GDPRコンプライアンス

GDPRは、マーケッターがビジネス全体においてセンシティブな顧客データの管理を改善するのに必要な方法を再確認する一つのきっかけとなります。マーケットの有力企業がデータガバナンスへの統合アプローチを戦略的取り組みとして採用してマーケティングの関連性と適時性を改善する一方、大半の企業が、リスクや不均一な体験を生み出す部門または技術的なサイロ内にデータを管理することに頭を悩ませています。皮肉なことに、今回の新しい規制は、マーケッターが真の意味でデータドリブンになることを強制的に推進すると同時に、データセキュリティの戦略を打ち出したり、マーケティング効果を向上させたりできるようになることを促す出来事になるかもしれません。

データのサプライチェーンに固有の立ち位置を保有しているTealiumを信頼できるパートナーとして扱うことにより、適切かつ合法的にデータを管理する信頼性を構築すると同時に、プライバシー基準を守る上でデジタルマーケティングやアナリティクスのベンダーへの依存度を大幅に削減できます。詳細はデータガバナンスに関するホワイトペーパーをお読みください。

データガバナンス戦略の構築で推奨される手順に加え、GDPRのために準備すべき12の重要な事実と手順をご紹介します。

1. 「個人データ」の範囲は広がる一方 – 個人データの定義は、遺伝子、経済状況、社会的アイデンティティに関するデータにまで広がります。

2. EU域外の企業に求められるコンプライアンス –どこに拠点があろうと、EU国民の個人データを扱う企業であれば、本規則に準拠しなければなりません。

3. 子どものデータに関する新たな特別保護 – 親の同意が必要になるので、企業は同意を得る手続きを実施する必要があります。

4. 有効な同意を得る – 同意はわかりやすく明確にする必要があります。沈黙や無反応は同意とはみなされません。

5. データ違反に対する通知要件 – データサプライチェーンの責任は重くなり、個人に悪影響を与える可能性のあるあらゆるデータ違反を規制当局および個人に報告する必要があります。

6. 忘れられる権利とアクセス要求 – 企業は、個人に対し、収集したデータへのアクセスを適宜提供しなくてはならず、また、データ対象者の忘れられる権利に対応する必要があります。

7. 必須のプライバシーリスクインパクトアセスメント（PIA） – PIAが必須になるハイリスクな状況があります。

8. Privacy by Design – サービスまたは製品に関わるプライバシーは、製品のコンセプトから組み込む必要があり、収集するのは最小限の個人データにとどめる必要があります。

9. 契約上の要件 – データ保護は明確に記述される必要があり、契約の交渉におけるリスクやセキュリティの検討に影響を与える可能性があります。

10. データ送信に関する国際的な問題 – 本規則はデータを処理する企業にも適用されるので、EU域外の国にデータを送信する際にリスクがあります。

11. データの可搬性 – 企業は、共通使用のフォーマットで電子的に、収集データを対象者に提供する必要があります。

12. データ保護責任者（DPO）の導入 – 企業によっては、データのセキュリティが順守されているかを監視するためにDPOを雇用/指名する必要があります。