRを遵守してビジネスを更なる成功に導くために、Criteoのサポートをぜひご活用ください。また、Criteoでは、今後、GDPRに関する様々な実例を随時公表していきます。どうぞご期待ください。