• ホームページ
  • 記事
  • 技術
  • EU一般データ保護規則(GDPR)とは何ですか?それはオンラインビジネスにどのように影響しますか?

EU一般データ保護規則(GDPR)とは何ですか?それはオンラインビジネスにどのように影響しますか?

公開: 2018-06-04

受信トレイにプライバシーポリシーを更新するメールが殺到していませんか? それには理由があります—そしてその理由は一般データ保護規則(GDPR)です。

最近、誰もがGDPRについて話しているようです。 しかし、なぜ今なのか?

実は、GDPRは過去7年間作業を続けています。 しかし最近、このデータ保護改革が本当に何を伴うのかについて合意がありました。

基本的に、GDPRは、欧州市民の個人データをより詳細に管理するために設計された一連の規制です。 それとは別に、この改革はオンライン世界の一般的な同意とプライバシー法も規制し、データ処理とストレージ全体の新しい標準を作成します。

組織の少なくとも50%は、運用を大幅に変更しない限り、GDPRに準拠するのに苦労すると述べています。 そしてこれはヨーロッパの規制かもしれませんが、それはヨーロッパに影響を与えるだけではありません。

欧州連合は最近、英国で製品やサービスを提供する企業向けの新しいオンライン規制を可決しました。 幸い、GDPRに準拠することで、さまざまな点でビジネスに役立ちます。

世界中のオンラインビジネスは、新しいGDPR規制に準拠することをお勧めします。GDPRは、欧州連合内のすべての企業、およびEU内のクライアントや企業に製品やサービスを提供するEU外の組織に適用されます。 あなたの会社が英国のデータ保護法に該当する場合、おそらく、世界中の企業の大多数はGDPRに準拠している必要があります...あなたを含みます。

このように考えてください。Facebookの本社はアメリカにありますが、ヨーロッパや世界中に住む人々はFacebookにサインアップできます。 したがって、Facebookはヨーロッパ人にサービスを提供し、そのデータを収集しているため、Facebookは主にアメリカにありますが、GDPRに準拠している必要があります。

ただし、GDPRに準拠することを恐れないでください。 技術的にはそうである必要はありませんが。

GDPRコンプライアンスは、あなたにしか効果がありません。 すべてのデータを安全に保ちながら、顧客(または電子メールサブスクライバー)に関する個人の機密情報を処理するシステムを使用します。 実際には、誰もがGDPRの恩恵を受けることができます。

GDPRの良いところは、データ収集に関する厳格なルールとガイドラインが付属していることです。 つまり、ぼやけた線や規制がなくなります。 ただし、これは、GDPRに準拠する必要があるユーザーが、新しい規制に準拠しない場合、ペナルティに直面することも意味します。

データ処理には、データの処理を担当する人(または機関、当局など)と管理を担当する人の2種類があります。 この設定では、誤用が発生した場合、双方が完全に責任を負いますが、全員がデータ保護に関する規則に従えば、侵害の可能性は低くなります。 GDPRの前は、データに何かが起こった場合の実際の解決策はありませんでした。

あなたのビジネスがGDPRに準拠する方法

GDPRに準拠するための最初のステップは、収集したデータをよく確認することです。 そのデータは個人的なものですか? そうである場合は、GDPRの規則と規制を適用する必要があります。

いずれかのデータ(その一部またはグループ全体)が個人を識別できる場合、それは個人データです。 その場合、あなたはこれらの個人から同意を得て、彼らのデータがどのように使用されるか、そしてどのくらいの期間彼らに知らせる必要があります。 また、あなたは彼らにあなたが持っているデータへの洞察を与え、彼らが望むならそれを削除することを彼らに許可しなければなりません。

個人データの典型的な例には、名前、住所、写真が含まれ、IPアドレスでさえ個人データと見なされます。

さらに、データを削除したくない場合は、そのデータを保護するために特定のアクティビティを実行する必要があります。 そのための方法の1つは、仮名化です。

偽名化とは何ですか?

名前は複雑ですが、アイデアはかなり単純です。 仮名化はデータ管理手法であり、主な目標は、追加のデータを使用しない限り、データを人にさかのぼることができないようにデータを非個人化することです。これは鍵のようなものです。 そのキーがないと、暗号化された元のデータを見つけることができません。

GDPRには、これらすべての暗号化されたキーの保存に関するルールのリストもあり、離人症のプロセスと情報を安全に保つことができます。

個人データと暗号化されたデータはどちらも異なるパズルのピースを表しており、方程式から1つを取り出すと、全体像を見ることができません。

仮名化と暗号化の違い

類似点はありますが、主な違いは明らかです。 暗号化は決まっておらず、それを実現する方法はいくつかあります。 最終結果は同じです–データは保護され暗号化されます。

暗号化と仮名化の違いは、暗号化されたデータを元の暗号化されていない状態に戻さない限り、処理できないという事実にあります。 仮名化では、個人データを一時的に匿名化するだけなので、データ処理中に誰も実際の人に接続することはできません。

基本的に、暗号化ははるかに安全で完全ですが、技術的にも非常に複雑であり、仮名化により、データの機密部分のみを暗号化できます。 これは、公開アンケートを実施し、回答が匿名である実際の状況に大まかに変換できますが、最終的な結果は同じです。つまり、探していたデータを取得できます。

GDPRと効果的なデータ保護

GDPRに準拠する場合、企業はデータを処理するために仮名化を使用する必要があります。 彼らはそうしないことを選ぶことができますが、彼らは数百万ドルに達する可能性のある複数の罰金に直面するでしょう。

仮名化を使用すると、データは分析、探索、統計の研究に使用できますが、データ所有者の同意を得て使用することもできます。 また、企業はその同意をすぐに利用できるようにする必要があります。

仮名化とは別に、このデータを確実に保護するために企業が実装できる技術ソリューションがいくつかあります。 可能であれば完全な暗号化に到達するのが最善ですが、それ以外の場合、企業は現在のシステムがポリシーの変更を維持できることを確認できます。

データを保護するもう1つの方法は、適切なシステムを強化することです。 システムに必要な保護手段を構築するだけでなく、開発の初期段階からそれらが製品やサービスに組み込まれていることを確認してください。

GDPR規則は、2018年5月25日に適用を開始します。この日付以降、すべてのEU組織および企業はGDPRに準拠する必要があります。

GDPRのメリットは何ですか?

  • データ漏えい、ハッキング、誤用が少なくなります。
  • データ保護は、最初からすべての製品またはサービスに組み込まれます。
  • 仮名化などのデータ保護メカニズムを使用している場合でも、企業は必要なデータにアクセスできます。
  • 新しいジョブが作成されます。
  • 人々は自分のデータを完全に制御できます。
  • 企業は、データがハッキングされた場合に消費者に通知する必要があり、隠蔽を制限します。

法律があなたのビジネスにどのように影響するかについて心配していますか? DesignRush Daily Doseにサインアップして、最新情報を入手してください。

GDPRの罰則と罰金

多くの企業はGDPRは単なる迷惑だと考えていますが、罰金が巨額であるため、新しいGDPR規則に準拠するように奨励されています。 罰則は、1,000万ユーロ(1,150万ドル以上)から2,000万ユーロ(2,300万ドル)の範囲であり、企業の年間世界売上高の2〜4%であり、一部の企業にとっては数十億ドルに相当する可能性があります。

データの洞察とデータの削除に対する人々の要求を無視して、許可なくデータを転送した場合、企業は罰金を科される可能性があります。 罰金は、違反が発生してから最初の72時間以内にユーザーや当局に通知しない企業にも影響を与える可能性があります。 罰金が科せられる可能性のあるもう1つの例は、GDPRのルールとコンプライアンスの責任者(組織内のデータ保護の責任者)を任命しないことです。

データ管理者の任命

処理、監視、行動追跡など、機密データを扱うすべての組織は、データ保護責任者を任命する必要があります。 つまり、デジタルマーケティング戦略を使用する企業は、おそらくGDPRに準拠している必要があります。

DPOであるためには証明書は必要ありません。また、データ保護責任者を誰にするかについては、実際の法律ではなく、一連のガイドラインのみがあります。 主に、その人はデータ保護法の経験と理解を持っている必要があり、会社が準拠していることを確認するための活動を実行する必要があります。 会社が準拠していない場合も、その人が責任を負います。

また、会社の規模によっては、リスクを最小限に抑え、データ保護を最大限に高めることに専念するDPOが1つだけ、または部門全体が存在する場合もあります。

GDPRをコアバリューにする

GDPRが真剣に受け止められ、会社によって実行されることを企業が保証できる方法はいくつかあります。

  • スタッフトレーニング
  • ポリシーレビュー
  • HR規制
  • 内部監査
  • データの使用に関連するすべてのプロセスとアクティビティを文書化する
  • データ使用の最小化
  • 仮名化のような戦術を使用する

企業がGDPR法を準備する方法

社内のマーケティング部門は、一般的にユーザーからの機密データを使用する部門ですが、社内のデータを誰が処理するかは問題ではありません。 会社全体が準拠している必要があります。プロセスを簡素化するためのチェックリストを以下に示します。

ステップ1-データ保護責任者を任命する

すべての内部プロセスを監督および改訂し、会社がガイドラインに準拠していることを確認する人が必要です。 社内にそのような役割を果たすことができる人がいないと思われる場合は、できる人を雇うことを検討する必要があります。 また、現在のスタッフがGDPRについてさらに学ぶために受講できるGDPRトレーニングがあります。

ステップ2-メーリングリストを確認する

メーリングリスト全体を完全に改訂します。 新しいプライバシーポリシーの更新に関して必要な電子メールを送信し、データをあなたと共有したいかどうかを人々に尋ねます。 同意が得られない場合は、リストから削除してください。 Eメールマーケティングの自動化を使用する場合は、ヨーロッパのユーザーをセグメント化する新しいリストを使用するだけで、ユーザーの同意を得ることができます。

ステップ3-データ保護責任者を通じてマーケティングキャンペーンを承認する

マーケティングスタッフがロープを学ぶまで、DPOはマーケティングキャンペーンを監督し、開始前にそれらを承認する必要があります。 このようにして、すべてが正常であり、GDPRに準拠していることを確認できます。

ステップ4–データフローとプロセスを文書化する

あなたの電子メールリストが淘汰される可能性がありますが、あなたが今知っているように、それは必要です。 ただし、今後のすべてのデータ収集もGDPRに準拠していることを確認する必要があります。 データ入力ポイントも安全に保つ必要があります。 これには、ニュースレターの登録、すべてのアカウント登録、さまざまなイベント、購入リスト、パートナーへの転送データの保護、およびあらゆる種類のデータの使用と収集が含まれます。 ユーザーは、すべてのデータ操作に同意する必要があり、データを使用して実行するすべてのアクティビティを明示的に指摘する必要があります。

ステップ5–プライバシーポリシーを更新する

ウェブサイトに簡単にアクセスできるプライバシーポリシーページがあることを確認してください。このページでは、データの収集方法と処理方法、およびデータを保護するために実行するアクションの概要を公開できます。

ステップ6–GDPRに関するスタッフと管理者のトレーニングを実装する

すべての意思決定者とマーケティングスタッフに、データ保護と適切なプロトコルについて教えます。 これを拡張して、すべての従業員に新しいルールとプロセスについて教育することもできます。 これは、セミナー、トレーニング、小冊子やオンラインマニュアルの配布など、ビジネスに役立つものなら何でも行うことができます。

ステップ7–会社が使用していないデータを削除する

GDPRに準拠するための手順の1つは、可能であれば日常のプロセスで使用するデータを最小限に抑え、必要がなくなったときにデータを削除することです。

ステップ8–再検証

すべてのヨーロッパの居住者に電子メールを送信し、彼らがあなたのリストに載りたい場合は彼らの同意を更新するように要求します。 これは、電子メール、モバイルアプリ、またはダイレクトメールを介して行うことができます。 GDPRポリシーでは、以前にリストから登録を解除した個人に新しいメールを送信することを固く禁じています。

GRPRに従ってデータプライバシーにアプローチする技術的な方法はいくつかありますが、どれがあなたのビジネスに適していますか?

デフォルトのプライバシーと設計によるプライバシー—違いは何ですか

この新しいGDPRの時代に認識され、遵守されるべき2つの新しい用語があります。 基本的に、新しい製品やサービスには、GDPRルールに準拠するメカニズムが組み込まれている必要があることはすでに述べました。 設計によるプライバシーとは、企業がプロジェクトの初期段階やプロジェクトの残りのライフサイクルにおいても、データ保護ポリシーを含める方法を事前に検討し、計画する必要があることを意味します。

データ処理者はデフォルトでデータのプライバシーを保護する必要があります。つまり、データ所有者以外は個人データを利用できません。 また、処理者は、処理の目的で必要最小限の個人データのみを収集し、完了後にこのデータを保存する必要はありません。

プロセスを自動化するためにできること

これらの問題の多くを解決する技術的なソリューションを確保するようにしてください。 たとえば、特定の個人データを自動的に削除するソフトウェアである可能性があります。

再評価とテスト

起こりうる違反を阻止し、GDPRに準拠するために、企業はさまざまなテスト、ケーススタディ、および再評価プロセスを実行することをお勧めします。

すべての新しいシステム、メディアキャンペーン、プロジェクト計画アクション、または同様のものについて、GDPRコンプライアンスチェックリストを作成します。 そうすることで、従業員はプロセスを迅速に評価し、プロジェクトが順守できず、何らかの方法でデータを悪用した場合に担当者に通知できます。 確かに、企業や従業員はこれらの追加された手順を負担と考えるかもしれませんが、後悔するよりも安全である方が良いです。

それらの百万ドルの罰金を覚えておいてください。

新しいデータ収集ポリシー

以前に収集されたデータを保護することとは別に、将来のデータ収集が最初から安全であることを確認する必要があります。 同意を求めるときは、シンプルで自然な言葉を使うことができます。

複雑な用語の背後でそれをマスクすることは、非常に誤解を招く可能性があります。 人々が提供する同意は、明確で明確でなければなりません。 新しく収集した情報をどのように使用するかを明確に説明してください。

また、あなたのウェブサイトで別のクッキーポリシーの同意を得る時が来ました。 新しいGDPR規則によれば、16歳以上の人だけが個人データを提供できるため、登録する人が法定年齢に達していることを確認する必要があります。 16歳未満の子供は親の同意が必要です。

企業は、正当な理由なしに個人情報を要求することはできないことを理解する必要があります。 その情報の保存がGDPR規則に準拠している場合でもそうではありません。 企業は、各データ収集および処理活動の法的根拠を準備するために法的支援を求める必要があります。

新しいフォームには、GDPR規則が適用されるかどうかを判断するために、ユーザーの年齢や居住国を含めることができます。 また、顧客には、データが国境を越えて転送されるかどうかを知る権利があります。 常に、ユーザーが同意を撤回したり、苦情を申し立てたりできるメカニズムが整っていることを確認する必要があります。

人々が自分の情報についての洞察を求める場合、企業はそれを遵守し、理由なく遅れることのない応答を提供する必要があり、遅くとも要求を受け取ってから1か月以内に送信する必要があります。

新しい電子プライバシー法

欧州委員会は、eプライバシー規制に関する新しい法律案を発表しました。 これは、既存の「Cookie法」の更新を目的としており、これもすでに使用されているGDPR法に準拠します。

GDPRとeプライバシー法の違い

GDPRは個人データのデータ保護に関係していますが、eプライバシー法はユーザーの個人的な生活のプライバシーを規制することを望んでいます。 このように、オンライン通信はユーザーを保護することができます。 これらの法律の影響を受ける多くのセクターや業界があります。 欧州委員会は、異なる人権に基づく2つの異なる規則のセットが必要であると考えています。

この新しいeプライバシー法は、マーケティング業界に大きな影響を与える可能性があります。 92%以上の人が、オンラインプライバシーと、マーケティング目的でのデータの使用方法について心配しています。 彼らは、特にオンラインアクティビティ、電子メールコンテンツ、およびメッセージを監視するときに、企業が自分たちの生活について持っている洞察について非常に心配しています。 そのため、この概念はGDPR、個人データ保護からeプライバシー法、その他のデータに発展しました。

基本的に、すべてのマーケティング目的で同意を取得することに関して、はるかに規制されたルールとポリシーがあります。 これには、行動マーケティング戦略も含まれます。 新しいeプライバシー法により、企業は、電子通信からのデータ、消費者が使用するデバイスに保存されている情報、またはその他の情報を、ユーザーの同意なしに、即時のデータ処理に必要な場合を除いて使用できなくなります。

賢明な言葉—詐欺に気をつけろ

企業がメーリングリストからのオプトアウトを提案するメールを送信しているため、詐欺師はフィッシング詐欺にGDPRコンプライアンス全体を使用する方法を考え出しました。 ハッカーが新しいGDPRルールでデータを安全に保とうとしている人々を意図的に標的にしているという皮肉を本当に逃れることはできません。

GDPRフィッシング詐欺を認識する方法は次のとおりです。

会社がデータベースに残りたいかどうか尋ねた場合、それはおそらくフィッシング詐欺ではありません。 ただし、名前、住所、ユーザー名、パスワード、さらには支払い情報など、個人データや情報を再度送信することになっているメッセージを受け取った場合は、明確に操作してください。 実際の会社は、電子メールでそれを行うことは決してありません。

データ保護の未来とあなたのビジネスがその情報をどのように使用できるか

繰り返しになりますが、GDPRと同様に、プライバシー管理の力はデータ所有者に戻ってきています。 この新しい法律により、ユーザーはインターネットブラウザでCookieの使用に同意したり、Cookieを撤回したりできるようになります。

これを行うことにより、各WebサイトにCookieポリシーを設定する必要はなく、それを処理するソフトウェア元帳のようなものになると考えられます。 これは、Webサイトが匿名のデータ収集のみを使用する場合、Webサイトが同意を求めるために退屈なポップアップを使用する必要がないことも意味します。

これらの新しいプライバシー法は、Facebookのメッセンジャーアプリ、Viber、WhatsApp、Gmailを含むすべてのメッセージングサービスに適用されます。

これらの対策の多くは、デジタルマーケティングの将来に直接影響を与えますが、これがどのように展開するかを言う、あるいは予測するのはまだ早いです。 その間、データを監視しながら、待つ必要があります。

あなたのビジネスは、これらの新しいデータ規制のすべてを最新に保つためにいくつかの助けを必要としていますか? GDPR規制が適用されたときにプロセスを合理化するのに役立つ、DesignRushの最高のサイバーセキュリティおよびリスク管理会社のリストを確認してください。

より多くのビジネス洞察が必要ですか? ニュースレターにサインアップしてください!