新しい規制はいつも規制対象になる企業を振り回しますが、もちろんEUの新しい一般データ保護規則も例外ではありません。
このブログは、国際法律事務所 Taylor Wessing のパートナーであり、The EU GDPR:A Practical Guide の著者である Paul Voigt 氏へのインタビューに基づいています。ポッドキャストはこちらです。
この法案は2016年に可決されましたが、準備のために2年の猶予を与え、発効は2018年5月25日です。EU居住者の個人情報を処理する企業には、それほどの時間的余裕は残されていません。
発効日までに準備が整っていなければ、罰金を課されたり民事訴訟を起こされたりする可能性があります。それだけでなく、消費者の個人識別可能なデータの保護について十分に配慮していないという悪い評判が立ってしまう可能性があります。
企業がEUに拠点を置くかどうかは関係ありません。企業の規模も関係ありません。EU居住者の個人データを扱うすべての企業が、新しい規制を遵守する責任があります。
ここでは、GDPR発効に備えて準備している企業が見落としているかもしれない3つのポイントをご紹介します。
1. クラウド・コンピューティング
クラウド・プロバイダを選択する際、データ一般を保護する機能、特に消費者データに対して提供される保護レベルは、すでにビジネスにとって非常に重要な要素です(そのような視点での検討が行われていなかったら、見直すべきです)。クラウド・プロバイダは、ホストしているデータを適切に保護するという直接的な義務を負っています。
従来は規制への対策というよりマーケティング的な要素が大きかったのですが、GDPR施行によって重要性が格段に増大しました。
この点を戦略的に利用する会社もあります。たとえ顧客がEU居住者のデータを処理していない場合でも、GDPRの基準を満たしていると宣言することは、データ安全性を強調するマーケティング上の優れた方策です。
注意すべきは、クラウド・プロバイダ自身がすべての義務を負うわけではない点です。新しい規制の下では、クラウドの利用者も義務の一部を負担します。データをホストするために使用しているクラウド・プロバイダがGDPRの規制に違反していた場合、クラウド利用者が責任を負うことになる可能性があります。
したがって、EUの顧客を持つ企業は、今後クラウド・プロバイダを選択する際には、非常に慎重に検討する必要があります。
2. モノのインターネット
モノのインターネットにスマートフォンが絡んでくることは言うまでもありません。
GDPRコンプライアンスという観点からは、モノのインターネットの問題はそれほど明白ではないかもしれません。結局のところ、IoTは主にマシンデータを扱いますから。しかし、大量の消費者データもこれらのデバイスに潜んでいます。
アプリケーションに保存される消費者データの量は膨大です。スマートフォンやスマートデバイスのアプリに保存されないという保証はありません。
現在、IoTデバイスのプライバシーに関する懸念事項は、セキュリティ侵害の標的となる可能性が非常に高いことです。新しい規制によって、IoTの製造業者とプロバイダは、既存の製品について防衛を強化し、新しいデバイスを開発する際にはセキュリティ機能を倍増させるよう、より真摯な取り組みが求められます。
3. マーケティングとセールスのデータ
多くの企業がすでにマーケティングとセールスに顧客のデータを活用していますが、同じぐらい多くの企業がそれらのデータについても GDPR 規制が及ぶことを見過ごしている可能性があります。ビジネス・ツー・ビジネス(B2B)企業の場合は特に。
ビジネス・ツー・コンシューマー(B2C)の場合は、個人とのやりとりが多く、消費者向け販売のための大規模データベースを利用することになるので、顧客の個人データ処理に関して明らかに高い意識があります。そのため、個人識別可能なデータを流出させないように配慮する可能性は高いでしょう。
B2B企業であっても、GDPRを念頭に置く必要は免れません。基本的な取引相手は企業になりますが、B2Bのセールスおよびマーケティング担当者は、企業との取引を実現する際に個人情報を利用します。
この領域を見過ごさないようにする方法の1つは、顧客関係管理(CRM)システムを更新して、連絡先のデータを適切に保護することです。
まとめ
所在地がどこであっても、EU居住者の個人識別可能なデータを処理する企業は、GDPRコンプライアンス準備のための期限が2018年5月に迫っていることを認識する必要があります。
特に、クラウド・コンピューティング、IoT、マーケティングとセールスのデータのように、即座に思いつきにくいタイプのデータについて見落としをしないよう、しっかり確認することが大切です。