EUの一般データ保護規則（GDPR）が欧州向け越境ECやマーケターに及ぼす影響とは

3月の連休セールが終わったら、全米の小売業者、サービスプロバイダ、製造業者、マーケターは、今後ビジネスをどのように成長させていくかに加えて、数か月後に直面する課題について考え始めなければいけません。

アメリカの法律ではなく、ヨーロッパの新しい法律に関連する課題です。EUは、データ収集、データ保持、データ利用、データ公開、データ削除に関して、新しい法律を制定しました。一般データ保護規則（GDPR：General Data Protection Regulation）と呼ばれるこの法律は、名前、住所、連絡先、支払い方法、IPアドレス他、個人を特定するために利用されるデータを取り扱う団体や企業などに幅広く影響を及ぼします。

GDPRの基礎的な概念の説明と例（編注：JETRO「『EU一般データ保護規則（GDPR）』に関わる実務ハンドブック（入門編）」から編集部がキャプチャし、追加）

2018年5月25日の施行以降、イギリスを含むEU諸国民のデータを保持・利用する団体は、この厳しい法律に従わなければいけません。違反した場合は、重い罰金が課せられます。

この法律が適用されるのは、ヨーロッパの企業だけではありません※1。GDPRはサーベンス・オクスリー法（SOX法）以来、最も世界規模で影響を与える法律だと言えるでしょう。

オンライン通販業者は世界中でビジネスを展開しているため、北米の企業がGDPRに影響される可能性は高いです。メールマガジン登録やメールアドレスの登録など、一見問題のないような行為に法律が関わってくることがあります。

GDPRの施行によって、特に小売業界のマーケターは、海外でデータを取得する際、収集、利用、保持、処理の仕方が変わってくるでしょう。施行直後、そしてその後もコンプライアンスを遵守するためには、企業や組織内でいくつかの重要な変更を施す必要があります。それらの変更をすることによって、今後のGDPRに関する仕事量を削減できるでしょう。

GDPRとは（編注：IoT推進コンソーシアム データ流通促進WGの「EU：一般データ保護規則、十分性認定等の動きを踏まえた産業界の取り組みと課題」公表資料を編集部がキャプチャし、追加）

GDPRに準拠したデータにする

今から5月までの短期間に行わなければいけないことは、現在持っているデータとデータ収集方法を整理し、法律に準拠した形に整えることです

• 今後どのような方法で消費者とコミュニケーションを取るのかを決定し、文書化します。利用するチャネル、セグメンテーションやターゲティング方法、カスタマイズしたメッセージやプロモーションの作成方法などを決めましょう。そうすることによって、どのような許可を得る必要があるのかわかります。
• 正しいデータを集めていますか？ 不必要なデータを収集・保持していないか精査してみましょう。もしそうなら、すぐにやめて削除しましょう。
• GDPR施行にあたり、データの取り扱い方法における修正を反映したプライバシーポリシーを作成しましょう。

GDPRは、99の条項で構成される法律で、データ保全、データ保持、データ収集、データ消去に関して大変厳しい制限を設けています。同時に、個人データ及び個人を特定できる情報の定義に関しては、大変広義な解釈になっています。またEU諸国民の個人データに関する権利を新たに明確にしています。17条（忘れてもらう権利）と21条（反対する権利）がそれに当たります

GDPRは、マーケターがビジネスニーズを満たす上でも、大変大きな課題になります。マーケターは、データを活用してよりよいカスタマーエクスペリエンスを生み出し、商品を効率的に販売したいと考えます。しかし今後は、EUの法律の枠組みからはみ出さないようにビジネスを進めなければいけません。

データのプライバシーと許諾について

GDPR施行後、団体や企業が個人を特定できる情報を保持し、利用する権利があるかは、許諾をもらっているかによります。

たとえば、自動のオプトインや事前入力された記入欄を利用してEU諸国民から集められたデータは見直す必要があります。オプトインや事前入力された記入欄を通じて情報を集めた人々に関しては、個別に連絡をして許諾を得なければいけません。彼らの情報を利用し続けるためには承認が必要なのです。

GDPRは、データ保持に関する責任を2つの役割に分けています。1つ目が管理者、2つ目が処理者です。どちらの役割においても、データ対象者の権利を守る責任があります。場合によっては、管理者と処理者両方の役割を兼ねる場合もあるでしょう。もしくは管理者が複数の処理者と関わる場合もあります。GDPRの定義を理解し、法務部からアドバイスをもらいましょう。

「データ主体」、「管理者」および「処理者」の説明と例（編注：JETRO「『EU一般データ保護規則（GDPR）』に関わる実務ハンドブック（入門編）」から編集部がキャプチャし、追加）

小売のマーケターが処理者として注意するべきは、契約に関する第6条（商品やサービスの販売に関して）、同意に関する第7条（マーケティング上のコミュニケーションのオプトインに関して）、そして正当な利益に関する第6条、第7条、第29条（個人を特定できる情報を、企業もしくはより広い社会のために処理する際の利益に関して）です。

個人データのなかでも種類によっては異なった根拠が適応されることもあります。たとえば、パーソナライゼーションを行うためのウェブトラッキングには正当な利益が、マーケティングコミュニケーションには同意が、購入メッセージには契約が根拠として適応されるかもしれません。

データの種類によってそれぞれ別の解釈を検討する際も、個人の権利を念頭においてください。データ対象者は、GDPRで守られる権利を行使して、あなたが保持している、もしくは処理しているデータの取り下げを要求する可能性もあります。彼らはどのような方法で取り下げ依頼をしてくるでしょうか？ もしそうなったら、あなたには実際にその依頼に応じる準備はできていますか？

EU諸国民のデータの権利は、プライバシーポリシーのなかに記載されていなければなりません。そしてチェックアウト画面、登録画面、アドレス帳など、サイト内の主要な箇所で必ず見えるようにしておかなければいけません。

GDPRの嵐が始まる前の静けさを利用しましょう

次の四半期では、新しい顧客もしくは見込み顧客からは必ず許諾を得るようにしましょう。どのように許諾を得たのか、ログも残しておきます（たとえば、ポップアップの画面経由なのか、最初の登録時なのか、チェックアウトの時の配送や請求方法を示すページなのか、など）。

そして新しいプライバシーポリシーが顧客に見える状況でデータが取得されたことを確認しましょう（GDPRの規定です）。そうすることによって、データの不正使用や不正収集を疑われた時に、きっちりと弁護できます。

データを整理したり、利用者から許諾を得たりすることは、売り上げの妨げにはならないはずです。通常の購入プロセスに組み入れたり、メールマガジンでの個人情報再確認キャンペーンなどを通じで行えばなおさらです。商品やサービスのアップセル、クロスセルを可能にするだけでなく、顧客の好みや詳細を販売プロセスの中で確認できるようなシステムもすでに開発されています。

アメリカの小売事業者はGDPRに関して真剣に考え^※2、実際に法律が施行された時に慌てなくてすむよう、準備をしておかなければいけません。