セミナーレポート

GDPRとは?日本の個人情報保護法との違いは?いまさら聞けない「GDPR」解説 #Web広告研究会セミナーレポート

2018年9月25日(火)、公益社団法人日本アドバタイザーズ協会 Web広告研究会が主催する 2018年9月度 月例セミナー「ターゲティング広告の今後はどうなる?〜GDPRとITP2.0から考えるこれからのターゲティング広告〜」が開催されました。
本記事では、Supership マーケティング事業本部 小嶋泰我(こじまたいが)によるGDPRを解説する講演の内容をレポートします。


Supership株式会社
マーケティング事業本部
小嶋 泰我

GDPRとは?日本の個人情報保護法との違いは?

GDPRとは、EUで定められた新しい個人情報保護の取り組みで、個人データの処理と移転に関するルールです。日本の個人情報保護法よりも厳格なルールが定められており、IPアドレスやIDFA、ADIDといったこれまで個人を特定する情報とみなされていなかった端末識別子が個人情報として取り扱われ、そのデータを利用する際はユーザーから明確な同意を得る必要があるなど、厳格な管理体制が必要となります。
GDPRではルールを守って取得・管理さえすれば、これまで使っていたデータが使えなくなるということではないのですが、ルールに則った体制構築のコストが膨大にかかる点と、もし違反の申し立てが認められた場合、数十億円規模の莫大な罰金が課せられる可能性があります。

早くも申し立てを受ける企業も

GDPR施行からわずか数日のうちに、米国大手のFacebookが早くも申し立てを受けたことが話題になりましたが、もしこれが認められるとグループ全体で4,950億円という途方もない罰金が課せられる可能性がある事態となっています。
参考:GoogleとFacebook、GDPR施行初日にさっそく提訴される/ITメディア
なかにはGoogle及びアドテク企業全体に関わるものとして、RTB取引自体がデータ漏洩だという申し立てもあります。RTBに利用されるビッドリクエストという情報のなかには、閲覧履歴やロケーションデータ、デバイスデータ、IPアドレスもなどが含まれており、ユーザーへの同意なしにこうした情報をやりとりするのはデータ漏洩となり違法ではないか?という意見です。
参考:Regulatory complaint concerning massive, web-wide data breach by Google and other “ad tech” companies under Europe’s GDPR / brave

もしこの申し立てが仮に認められることとなった場合、EU圏のアドテク企業はほぼ殲滅状態になってしまいかねない事態となりますので、EU圏に限らず業界全体でこういった申し立てに対する動向を追っていく必要があるかと思います。

EU圏からのアクセス遮断の対策をとる企業も多い

このような申し立てリスクから、日本やEU圏以外の諸外国のパブリッシャーや広告事業者ではすでにEUからのアクセスを遮断する対応をしている企業も多くなってきています。
ScaleOut DSPAd Generationなど、Supershipのアドプラットフォームも現在はGDPRへの対策に相当する範囲で海外からのアクセスを遮断対応しております。

GDPRのルールを守って今後もデータを取得・活用したい場合

それでも、GDPRのルールを守って今後もデータを取得・活用したい場合は、次の6つの要素が求められます。

GDPRを守りつつデータを取得/活用するための必須6項目

(1)データ保護オフィサー
 専門家・専門部署の設置
(2)外部委託先適用
 外部の委託先・協力会社との連携
(3)同意者システム
 消費者から明確な同意を得るためのシステム構築
(4)個人の権利保護強化
 国内基準ではなくEU基準での、個人情報の権利設定
(5)侵害発生時の通知体制
 トラブルが発生しても即時対応できる体制の構築
(6)データ保護影響評価
 取得するデータが影響する範囲の見極め、それに応じた保護設定

しかし、ここまで徹底した管理体制を構築するコストを用意でき、かつコストに見合う売り上げを出せる企業は、もともとEC圏内でビジネスをしている企業以外ではかなり少ないのではないかと思われます。

EU圏以外にも個人データ保護の波が世界に波及

シリコンバレーのあるカリフォルニア州では、新プライバシー法というものが可決されています。
GDPRほど厳格な内容ではないものの、一般ユーザーが企業の収集したデータや誰にデータを販売したのかを確認できる透明性を担保する内容になっており、GDPRのように管理体制までは厳しくないですが、アメリカ圏においても個人情報保護の波がひろがっている状況です。

参考:カリフォルニア州で新プライバシー法が可決–データ収集の確認や停止が可能に/Cnet

こうした流れから、近い未来のうちに日本でも同じような法律ができる可能性もありますので、日本の企業もGDPR問題は国外のこと、とのんびり見ているのでなく、しっかりと動向を追っていく必要があります。


以上、GDPRを解説する講演をレポートしました。

(次回、ITP2.0に関する講演を更新予定です!)→更新しました!

PAGETOP