III ウエブサイトのプライバシー対策 日本企業向けちょうど良いGDPR
日本企業向けちょうど良いGDPR
このページはウエブサイトの経営・運営・開発などの担当者の方が個人情報を利用する際のプライバシー対策についていくつかのテーマでご紹介しています。ページの最後には、お立場ごとへのアドバイスを載せております。専門すぎる内容や実務的な内容や技術的な記載はありません。このテーマに関することについて気になっていることがあれば、ウエブサイト運営事業者むけの無料で相談の対応をしておりますのでご利用ください。
ご覧の皆様が時折に目にする“GDPR”はEUの法規制でありますが、米国などがグローバル展開しているウエブサイトには必ず採用されているデータ保護のルールです。日本人むけのプライバシーサイトでもGDPRの全てを対応したほうが良いのですが経営資源が大きく必要となります。発想を転換して、世界基準であるが日本で義務ではないGDPRは、ユーザーのプライバシーデータ安全活用のツールという一面があります。GDPRの完全対応を追わず、無理せずほど良く採用することのはいかがでしょうか。
-書いているのはSTEKWIREDプライバシーコンサルタント
国内で唯一のプライバシー認証TRUSTeと個人情報保護資格CPAの認定機関として、OECDのプライバシー8原則の自己情報コントロール権のコンサルティングやプライバシー意識があがるわかりやすい研修、クライアント相談のソリューションとしてGDPRのプライバシー7原則のプライバシーリスク分析やちょうど良いフォーム改善やGDPR対応プライバシーステートメントを支援しています。急激な社会変化に適応できるようクライアント担当者を中心としたプライバシー対策を心がけています。-
情報化からうまれたGDPR
ウエブサイトで個人情報の収集がない会社では、担当者が顧客から集める書類が個人情報で窓口の担当者たちが収集している場合や情報発信のみで訪問者のアクセス解析もしないウエブサイトは、ユーザーのプライバシー侵害がありません。個人情報を何も収集して利用しなければプライバシー問題もありません。
個人情報を扱わないのが究極のプライバシー対策をしていたことになります。個人情報を収集しないプライバシー対策では、企業収益に結びつかないので、老舗業界の企業もウエブサイトでの情報収集の動きがありますね。
情報化前は人が個人情報の収集装置だった
情報化社会が始まる前まではヒトが顧客に説明して、書面に記入していただいたり、聞き取りをした情報収集をしていました。人が人から情報を得る場合には、窓口担当者が個人情報の利用目的を説明する必要があり、記入内容の確認なども行っています。
顧客は、窓口担当者の印象から不審であるか判断したり、信用できるかどうかを評価することができました。日本の高度成長は人が動きまわって営業活動をしていました。保険のセールスレディや新卒大量採用で親戚から契約をとるという手法なども多かったですね。
ウエブサイトは人より信頼しにくい
米国で情報ハイウエイ構想、日本で森政権のe-Japanで太平洋ケーブルでインターネットがつながり、インターネットの基盤ができました。当時のインターネット接続料金が高いため、深夜の電話料金が安い時間帯などにインターネットが利用されていました。その後に日本は携帯電話のブームでi-modeなどの携帯電話用ウエブサービスは普及しました。
PCのウェブサイトも携帯電話サイトも当時の技術と通信容量を少なくすることもあり、ウエブサイトのデザインは信頼を見分けることができるほどのものではありませんでした。ウエブサイトが存在するのか詐欺サイトか見分けることができないという問題から、米国でTRUSTe認証がうまれました。
スマートフォンとクラウドがデジタル社会をつくりだした
2011年ごろにはスマートフォン普及とクラウドコンピューティングでウェブサイトが個人情報の収集データの保存のための費用よりも個人情報から得られる利益が上回るため大量データ保存が可能な時代になりました。人が人から個人情報を収集する手間も時間も短縮し、システムが24時間365日稼働し大量の個人情報の収集処理がされるようになりました。
ウエブサイトが企業収益のための個人情報の収集装置として現在までいたっています。iphoneがもたらしたスマートフォン普及は、外出先からネットへアクセスできるため、サービスのオンライン化の弾みをもたらしました。
ビックデータ×AIなど未来から守るためのGDPR
2018年にはスマートフォンが社会と常時つながっていて、あらゆる行動の情報を企業に収集されてるようになりました。そのビックデータはAIで学習され評価データによるプライバシー侵害の可能性がある未来を防ぐためにGDPRが発効されました。
GDPRはEU域内の個人情報を囲い込み、米ITが扱う場合にはデジタルのプライバシー情報を基本的人権として配慮する義務を課し、できなければ巨額制裁とするものでした。
新テクノロジーにはプライバシーのリスク
GDPRは、私生活のデジタル情報はプライバシーなので取り扱いのルールを守らなければ、犯罪目的でなくてもGDPRの違反になります。プライバシー侵害は、営業活動に力をいれている企業の行動が既に該当しているというショッキングが事実があります。
人類のインターネットの発展に最も貢献しているアルファベットのGoogleサービスもプライバシーに関しては問題がある企業になっています。またFacebookやAmazonのビジネスはプライバシー侵害でGDPRの制裁を受けています。
AI処理のユーザー評価には事前対策が必要
デジタル社会で一般企業でもウエブサイトのデータ処理に外部サービスが利用できます。ChatGPTの業務利用などのトレンドもあります。他方でGDPRではAI処理でユーザーの評価をする場合にはプライバシー影響評価が義務付けられていたり、EU AI法で取り扱いの制限があります。
日本では、AIについては言及はしていませんが、リクルートキャリアの内定辞退率問題などがあると行政処分になります。欧州ではテクノロジーが社会を破壊する前の対策を考えますが、日本は社会問題化したあとに対策をします。プライバシー問題は発生すると取り返しがつかないため予防が合理的です。
プライバシー保護執行役(DPO)の設置が必要
GDPRでは、解任されない権利を持つプライバシー保護執行役(DPO)が、社員教育や内部監査、開発されたサービスや大量広告のプライバシー影響の評価などを実施し、データを扱うサービスがプライバシー原則に適したものになるように設計を指示するなどの役割が必要です。
ユーザーの人権保護のためにあらゆる部分で対応をするというのはかなりコストがかかります。グローバル企業は膨大なコストをかけていると思われます。
ウエブサイトは個人情報収集装置
デジタル時代のプライバシーは人権
新しいテクノロジーはプライバシー問題のリスクがある
GDPRはプライバシー問題の予防を推奨する
完全GDPR対応でなくてもウエブサイトでできる対応を
プライバシー侵害は構造的問題
無料のインターネットは個人情報が支えている
ウエブサイトやアプリを利用したオンラインサービスが、個人情報から価値を生み出すときに、より高付加価値となるのはプライバシーに関わる個人情報です。インターネットで個人情報を価値に換える手法の大部分は広告です。ユーザーの行動から広告を利用して購入する可能性がある人に広告掲載をすると、広告主に売上があがります。
ユーザーが購買する機会と売上が増える期待値が高まると広告料金に反映ができます。Googleのインターネットの無料検索サービスは、ユーザーの広告費によって賄われていてそのビジネスモデルは今も続いています。個人情報に価値があるから無料サービスを利用できていて、ある意味、お金の代わり個人情報で払っているようなことかもしません。
収益獲得のための個人情報の利用
資本主義経済では企業は売上と利益を時間とともに増加させる使命があります。ウエブサイトは個人情報の収集装置として、プライバシーに関わる情報を収集し利用できるほど価値を生み出す可能性を高めます。
Googleの場合は無償サービスをどんどん提供して、Googleのアカウントを便利にしてユーザーのプライバシーデータをどんどん集めて広告に利用していた結果、GDPRでプライバシー侵害となり、制裁を受けました。資本家が認める成長がなければ事業継続がままなりません。個人情報はより広告効果の高い付加価値のあるものへと発展させる必要があります。
個人情報の利用の説明が不十分としてGDPR制裁
Googleは広告ビジネスを拡大して、ユーザーが自分の個人情報の収集や利用のされ方が理解できない事態まで発展した結果としてGDPRの違反として5000万ユーロ(64億円)の制裁金になりました。
GoogleはGDPRの対応としてプライバシーセンターでユーザーのプライバシーについて説明をしていますが、ユーザーにとってGoogleの広告の説明は不十分でした。Googleの広告が複雑すぎると、丁寧な説明をしても理解できない人ができてしまうというリスクがあります。
マーケティングの局所最適化
ウエブサイトやアプリを利用したウエブサービスは、利益目的でプライバシーデータの収集や利用を進めるとユーザーが許容するプライバシー侵害を超えてしまう可能性があります。
amazonがGDPRの違反で970億円の制裁を受けました。つまり、一般のウエブサイトも個人情報を価値に換える目的であるならば、マーケティングの局所最適化の先にはプライバシー問題が待っています。利益を得るためにプライバシー情報を利用しており、本人の同意やマーケティングの拒否の仕組みなどによるデータコントロールができなかったことが問題なのかもしれません。
影響力が大きいと対策しても制裁の対象となる
資本主義社会で企業が個人情報から価値に変換し継続成長する行為がプライバシー問題に発展する可能性があって、GAFAMはGDPR対策を十分に検討して、対策をしたうえで制裁となっているので、データ利用の影響が大きすぎると対策を講じても防ぐことはできないかもしれません。
GDPRの原則に対応していてもGAFAMのようなプラットフォームでは違反を防ぐことができません。影響力が大きい場合にはその許容範囲があるようです。Googleグラスはプライバシーの影響を考慮して一般販売をやめています。
企業成長には個人情報の付加価値化が開発される
GAFAMはGDPRに全力対応してもGDPRの制裁をうける
広告やマーケティングの局所最適化はユーザーのプライバシーを侵害してしまう
GDPRのプライバシー対策はプライバシーバイデザイン
GAFAMクラスのグローバル企業はGDPRを全社的に取り組んでいますが、そこまでいかない企業ならプライバシー問題がおこらないかといえばそういうことはありません。一般的な企業でもウエブサイトでプライバシー侵害を起こさないようにするためにサービス導入前に設計時点からユーザーのプライバシーの影響を考えておく方法をプライバシーバイデザインと呼びます。
カナダのアン・カブキカアン博士が提唱したもので、GDPRのプライバシー原則をベースにサービスの設計を見直すことがプライバシーバイデザインへの対応と呼びます。OECDおよびGDPRのプライバシー原則のいずれかを反映したウェブサービスの設計をプライバシーバイデザインとよびます。
余談ですが、TRUSTeはOECDのプライバシー原則の個人情報保護認証です。GDPRのプライバシー原則の認証はありません。OECDのプライバシー原則の要素を受け継いで発展したのがGDPRのプライバシー原則なので、GDPRのプライバシー原則の採用がおすすめです。
GDPRはオンライン識別子の全てを対象としたデジタル社会のルール
日本では法律は権利者であることが前提として必要とされるため、個人に関する情報は個人に関する情報としていながらもそれが誰であるのかの特定ができるかという点が重視されていました。2005年に施行されてからずっと個人情報を識別子に置き換えたものについてはグレーゾーンになっていました。グレーゾーンというのは「携帯電話は数字だけだから個人情報でないない。」という意見を持つ人が一定数存在していました。
人に関するデジタル識別子はプライバシー保護の対象に
日本では個人情報保護法の2017年改正で情報化で個人を番号や記号で識別できるものを定義とすることで解決はしていますが、Cookieがアクセス解析や広告効果に利用されている状況で法律の対象とした個人情報と日本では認識していない割合が高いのではないでしょうか。
GDPRは個人データの定義に全てのオンライン識別子を対象としているデジタル社会のルールとしていて、Cookieは個人データです。デジタル社会で自然人に付与した識別情報は対象というシンプルな定義です。インターネットで誰かの行動がある場合にはデジタル識別子が利用されるため、誰かのオンライン行動や監視データはプライバシー保護の対象になります。
Cookieをリアル店舗でイメージすると
Cookieを冷静に考えると人にトラッキングコードをつける行為がプライバシーに関わる問題です。リアル社会でイメージしてみると、あなたがショッピングモールに行ったとして、あるショップにふらりと立ち寄ったら、知らないうちにシリアルナンバーの来店管理シールがカバンに貼られているようなものです。
来店管理シールは他の店舗でも共通に読み込みができて、あなたが見かける広告をいつも同じにすることができます、ストーキングは気持ち悪いですよね。また、数日後にショップに訪れたときに来店管理シールをスキャンして再訪問を管理しています。ウエブサイトはブラウザに収納できるので無意識のうちにされています。なので、貼る前に来店管理シール貼ってよいかの同意をとったり、マーケティング利用の拒否ができたりするのがGDPRのルールです。
ユーザーの気持ちを配慮したプライバシー原則
Cookieをリアルで想像したように、デジタルのデータ利用をユーザーの視点でプライバシー侵害を感じないための方法をアラン・ウエスティン博士は見つけました、1980年の個人データの国際流通のためのガイドラインにOECDのプライバシー8原則が含まれています。世界の個人情報保護法はこれがベースとなっており、日本もOECDプライバシー8原則をベースに個人情報保護法がつくられています。
GDPRのプライバシー7原則はOECDのプライバシー8原則の発展版
GDPRのプライバシー7原則はOECDのプライバシー8原則をベースとしてデジタル社会での人権保護の観点から発展させたものです。個人情報保護法はEUからGDPRの水準であることになっています。乖離については改正法で追加されてゆく流れです。
なので、個人情報保護法の対応を考えるよりもGDPRのプライバシー原則に適応しようとすると自然に上位互換されます。個人情報保護法を守っても国民に被害が発生したら事業者に責任があるため、よりアクティブにプライバシー保護を取り組むことが賢明です。
ウエブサイトはデータ収集装置からユーザーのコントロール装置へ
ウエブサイトが個人情報の収集装置というのは2000年~2018年くらいまでの状況ですが、アプリのデータやリアルのアクティビティ情報なども扱うようになりマイページなど個人情報のコントロール装置になっています。
GAFAMでなくても外部サービスの活用によって、顧客のプライバシーデータを扱うことができるようになっています。ユーザーがデータをコントロールできることは、自己情報コントロール権で重要な要素になっています。
プライバシーバイデザインの要素の例
GDPRのプライバシー7原則で市場投入前にプライバシー保護ができているかをチェックすることをプライバシーバイデザインと呼びます。市場投入後の市場の反応をみて修正する方法ではプライバシー問題があった場合に炎上など深刻な問題に発展する恐れがあるため、事前対応(プロアクティブ)をします。
ウエブサイトではどのような点があてまるかについてご興味があると思いましたのでセルフチェックができるようにいくつかの要素を用意しました。
🔲あてはまると問題であること
[ ] 児童からの個人情報の収集をしていないか?
[ ] センシティブ情報の個人情報を収集していはいないか?
🔲あてはまると問題がないこと
[ ] 個人情報の収集フォームでは収集される項目についてそれが何に利用されるのかをわかりやすく説明して、同意を得ているか?
[ ] AIがサービスの利用される場合にはプライバシー影響を事前に評価しているか?
[ ] 大量の広告を利用する場合にはプライバシー影響を事前に評価しているか?
[ ] 個人情報の収集は暗号化通信およびデータの暗号化保存をしているか?
[ ] Cookieを収集する前に利用目的を説明し、同意を確認したうえで収集しているか?
[ ] 個人情報の取り扱いについて説明しているプライバシーステートメントのような文書があるか?
[ ] 収集する個人情報の種類や利用目的、Cookieの利用目的やオプトアウトの手段があるか?
[ ] 安全管理の実施内容を公表しているか?
[ ] 個人情報のコントロールできる方法があるか?
[ ] 自動処理される個人情報やマーケティングの拒否ができるようになっているか?
[ ] 個人情報の苦情の連絡先などが公表されているか?
[ ] 委託先のサービスについての公表されているか?
Cookieもリアル社会で考えるとプライバシー侵害がわかる
プライバシー原則はユーザー目線でできている
プライバシー原則でチェックした設計はプライバシーバイデザイン
GDPRの対応はどこまですべきか
EU向けビジネスであればGDPRは厳守すべき
GAFAMは中国を除く世界中にサービスを提供するグローバル化企業であるため、GDPRはEU経済圏だけでなく、世界のサービスの基準にしています。プラットフォーム開発でEUとその他で別々に開発をするとサービスが別ものになってしまうので、プライバシー保護の高い水準をプライバシー意識のまだ低い国にも提供するほうが合理的です。
プライバシー侵害の深刻さで制裁がきまる
EUに拠点をおいたり、日本国内でもEU居住者向けのサービスを提供するならばGDPRは厳守すべきです。GDPRはグローバル化に対抗するための規則で本来はEU経済圏内で個人情報を活用する目的とEU市民のプライバシーの人権を守る目的のルールです。
外国企業がEU人の人権をないがしろにした場合には制裁をかける権利があるというルールです。プライバシー侵害の深刻さによって、EUの当局の判断となるようです。
日本人向けならちょうどいいGDPRがおすすめ
日本企業が主に日本人向けのサービスをする場合には、GDPRで保護される権利主体が存在しないので厳密に守る義務はありません。GDPRの義務にはデータ保護オフィサーというプライバシー保護の役員の設置も含んでおり、サービスおよび全社の取り組みが必要になります。
日本人向けサービスではそれらをしないで、ウエブサイト開発部門でしたほうが良いと思うことをとりあげればちょうどいいGDPRの対策、プライバシーバイデザインになります。
GDPRは実行にこそ価値があります
GDPR対応という言葉で厳密にGDPRに対応するにはGAFAMなど巨額のコストと努力が必要です。それでいて、GDPRの義務が守れていないと虚偽になるので、プライバシーマークやTRUSTeのような認証マークを保持しているとアピールをするようにGDPR対応を表明するのはお勧めしません。
できていない部分が明らかになると嘘を公表するのは非常に高いリスクになります。GDPR対応という表現はリスクとコストが高くて、GDPRの考えの反映は顧客とのプライバシートラブルを予防したり信頼回復の可能性があります。日本企業は認証マークだけ取得して実態がないほうが得と思いがちですが、欧米企業は行動を評価するため実態がないと訴訟のリスクに反映します。
日本のユーザーもプライバシー意識が高い
むしろGDPRのプライバシー原則は、ユーザーがプライバシー侵害を感じないようにするためのデジタル社会の人権保護の観点でつくられているので、理解してウエブサイトのデザインやサービス設計に採用するとプライバシートラブルの予防になります。日本ユーザーはGAFAMのプライバシー保護を経験しているためGDPR水準のプライバシー保護を当然と認識しています。
プライバシー配慮と顧客満足は近い場所にある
GDPRのプライバシー原則を日本人向けに提供し、改善のたびに品質を向上させるという考え方がお勧めです。日本は顧客満足を経営方針に組み入れている企業が多いため、顧客の満足を提供するためにプライバシーに踏み込んだ場合には丁寧に扱うということがGDPRのプライバシー原則で実現できると思います。
ポジション別のアドバイス
代表者や役員の方
これをお読みになっている方が経営者であった場合には、ウエブサイト部門やカスタマーサービス部門、マーケティング部門のそれぞれの報告から、自社のウエブサイトのプライバシー品質の高さを想像してみてください。経営者の優先順位の中にプライバシー保護が入っていることを確認しましょう。
デジタル広告などを強化し、ウエブサイトで顧客を強引にコンバージョンを獲得させている場合には、サブスクリプションのチャーンや会員の退会なども多く、プライバシーデータからの収益化の優先順位が高く、顧客ロイヤルティは下がっているかもしれません。プライバシーの優先順位が低いかもしれません。
顧客のプライバシー情報から収益化がされていない場合は、顧客のストレスを緩和を意識して、マーケティングによる収益化や付加価値となるサービス開発を進めても良いと思います。データからの収益化と同時にプライバシー対策としてすすめたほうが良いと思います。少子化でマーケットの伸びが鈍化しているので、顧客ロイヤルティのためのプライバシー保護が役に立つと思われます。
ウエブサイト部門の方
これを読まれた方がウエブサイトの部門の方であった場合、ウエブサイト運営部門は、新しいテクノロジーの採用やデータ処理を行う部分であるため、全社的なGDPRの対応までの責任を考える必要がないと思います。
むしろ、ウエブサイトが利用した外部サービスの委託先がプライバシー問題がある場合には、発注者がプライバシー問題の責任を負います。リクルートキャリアを利用したクライアントはAI内定辞退率を利用したことで行政処分をうけています。
ウエブサイト運営部門の責任範囲で、プライバシー問題を発生させないことだけ考えて、無理をしないで賢くGDPRのプライバシー原則を採用しましょう。
プライバシートラブルの一番ちいさいものはSNSで御社のサービスの良くない評判のレピュテーションリスクです。顧客の一部はカスタマーサポートに連絡をしてきます。行動ターゲティング広告で集客した人でプライバシー意識の高い人はSNSを参考にサービスの利用や購入を離脱したり、解約などのチャーンレートに反映します。
ウエブサイト事業部門が売上と売上減少に直接のかかわりがない場合にはコストセンターとして予算計画でリニューアルの予定がある際にプライバシー対策を組み入れるのが良いと思います。リニューアルのタイミングでその予算を活用してプライバシー対策をすすめるのが合理的かもしれません。GDPR厳守は予算がいくらあっても足りませんので、ちょうどいいGDPRの採用をおすすめします
広告代理店・ウエブ制作会社の方
これを読まれた方が、広告代理店やウェブサイト制作会社などでウェブサイトリニューアルの制作の案件がある場合には、クライアントのサービスがユーザーから見てプライバシー侵害のストレスを感じるものであるかどうかを確認しましょう。
広告代理店として行動情報の分析と行動ターゲティング広告の出稿が多い場合には、個人情報からの収益化がすすみ、ユーザーがプライバシー侵害を感じている可能性もあります。広告コミュニケーションのタイミングやボリュームを調整したり、新しいマーケティングの導入時にはオプトアウトの権利がわかるようにしましょう。
クライアントが顧客情報の収益化があまりされていない場合には、顧客の信頼を得られるように丁寧な情報開示と同意取得でプライバシー情報を更に獲得したり、適度なマーケティングを実施をしましょう。
広告代理店もウエブ制作会社でリニューアルの相談を受けている場合には、クライアントサイトがプライバシー保護の対策の実施ができていない場合にはGDPRを提案しましょう。サイトリニューアルの提案のオプションでGDPRのプライバシー原則対応を提示すると競合他社からはないアプローチになると思います。STEKWIRED PRIVACY Divisionにご相談いただければ、実務は全てこちらがおこない、広告代理店・ウエブ制作会社経由の請求で対応します。サイトリニューアルそのものSTEKWIRED CREATIVEがデザインおよび運用も担当します。
ウエブサイトの個人情報の責任がある方
自社のウエブサイトやサービス運営が顧客の個人情報の取り扱いの説明や同意なしに利用しているなどの不安がある方については、当社のプライバシー支援部門がオンラインで個別相談会を実施しますので、ご相談内容をお送りください。オンラインにてご相談をお受けします。
note読者法人向け プライバシーリスク個別相談会
note読者法人向け プライバシーリスク個別相談会フォーム
note読者法人向け プライバシーリスク メール相談フォーム
note読者法人向け プライバシーリスク メール相談フォーム
一般ユーザーの方
当社では一般ユーザーの方向けの支援をしていないので個別のアドバイスを行うことができませんが、お読みいただいたご縁がありましたので少しだけ。
GAFAMはユーザーのプライバシーから収益化するために手を替え品を替え新しいサービスやプライバシーに関する情報を扱ってゆきますが、GDPRの制裁によって収益を奪われることを恐れているためユーザーは守られます。
外国サービスで中国共産党は国家情報法で他国の個人情報を集めているため中華資本のアプリやウエブサービスやスマートフォンや家電やEVから個人情報が中国共産党に収集され利用される安全保障のリスクがあります。危険なプラットフォームやデバイスが存在するため距離を置きましょう。
次の記事はこちら
この記事が参加している募集
この記事が気に入ったらサポートをしてみませんか?