オリンピックイヤー2020年、どんな1年になるのか?
大きな期待と今までにない高揚感を感じながら新年を迎えました。
世界中が注目するスポーツイベントにより、2020年の訪日外国人数は
3,600万人、観光客一人当たりの消費額の増加が見込まれ、インバウンド消費は
3.5兆円引き上げられると予想されています。とてつもない経済効果が期待できます。
そのような状況が来る前に、公式ウェブサイトのGDPR対応は済んでいますか?
GDPR(General Data Protection Regulation)は、2018年に制定されたEU一般データ保護規則です。「EEA(European Economic Area)=欧州経済領域」の個人データ保護強化を目的とした新たなデータ保護法です。
EU圏内での法律なので、日本の企業には関係ないと思うかもしれませんが、特に宿泊業の場合は、世界中から宿泊先を探すユーザーが公式ウェブサイトに訪問してきます。
・公式ウェブサイトにEU圏内居住者からアクセスがある
・公式ウェブサイトでEU圏内居住者へサービスを提供する(=客室を販売する)
これらのどちらかに当てはまるのであれば、公式サイトはGDPR対応が必要と考えられます。
※注意:日本人で欧州に居住している方については「欧州居住者」とみなされます。
GDPRが定義する個人データは、個人を識別する可能性のあるすべての情報を指します。
Cookieなどのように、公式ウェブサイト訪問者が、気が付かないうちにに取得してしまう情報も個人データに含まれます。ちなみに、国内の個人情報保護法ではCookieは適用対象とされていませんでしたが、2019年11月28日の日本経済新聞の一面に個人情報保護法の見直しにCookieを含める新ルールを整えると報じられいました。
GDPR対応について、違反企業への罰則規定が厳しいため対応を急ぐ大手企業が増えています。
例:
データの取扱に対して、適切な技術的管理をしなかった場合→
「企業の全世界年間売上高の2%」または「1,000万ユーロ」のいずれか高い方。
個人データの処理や域外移転に関する、ルールを遵守しなかった場合→
「企業の全世界年間売上高の4%」または「2,000万ユーロ」のいずれか高い方。
など、対応不備による影響の度合いで制裁金が異なり、かなり厳しい内容となっています。
公式ウェブサイトのGDPR対応として、早急に見直すべき3つのポイントは、
1.プライバシーポリシー・Cookieポリシーを見直す
GDPRに対応したプライバシーポリシーやCookieポリシーになっているか?
プライバシーポリシーでは、個人データの利用目的、取得する個人データの種類、共同利用の有、訂正削除要求の受付窓口を記載することが必須となります。
2.アクセス解析ツールのGDPR対応を確認
公式ウェブサイトのアクセス状況を把握するために、アクセス解析ツールを入れて
計測している施設は多いと思いますが、アクセス解析ツールではCookieなどの個人データを取得しています。アクセス解析ツールでメジャーなGoogle Analyticsではデータの自動削除機能があります。今後はGDPRに対応しているアクセス解析ツールを使うことが重要です。
3.Cookie取得の同意管理
公式ウェブサイトに訪問したユーザーに対する、IPアドレス、クッキーなどのオンライン上での識別子の取得に関して、同意管理(Consent Management)を行う必要があります。2つの方式があります。
オプトイン方式:
企業などが個人情報を収集・利用しようとする場合、事前に本人の許可が必要であることを意味すること。
※同意する前にCookie等の取得はしてはいけない→ゼロクッキーロード
オプトアウト方式:
企業などが個人情報を収集・利用することができるということを事前に決め、本人に知らせておいた上で、後に本人に利用を制限できる機会を与えることを意味する。
GDPR対応は、オプトイン方式でのデータ取得が必須になります。
世界中から日本に注目が集まるタイミングだからこそGDPR対応は必須と考えます。
