2024 年のデータプライバシーの現状

かつてマーケティングは比較的単純な職業でした。 簡単でも単純でもありませんが、役割の境界についてはある程度の明確さがありました。 これは特に通信に当てはまります。 オンラインやデジタルが台頭する前は、私たちのコミュニケーション チャネルは比較的少数でした。 ここ数十年、特に過去 5 ～ 10 年で、特にデータ プライバシーの分野で、マーケティング専門家が利用できる選択肢が急速に拡大しました。

2018 年 5 月 25 日に EU の一般データ保護規則 (GDPR) が導入されたことは、多くの点でこのテクノロジーの拡大への対応でした。 欧州の議員は、国民のデータを保護するための一連の原則を提供しようとしました。 それ以来、GDPR は、世界の他の地域がデータ規制に対する独自のアプローチを検討する傾向を定めています。

私たちマーケティング担当者は、企業内で個人データを最も頻繁に使用するユーザーとして、データ保護のベスト プラクティスを確実に理解する義務があります。 特に、基本を正しく理解する必要があります。 この短い記事では、マーケティング リーダーとそのチームが今留意すべき重要な領域のいくつかを特定します。

プロのヒント: DMI ポッドキャストで Steven Roberts がカバーする Data Protection 101 を聞いてください。

「透明性は GDPR を支える重要な原則です。 個人データを処理する AI ツールを使用するマーケティング担当者は、このデータがどのように使用されるかを明確かつ簡単な言葉で説明できなければなりません。 スティーブン・ロバーツ

急速に変化するプライバシー エコシステム

GDPR は世界中で同様の法律の多数の制定を引き起こし、中国、シンガポール、南アフリカなどの国でも新しい法律が制定されました。

カリフォルニア州消費者プライバシー法 (CCPA) は、米国のさまざまな地方および州法の中で最もよく知られています。 これは、より複雑な国際的なデータ プライバシー エコシステムに貢献しました。

英国では、英国政府が英国の GDPR の改訂を検討しており、現在 (2023 年 9 月時点で) 新しいデータ法案を策定中です。 英国と取引する企業は、特に EU と英国間の十分性に関する決定に影響を与える場合には、この動向を注意深く監視する必要があります*。

ヨーロッパでは、多くの隣接する EU 法の導入が進行中です。 これも：

• デジタル市場法
• デジタルサービス法
• AI規制。 ChatGPT などの AI テクノロジーの範囲と使用が急速に拡大している現在、後者は特に差し迫ったものです。

また、目的にそぐわないと広く見なされている現行の e プライバシー指令を全面的に見直すための議論も進行中です。 この法律はすべて、欧州連合内で活動するマーケティング担当者のデータ処理活動に影響を与える可能性があります。

データ保護を最初から含める必要がある

Chiefmartech.com によると、マーケティング テクノロジー プラットフォームは 11,000 を超えています。 年々増加する数字。 これらのテクノロジーの多くは、個人データを使用して、さまざまな消費者層に効果的にリーチし、ターゲットを絞っています。

新しいプラットフォーム、あるいは個人データの使用を伴う新しい戦略を検討しているマーケティング担当者は、最初にデータのプライバシーを確​​実に考慮する必要があります。 ここでは、設計およびデフォルトによるデータ保護という GDPR の原則が重要です。 この原則に準拠するための最良の方法の 1 つは、データ保護影響評価 (DPIA) として知られるものを実施することです。

これには 2 段階のプロセスが必要です。 まず、事前 DPIA が実施され、プロジェクトが重大なプライバシー リスクを引き起こす可能性があるかどうかを評価するために、一連の高レベルの質問が行われます。 そのようなリスクが特定された場合は、完全な DPIA を完了する必要があります。 この時点で、主要な関係者との協議を含め、プロジェクトの詳細な分析が行われます。 このようなアプローチにより、プライバシー リスクが高すぎる場合にプロジェクトを再調整したり、リスク レベルを下げるための緩和措置の採用が可能になります。

マーケティング担当者向けの例としては、新しいファーストパーティ データ戦略の導入や CRM プラットフォームの導入などが挙げられます。 一般に、個人データを利用する可能性のある新しいマーケティング ツールはすべて DPIA の対象となることがベスト プラクティスと考えられています。

AIとデータプライバシー

人工知能 (AI) プラットフォームはマーケティング担当者の間でますます人気が高まっており、自動 Web サイト チャットボットなどの活動を強化しています。 ChatGPT およびその他の大規模言語モデル (LLM) の導入は、マーケターの生産性を向上させる大きな可能性をもたらします。 たとえば、コンテンツ マーケティング戦略の一環としてブログや記事を作成します。

このようなテクノロジーを検討しているマーケティング担当者は、データ保護のリスクを認識しておく必要があります。 透明性は GDPR を支える重要な原則です。 個人データを処理する AI ツールを使用するマーケティング担当者は、このデータがどのように使用されるかを明確かつ簡単な言葉で説明できなければなりません。 データが AI テクノロジーによってどのように処理されているかを正確に特定するのは多くの場合簡単ではないため、これはかなりの課題です。

さらに、GDPR の第 22 条では、法的効果をもたらす可能性のある自動化された決定に異議を唱える権利を個人に与えています。 たとえば、「人間の介入なしに、オンライン信用申請や電子求人活動が自動的に拒否される」などです。 このような場合、彼らは意思決定プロセスの一環として人間の介入を受ける権利を有します。

AIの使用によって生じる潜在的なデータ保護の懸念を強調し、アイルランドのデータ保護委員会（DPC）側の介入を受けて、Googleは新しいAIチャットボット「Bard」の導入を遅らせるよう求められた。 欧州委員会は、テクノロジー大手はEU国民のプライバシー権がどのように保護されるかについてさらなる情報を提供する必要があると述べた。 その後、Google は、DPC が「多くの変更、特に透明性の向上とユーザー向けのコントロールの変更」と表現した内容に従って、EU で Bard を開始しました。

「データコンプライアンスは継続的な取り組みです。 最初の優先事項は、基本を正しく理解することです。 スティーブン・ロバーツ

罰金の増加と消費者の意識向上

マーケティング担当者として、私たちは消費者の代弁者であり、企業のブランドと評判を守る責任があります。 消費者はデータ保護の権利についての意識を高めています。 その多くは、多額の罰金を伴う宣伝によって推進されています。

法律事務所DLAパイパーによると、EU監督当局は2022年1月28日からの12か月間で16億ユーロの罰金を発行した。この傾向は2023年も続き、最も注目すべきはアイルランドDPCがEUユーザーの譲渡に対してメタに対して12億ユーロの罰金を課したことである。適切なデータ保護メカニズムを整備せずに個人データを米国に送信する。

2023年4月、英国情報コミッショナー局（ICO）は、児童データの悪用に関連した違反でTikTokに1,270万ポンドの罰金を課した。

一方、米国では、モンタナ州など州レベルでTikTokを禁止しようとする試みや、FTCの著しく強硬な新指導部が顧客を同意なしにプライムに登録したとしてアマゾンを告訴するなど、データプライバシーを巡る政治的姿勢が強まっていた。 アイルランドでは、政府および州機関の職員は公式デバイスから TikTok アプリを削除することが義務付けられています。 一方、英国やオランダなどの管轄区域でも制限が導入されています。

AdTech と行動ターゲティング広告は DPC やその他の監督当局にとって執行の優先事項であった一方で、経済の多くの分野にわたって企業に対して罰金が科せられてきたことは注目に値します。 テクノロジー企業でこれまで見てきたような目を見張るようなレベルではありませんが。

国際データの転送

国際的なデータ転送は、個人データを欧州連合外に転送しようとする企業にとって大きな頭痛の種となっています。 これは、近年大幅な変化が見られるデータ プライバシーの側面です。 2020 年 7 月、欧州司法裁判所は、EU と米国間のデータ転送に関する既存のプライバシー シールド協定は無効であるとの判決を下しました。 Schrems IIとして知られるこの決定以来、両管轄区は GDPR に準拠した代替メカニズムを模索してきました。

新しいデータ プライバシー フレームワークが 7 月初旬に欧州連合によって承認されました。 歓迎される一方で、これが前任者の 2 つの場合と同様に、プライバシー擁護団体からの同様の異議申し立てを受けるかどうかはまだわかりません。 それまでの間、企業は標準契約条項 (SCC として知られる)*** の使用など、代替アプローチを見つける必要がありました。

英国と取引する企業に対して、英国政府は、現在のルールが企業にとって負担を軽減することを目的として、英国の GDPR の特定の側面を合理化する意向を示しています***。

データプライバシーに関する情報を常に入手する方法

多くのマーケター、特に大規模な多国籍企業のチームと同じリソースにアクセスできない中小企業のマーケターは、この変化のスピードに対応するのに苦労しています。

データ コンプライアンスは継続的な取り組みであることを思い出してください。 最初の優先事項は、基本を正しく理解することです。 これを念頭に置くと、企業内の効果的なデータ プライバシー文化の一部として、多くの側面が重要になります。

1. トレーニングは不可欠です

トレーニングは、新規スタッフと既存スタッフの両方に対して定期的かつ継続的に実施する必要があります。 これは、現在多くのマーケティングの役割で目撃されている離職のレベルと、一般的なコンプライアンスの分野における開発のペースを考慮すると、特に重要です。 一部の専門家は、すべてのデータ侵害の 90% は人的ミスの結果であると推定しています。 このリスクを相殺するにはトレーニングが不可欠です。

2. GDPR の 6 つの法的根拠と 7 つの中核原則を理解する

過去 5 年間に私たちが目撃した侵害の多くは、企業が以下の点を考慮していれば、削減または除去できた可能性があります。

• まず、この個人データを処理するための明確な法的根拠はありますか?
• 次に、処理は GDPR の原則に従っていますか?

3. 上からトーンを設定する

すべての企業は上級管理職が主導権を握ります。 取締役会と経営陣は、言葉と行動を通じて、組織全体にわたる強力なデータプライバシー文化を率直に支持し、提唱していると見なされなければなりません。

4. 詳細な記録とプロセスを整備する

説明責任は、GDPR の最も重要な原則の 1 つです。 規則の第 30 条では、効果的なプライバシー文化の一環として、正確な記録の保管が義務付けられています。 また、企業は、対象者アクセス要求やデータ侵害報告などの側面について、事前に明確なプロセスを整備することで、生産性と効率性において大きなメリットを得ることができます。

5. 子供および特別なカテゴリのデータに対する高度なコンプライアンス要件を理解する

マーケティング担当者は、未成年者のデータや、GDPR で特定されるさまざまな特別なカテゴリのデータに関しては、追加のコンプライアンス要件に留意する必要があります。

結論

データ保護は近年急速に進化しています。 2018 年の GDPR の導入により、消費者の意識が高まり、準拠していない企業に対する罰則が強化されました。 また、これは、中国、シンガポール、南アフリカなどの国々で同様の法律が国際的に広まるきっかけにもなりました。 この変化のスピードとそれに伴う複雑さの増大は、マーケティング担当者とそのビジネスにとって効果的なデータ保護文化を確立することが重要であることを意味します。

AI などの新しいデータ集約型テクノロジーは、この要件を強化するだけです。 規制の中核的側面に関する定期的なトレーニング、明確なプロセスと記録の保管、組織トップからのサポートなど、基本を正しく理解することに重点を置くことで、マーケターとそのチームはコンプライアンスを確実に維持できる有利な立場に置かれます。

ノート

* 2021年に合意されたEUの十分性に関する決定では、基本的に英国はEUと同様のデータ保護環境を運営していると述べられている。 この決定は4年後に見直される予定で、英国が現在実施されているデータ保護のレベルから逸脱しているとみなされた場合、危険にさらされる可能性がある。

** リサイタル 71、GDPR

*** SCC を契約に組み込むと、GDPR データ転送義務への準拠を実現できます。

**** データ保護およびデジタル情報 (第 2 号) 法案。

関連している

• マーケティング担当者向けのデータプライバシーの概要
• マーケティング担当者のための決定的な GDPR チェックリスト
• カリフォルニア州消費者プライバシー法 (CCPA) のすべて
• ポッドキャスト: データ保護 101