2018年5月に迫る「EU一般データ保護規則」(GDPR)、そして日本の改正個人情報保護法全面施行。「データ」にまつわる制度変更にデジタルマーケティング担当者はどう対処すべきか。専門家に基礎を解説してもらった。
2018年5月25日に施行される「EU一般データ保護規則」(GDPR)に注目が高まっている。なぜ欧州連合(EU)の法律が日本で話題になっているのか。デジタルマーケティングとの関わりについて、SAS Institute Japanの山下克之氏に解説してもらった。
A:端的に言えばEU版の個人情報保護法。違反すれば莫大(ばくだい)な制裁金が課せられる。
個人データの“処理”と“移転”に関するルールを定めたEU規制であり、特定された、または特定可能な自然人(権利能力が認められる社会的実在としての人間のこと)の基本的人権と自由、特にデータの保護に対する権利を保護することを目的にしたものとなっています。
違反した場合は最大で、事業年度における企業の全世界年間売り上げの4%以下または2000万ユーロのいずれか高い方の制裁金が課せられます。例えば年間売り上げが1兆円の企業であれば、400億円の罰金を支払わなければならないということですね。いきなり制裁されることはないかとは思いますが、GDPRに対応しないということはそれだけのリスクを背負うことになります。
A:日本企業であっても法律が適用される可能性があるから。
GDPRの適用範囲はEU域内に拠点を持つ管理者や処理者だけではありません。EU域内に拠点を持たない企業でも、EU域内の個人に商品やサービスを提供している管理者、処理者は対象となります。つまり、EU向けにビジネスをしている日本企業もGDPRの適用対象となるというわけです。しかも、その企業規模は限定されておらず、SMB(中堅・中小企業)からエンタープライズまで、EUに在住する個人の情報を取り扱っているとしたら必ず対応しなければならない法律となっているという特徴があります。
A:規模や業種を問わずグローバルにビジネスを展開する企業。
例えば、インターネットを通じてグローバルに商品を販売しているEC企業や、EUでも利用できるゲームの配信会社などでしょうか。「EUで商売をしている」かつ「消費者の個人情報を持っている」企業が対象となりますので、海外にお客さまがいない企業については、GDPRに抵触することはないと思います。逆に、EU域内で法人を設立していなかったとしても、EU在住の人に対してデジタルマーケティングを仕掛けていこうという企業は対象となりますので、注意が必要です。
Copyright © ITmedia, Inc. All Rights Reserved.