マーケティング戦略

「個人情報」を活用するために知っておきたいこと――GDPRにみる企業の宿題

記事内容の要約

  • データを活用したビジネスが拡大するなか、2018年5月、EUで新たな個人情報保護法ともいうべき「GDPR(一般データ保護規則)」が施行された
  • GDPRは、非常に厳しい規制内容や罰則が含まれるが、個人情報の活用を抑制するものではなく、むしろ促進するためのルールである
  • 消費者は企業に個人情報を提供することに消極的であり、個人情報をビジネスに活用するためには、その心理を踏まえた施策が重要になる
  • はてなブックマーク
  • follow us in feedly

企業にとって、各顧客に最適なサービス、商品を提供するためには個人情報の活用が必要不可欠だが、同時に、個人情報をどのように扱うかも重要な課題である。

2018年5月にEU(欧州連合)で施行された、新たな個人情報保護法ともいうべき「GDPR(一般データ保護規則)」は、それ以前にEUで適用されていた「EUデータ保護指令」(*1)と比較して、非常に厳しい規制と罰則が定められている。その、厳格化の理由はどこにあるのか。そして、GDPRは日本にどのような影響をもたらすのか。

企業が、トラブルを起こさず、また消費者に忌避されることなく、個人情報や“パーソナルデータ”を活用するために留意すべき点について、情報管理のプロフェッショナルであるKPMGコンサルティング株式会社の大洞健治郎氏に話を聞いた。

「個人情報」と「パーソナルデータ」の違い

インターネットやスマートフォンの普及により、個人情報を活用したサービス、ビジネスが急増している。それにともない、日本では2017年5月に改正個人情報保護法(*2)が施行されたが、個人情報保護に向けた取り組みは世界各国でも進んでいる。なかでも、EUが2018年5月に施行した「GDPR(General Data Protection Regulation = 一般データ保護規則)」(*3)は、管理すべき個人情報の範囲の広さや規制、さらに罰則の厳しさで話題となった。

グローバル企業に対し、個人情報管理体制の構築支援を行うKPMGコンサルティング株式会社テクノロジーリスクサービス /ディレクターの大洞健治郎氏はGDPRについてこう語る。

「ECサイトでの購買行動、健康管理のためのライフログなど、あらゆる個人の行動や情報がインターネットにつながり、生活が便利になる反面、プライバシー侵害のリスクは高まっています。人々のプライバシーをいかに守るかがGDPRの命題であり、今後の日本においても必要となる考え方が示されています」


KPMGコンサルティング株式会社 テクノロジーリスクサービス/ディレクター 大洞健治郎氏

「個人情報保護」を理解するうえで把握しておくべきことは、「個人情報とは何か」という定義や概念が、日本と、たとえばEUでどのように異なっているか、ということだ。なおここでは、より広義の個人情報を「パーソナルデータ」という表現で区別する。

個人情報が、「××という住所に住む○○さん」のような個人を特定できる情報であるのに対して、パーソナルデータは、性別や住んでいる地域、ECサイトでの購買履歴など、それが誰なのかという個人の特定まではできない情報も含む、さらに広い概念だ。つまり、個人情報は個人を識別・特定できる情報である一方、パーソナルデータは、個人の識別はできるが特定はできない情報も包含するものといえる。


「個人情報」と「パーソナルデータ」のカバー範囲の相違イメージ

企業のマーケティング施策や、ECサイトの商品レコメンデーションに活用されているのは、基本的に特定の個人を識別することまではできないパーソナルデータだ。このうち、個人情報から個人を特定できる情報が完全に消去され、元の個人情報が復元できない状態になっているものは「匿名加工情報」とも呼ばれる。

GDPRでは、匿名加工情報は規制対象とはしていないものの、日本において通常「個人情報」とは認識されていないような、幅広い「パーソナルデータ」も保護対象として明示されている。たとえば、携帯電話などの機器番号やオンライン識別子などのパーソナルデータも保護すべき対象だ。1種類のパーソナルデータでは個人の特定はできなくても、「50代男性」「○月○日に○○駅で降りた」「○○駅で水を買った」「○○町に住んでいる」といった複数のパーソナルデータが集まることで、そのデータに当てはまる個人が特定される可能性は高まるため、プライバシー保護への配慮が必要となるのだ。

「GDPRでは、IPアドレスやCookieなどの情報もパーソナルデータとして保護すべきであるとし、その取扱いに対しては厳格なルールが定められているため、注意が必要です。そして国際的には、今後、GDPRのような考え方が主流になっていくと思われます」(大洞氏)

日本企業も無関係ではいられないGDPR

GDPRの規定が適用されるのは、EU域内の企業や団体だけではない。「EU内に支店や子会社、事務所がある」、「EU域内在住者などに商品やサービスを提供している」、「EUの企業と個人情報のやりとりがある」といった場合、日本の企業や団体であっても適用対象になりうる。

日本の改正個人情報保護法では、個人情報の不正な第三者提供などで事業者に課される罰則は、最大50万円にとどまる。しかし、GDPRでは、法令に違反した企業には「前年度の世界売上高の4%、もしくは2000万ユーロ(約26億円)(*4)のいずれか高い方」という非常に高額な制裁金が課される可能性がある(*5)。

桁違いに厳しい制裁金の背景にあるのが、個人のプライバシー保護を重視するEUの姿勢だ。

「GDPRの要求事項として、たとえば『個人情報の利用と収集に対して行われた本人の同意はいつでも撤回可能でなければならない』『個人情報の処理や保管に際してはリスクに応じた適切な安全管理措置を行わなければならない』『必要な期間を超えて個人情報を保持してはならない』といったことがあげられます。また、個人から自身の個人情報についての開示要求があった場合、企業は原則として無償で1カ月以内に回答する必要があり、情報削除などの要請にも対応しなければなりません。個人情報は、個人の所有するものという考え方なのです」(大洞氏)


管理者の義務の一例には、「必要以上のデータ収集をしない」「データ利用目的の同意を得る」などがある。

日本の個人情報保護法では、個人からの同意を得る場合の条件がGDPRほど厳しく規定されておらず、日本企業による同意取得の多くはGDPR上では無効と見なされる恐れもある。

「想定されるトラブルの一つは、顧客が予期しないダイレクトメールを送付してしまうケースでしょう。たとえば、日本企業が自社の商品やサービスを購入したEU在住者に、まったく異なる別事業での商品やサービスをダイレクトメールでレコメンドしたら、同意の範囲外での取扱いということで、当局に通報される可能性もあります」(大洞氏)

GDPRは未来志向のルールである

日本企業がEU域内在住者の個人情報を取り扱う場合にもっとも問題になると思われるのは、日本においてGDPRの「データ保護影響評価」の考え方が理解されていないことだと、大洞氏は指摘する。

「『データ保護影響評価』とは、個人の権利や自由を侵害する可能性があるデータ処理を行う際は、前もってそのリスクを評価して対策を行い、それでも残存リスクが高いままの状態になると判断したら監督機関へ通知する義務がある、というものです。リスク評価や監督機関への通知義務などを怠ったまま、リスクの高いデータ処理を行って個人の権利や自由を侵害してしまうと、巨額の制裁金が課せられるかもしれないのです」(大洞氏)

しかし、厳しい規制ではあるものの、GDPRが主眼とするところは、パーソナルデータ活用の抑制ではなく、むしろその逆にあると大洞氏は言う。

「GDPRは、これまでバラバラだったEU加盟国の個人情報保護ルールを統一することも目的の一つとしています。国ごとのばらつきをなくすことで個人情報の公正な活用を促し、デジタル・シングル・マーケット(*6)を醸成するということです。つまり、データをより適切に流通・活用していくために制定された規則がGDPRなのです。ですから、厳しい罰則ばかりが注目されがちですが、本来は、『GDPRはEU経済を成長させるための未来志向のルール』と捉えるのが適切でしょう」(大洞氏)

パーソナルデータは『21世紀の石油』と言われるほどまでに、これからのビジネスにおいて競争力の源泉となる。罰則が厳しいからと個人情報の取り扱いを敬遠するのではなく、規制内容をしっかりと理解して活用を進めていくべきなのだ。

個人情報に対する消費者心理

日本で「個人情報の活用」というと、ICカードの履歴情報を販売しようとして消費者の猛反発を受けた事例や、監視カメラを用いて施設内の人々の行動パターンを検証しようとした実験が問題視されて中止に追い込まれた例など、むしろ、消費者心理上の問題でトラブルになるケースが目立つ。

個人情報やパーソナルデータの活用は、法的な制限とは別に、データ保護における基本的な権利を有する側(=消費者)の心理を考慮することが重要になる。そこでポイントとなるのが、「自己情報コントロール権」と「安全管理措置」だと、大洞氏は指摘する。

「『自己情報コントロール権』とは、個人に関する情報の取り扱いは、その個人に決定権があるということです。たとえば日本では、個人情報保護法が改正される前から、自分の個人情報を保有している企業に対して、個人情報に誤りがあった場合に修正・削除などを依頼することはできました。しかし、情報に瑕疵がなければ、企業側に情報を削除する義務はありません。

一方のGDPRでは、企業側が持っている情報に間違いがあろうがなかろうが、情報の削除などを求めることができます。『自分の情報はあくまでも自分のもの』ということです。この考え方を前提として、企業としての対応を組み立てる必要があります。

そして『安全管理措置』とは、情報漏えいなどを防止するための仕組み作りです。GDPRでは、この仕組み作りに関して、リスクの評価とその結果に応じた対応を求めています。GDPRへの対応を契機として、これらの対応をしっかりと進められる管理態勢・プロセスの構築を行うことが重要でしょう。

また、保護すべき対象は、従来認識している顧客ファイルのようなデータベースだけでなく、ネットワークを行き交うさまざまなパーソナルデータについても考慮しなければならない点に留意すべきです。すでに日本でも、情報管理の意識が高い企業では、サイトにアクセスした際に生成されるCookieやMACアドレスなどの機器番号までも本人の同意を得るべきパーソナルデータと捉え、自社サイトに、それらの情報の利用に関する注意書きを記載しているケースも増えてきています」(大洞氏)

さらに企業にとって、個人が特定可能な「個人情報」を、特定ができない「匿名加工情報」へと加工する際にも注意を払うべきポイントがある。

「特定性をなくしたパーソナルデータであっても、どんどん蓄積されると個人が特定しやすくなります。ただその一方で、情報が多いほど精緻なレコメンドなどが可能になります。そのため、どの程度で本人の特定性があると考えるべきなのか、という判断が難しいのです。

日本の改正個人情報保護法にも、情報の加工処理についてのガイドラインはあるので、まずはそれに沿った処理を行うことが必要です。たとえば『渋谷区在住の60歳以上の男性』というデータであれば、特定はほぼ不可能です。しかし、これが『110歳以上の男性』となったら、特定される確率が高くなります。よって、そのような特異値を排除する加工も必要となります」(大洞氏)

多くの消費者は、個人情報やパーソナルデータについて、自分が意図しない扱いをされることを嫌う傾向がある。これは日本に限った傾向ではなく、海外でも共通している。

2017年にKPMGが、世界24カ国、約7000人の消費者を対象に実施した「消費者プライバシーデータに関するグローバル意識調査(*7)」では、調査対象者の半数以上が「性別、教育水準および民族に関する個人情報をインターネットで公開することに抵抗はない」と回答した一方で、「インターネットの検索履歴、所得、現在地、住所、病歴に関する情報を開示することに抵抗ない」という回答者は20%未満だった。さらに「プライバシーに関する懸念を理由にインターネットでは買い物をしない」という回答者は55%であり、詳細な個人情報をインターネット上に開示することに懸念を抱く傾向が見られた。

「プライバシーに対する意識は、国ごとに差はあるものの、いずれの国にも、非常に意識の高い層と、ほとんど気にしない層が一定数います。そして、トラブルを避けるためには、意識の高い層に合わせて取り組むべきです」(大洞氏)


個人情報を扱う企業への信頼度。中国やシンガポール、インドでも個人情報への懸念は強い。

すなわち、企業は安全な個人情報管理に取り組むのは当然で、消費者が「自分の情報を勝手に扱われることはない」「自分の意思で個人情報の取り扱いをコントロールできる」という仕組みを作り、それを表明することが大切だということだ。

「日本の消費者は、自発的に個人情報の防衛を行うことなく、『自分の個人情報は安全に、問題なく扱われているはず』と考える傾向があるように思います。そのため企業が、自分の意に沿わない個人情報の利用を始めて、情報漏えいなどを起こすと、『信じていたのに裏切られた』と、過剰な反感を買う可能性が高いのです」(大洞氏)

今後、IoTの発展により、世界中を行き交う個人のデータは増大していく。今回のGDPRのルールを、単に規制が厳しくなったと捉えるか、あるいは競争力を高めるための合理的なビジネスのルールができたと捉えるか。これからのデータとの向き合い方が、企業の未来を大きく分けていくことは間違いなさそうだ。

注釈:
(*1)1995年に採択された、EUの個人情報保護のための規定。「指令」は、その内容を各国が独自に自国の法律に反映させるために国ごとに違いがあったが、「規則」はEU域内各国に直接適用されるため、国による違いはない。参考: GDPR EU一般データ保護規則(KPMG)(外部サイト)
(*2)個人情報の保護に関する法律(外部サイト)
(*3)European Commission「Data protection in the EU」(外部サイト)
(*4)2018年7月20日の為替レート(1ユーロ=131.2円)をもとに算出
(*5)KPMG「日本企業にも対応が求められるGDPR」(外部サイト)
(*6)EU加盟国ごとに異なっていた、デジタル活用での技術や制度などを統一し、欧州全体で消費者や事業者がオンラインサービスにスムーズにアクセスできることを可能にし、成長を実現しようとする戦略。2015年5月に発表された。
(*7)消費者プライバシーデータに関するグローバル意識調査(外部サイト)

プロフィール

KPMGコンサルティング株式会社 テクノロジーリスクサービス/ディレクター 大洞 健治郎氏

情報セキュリティ管理態勢の構築支援や社内規程策定支援などのサービスを提供。KPMGグローバルプライバシーアドバイザリーグループのメンバーとして154カ国のメンバーファームと連携し、グローバル企業へ個人情報管理態勢の構築支援サービスを提供。

  • はてなブックマーク
  • follow us in feedly

Insight for Dの
ページにいいねしよう!

「いいね!」してInsight for Dの最新情報をチェック

Yahoo! JAPANのデータソリューションについて

Yahoo! JAPANのデータソリューションについて

Insight for Dの公式Facebookページ、Twitterでも最新情報や取材の様子を発信中。