欧州のデータプライバシーに関する法である一般データ保護規則(General Data Protection Regulation、以下:GDPR)がついに施行されました。施行に至るまでには、欧州のビジネス界にかなりの混乱が巻き起こり、いまだ騒ぎが治まる気配はありません。したがって、日本企業にさらに大きな混乱がもたらされることは想像に難くありません。大きな誤解があるようですが、GDPRによって欧州でのビジネスが困難になってしまう訳ではありません。その理由を今から説明しましょう。
複雑な規制
GDPRは確かに複雑な一連のルールです。理屈の上では、欧州住民の個人情報を扱う企業はすべて、ビジネスの拠点がどこに置かれているかにかかわらず、もっとも重大な違反をした場合に最大で2千万ユーロ(あるいは全世界年間売上高の4%)の制裁金が科せられる可能性があります。 それでも、世間の認識とは逆に、この規制は、正しいアドバイスを受け入れ適切で実践的なアプローチを取っていれば、不当な制限や義務負担を課すものではないのです。
セキュリティ対策
データの安全な保持および処理と、あらゆるデータ保護違反の報告を求めるGDPR規制は、基本的な望ましいビジネス管理です。 管理の行き届いた企業ならば、自身のビジネスを保護するため、何らかの形でこのような体制を整備しているはずです。GDPRをきっかけにこれまでのデータ保護対策を見直して管理を厳格にすることは、企業にとってもプラスになります。 要求に応じて個人データを公開、更新、または削除することが可能で、その用意ができていることを求める要件もまた、完全に理にかなうもので、企業に大きな負担を課すものではありません。
同意に関する誤解
最大の混乱を引き起こしているのは間違いなく、個人データの処理に関する法的根拠を取り巻く問題です。具体的には、企業は今後欧州内で取引するすべての個人から同意を得るという途方もない作業をクリアしなければならないと一般的に認識されています。 もしも、あらゆる個人データ処理の許可が本当に必要ならば、欧州は即座にビジネスの遂行が困難な市場になるでしょう。 実際問題として、欧州の個人データを処理することなく日本企業が欧州でビジネスを展開することは不可能です。欧州市場にビジネスを展開、現地のパートナーやサプライヤーを管理し、顧客の注文を取って製品を配送し販売後のサポートを提供するためには、個人データの処理がどうしても必要となります。 また、同意を得ることの難しさについては疑問を挟む余地はありません。今まさに購入を決め契約を結ぶ準備をしている状況でもないかぎり、積極的に自身の個人情報の扱いを許可しようとは誰も思いません。 しかしながら、許可が常に(または多くの場合に)必要になるというのは事実ではありません。同意は、データ処理に関する6つの法的根拠の1つにすぎません。
正当な利益の柔軟性
たとえば、商品またはサービスを提供する契約の履行に個人データの処理が必要な場合は、別の法的根拠があります。 中でも、もっとも柔軟な法的根拠は「正当な利益」です。これは、個人データを処理する正当な目的が存在し、その目的が「データ主体」の利益を不当に害するものでない場合に、許可を得ることなく個人データを処理できることを意味します。 実際には、個人データを処理する正当な理由(商業目的でも可)があって、それが不当な干渉にあたらない場合は、欧州市民の個人情報を処理することが認められます。これにはダイレクトマーケティングも含まれますが、GDPRに準拠しダイレクトマーケティングを合法的におこなうためには、自身の身元を証明し、明確で容易に理解できるプライバシーポリシーを規定し、求めに応じて簡単にオプトアウト(同意の撤回)できる手段を提供する必要があります。
厄介な問題
日本企業が欧州の消費者に対して販売をおこなう場合、特定のマーケティング行為に影響する可能性のある厄介な問題が1つあります。 欧州のプライバシーと電子通信に関する規制(Privacy & Electronic Communications Regulations:PECR)は、2003年から実施されておりGDPRと共に適用されますが、マーケティング情報を電子メールまたはテキストメッセージで個人に送信する場合は同意が必要であることを規定しています。 GDPRは現在、同意へのハードルを高く設定し、黙示的ではなく明示的な同意を要求していることから、今後は許可なく「ダイレクトメール」を電子メールやテキストメッセージで送るのは回避する必要があります。 ただし、これらの規制は消費者に向けて電子メールやテキストメッセージを送る場合にのみ適用されるもので、企業間のマーケティング活動には適用されません。
成功のチャンス
GDPRがいよいよ施行されますが、それによって欧州でのビジネスが困難になる訳ではありません。 世間の認識とは異なり、ビジネス上の顧客であれば、欧州市民の個人データを処理したり商品を売り込んだりする際に、必ずしも同意を必要としません。 肝心な点は、データ保護を保証する適切かつ基本的な仕組みを導入することです。英国の情報コミッショナー事務局(Information Commissioner’s Office:ICO)が、GDPRに対応するための行動指針「12-step guide」(「Preparing for the General Data Protection Regulation (GDPR) 12 steps to take now」)を公開しており、これは欧州全体に適用されます。 規制を明確に理解し、適切なアドバイスを受け、常識的なアプローチを取りさえすれば、GDPRが欧州でビジネスを成功させる機会を阻害する規制上の障壁になることはないでしょう。
About the Author ピーコック・ デヴィッド プロジェクト・マネージャー ヨーロッパ事業開発部門 中国で11年間勤務した後、2014年英国に帰国。2013年にイントラリンクに入社。ヘルスケア産業、情報通信技術、製造、金融、鉱業といった幅広い分野で経験を積む。日本企業のグローバルマーケット進出に向けた調査とその実施や、新しい技術やイノベーションの調達に携る。マンチェスター・ビジネス・スクールで、中国におけるビジネス・経営分野の修士号を取得。標準中国語が堪能である。