個人情報の取り扱いが厳しくなっている昨今、GDPR(General Data Protection Regulation)やITP(Intelligent Tracking Prevention)、改正個人情報保護法といった基本的な部分を把握しておく必要があります。顧客の購買データなどをガイドラインに沿って収集し、きちんと保護されているかをチェックすることがとても重要です。
また、小売業においてはPOSレジや決済システムなどを見直す取り組みを行うことが大切だといえます。この記事では、個人情報保護についての基本的なとらえ方やデータ活用、リテールメディアなどを解説します。
GDPRとは?日本に与える影響
個人情報保護について考える際には、まずGDPRという言葉の意味を押さえておく必要があります。日本に与える影響も含めて解説します。
GDPRはデジタルデータの保護・管理を定めたルール
GDPRとは、「EU一般データ保護規則」のことを指します。EU(ヨーロッパ連合)加盟諸国内を対象にした個人情報保護の枠組みであり、個人情報データの処理と移転に関するルールが定められているものです。
ルールは多岐にわたり、ヨーロッパ域内から域外への個人情報データ移転は原則禁止、域外への情報移転は本人の明確な同意を得る必要があるなどの項目が定められているのが特徴です。日本の個人情報保護法よりも厳格であり、氏名・住所・クレジットカード番号・IPアドレス・IDFA(スマートフォンなどの端末に割り当てられるID)などが保護・管理対象となっています。
GDPRが定められた理由
GDPRが定められた理由として、クラウドサービスの浸透やビッグデータの存在などが挙げられます。それらを用いる際に必要な個人情報がネットワーク上に蓄積され、場合によっては悪用されてしまう懸念があるため、個人情報の取り扱いについて包括的なルールとして定められました。
企業活動や消費行動のデジタル化が急速に進んでいる状況を踏まえ、ヨーロッパ委員会は、「デジタル経済の成長には、消費者の信頼が欠かせない」という声明を発表しています。GDPRを定める以前はデータ保護指令という枠組みがありましたが、法的な強制力や罰則がなく、個人情報保護の取り組みとしては不十分という見方がありました。
そのため2016年のGDPR策定によって、保護対象の拡大と罰則の強化が実現する流れとなったのです。
日本に与える影響
GDPRそのものはEUが定めたルールですが、その影響力はEU加盟国内だけに留まらないと考えられています。EU加盟国内に子会社や営業所などがあったり、日本からEU加盟国に向けた商品・サービスを提供していたりすると関係してくるため注意が必要です。
経済のグローバル化が進み、インターネットによって世界中どこの地域ともつながれる時代だからこそ、個人情報の取り扱いには十分気をつけることが大切です。個人情報の漏えいなどのトラブルを招いてしまうと、企業価値を大きく損なうだけでなく、訴訟リスクなどを抱えてしまう恐れもあります。
個人情報保護法とGDPRとの違い
日本においては「個人情報保護法」によって、顧客情報の取り扱いに関するルールが定められています。GDPRとの違いを含めて解説します。
個人情報保護法の改正
日本の個人情報保護法は2005年に施行され、2015年と2020年にそれぞれ改正されています。2020年の改正個人情報保護法は、2022年に施行されており、基本的なポイントを押さえておくことが重要です。
個人情報保護法では、個人を特定できる情報(氏名・住所・クレジットカード番号など)が保護対象となっていますが、法に則ったうえでデータ活用すること自体は認められています。具体的には、ダイレクトメッセージを送ったり、ターゲティング広告を出稿したりするために個人情報を活用することです。
2020年の改正個人情報保護法のポイントとしては、虚偽報告に対する罰則強化、命令違反への罰則強化、Cookieデータの取り扱いなどが挙げられます。Cookieとは、WEBサイトの閲覧履歴などを保存するシステムのことであり、改正後は企業がそれらのデータを第三者に提供するときは、本人の同意が必要となることが定められました。
GDPRとの違い
日本の個人情報保護法とGDPRとでは、保護対象・罰則規定・パーミッションの条件(許諾・同意の条件)などが異なります。それぞれの違いについてまとめると、以下の通りです。
| 個人情報保護法 | GDPR | |
|---|---|---|
| 保護対象 | 氏名や住所など、Cookie情報を含む個人を特定できる情報 | Cookie情報・IPアドレスなどを含む個人を特定できる情報 |
| 罰則規定 | (個人の場合)50万円または100万円以下の罰金 (法人の場合)最大1億円の罰金 |
法人に対しては、数十億円の罰金 |
| パーミッションの条件 | ・プライバシーポリシーの明示 ・第三者にCookie情報などを提供するときは、ユーザーの同意が必要 |
ユーザーからの明確な同意が必要 |
上記のように、日本の個人情報保護法よりもGDPRのほうが、より厳格なルールを定めています。GDPRでは、Cookie情報だけでなくIPアドレスなども保護対象となっており、企業はより厳格な運用が求められているのです。
WEBにおけるITP対応
個人情報について考える際は、「ITP」についても押さえておくことが大事です。企業がどのような対応を取るべきかについて解説します。
ITPによるWEB広告の影響
ITP(Intelligent Tracking Prevention)とは、Cookieによる個人情報のトラッキングを防止する機能のことを指します。トラッキングとは、ユーザーがWEBサイトやアプリでどこを閲覧しているのかを追跡、分析する機能のことです。
企業側の視点で見れば、ITPが働くことによってCookieによる情報収集がこれまで通りいかなくなる可能性があります。そのため今後は、ITPによる「3rd Party Cookie」の特性を活かしたアプローチが難しくなってくることが考えられます。
また、3rd Party Cookieの情報は削除されるため、広告効果を正しく分析できなくなる可能性もあるでしょう。データ分析やWEB広告の配信などに大きく影響するものであるため、それぞれの企業で対応が求められています。
リテールメディアが注目されている理由
リテールメディアとは、小売店が持つオフラインの販売データをWEBメディアや広告配信などに活かす手法を指します。大きな特徴として小売事業者にとって、新たな収益源となる可能性がある点が挙げられます。
リテールメディアでは、リテーラー(小売業者)が実店舗で収集した購買データをもとに広告配信を行うため、これまで分析できなかった広告効果を詳しく分析できるようになります。
つまり、購買を起点とした逆算型のプロモーションといえるものであり、Googleが3rd Party Cookieの廃止を発表していることから注目度が高くなっています。Cookieに頼らずターゲットにリーチできるため、多くの企業でリテールメディアが注目されているのです。
データ活用の仕組みを新たに整えよう
小売業においては、顧客の購買データなどを活用するうえで、POSレジや決済システムなどを見直す取り組みが必要だといえます。Cookieに頼らない「パーミッションを得たレシートデータ」を活用するには、電子レシートプラットフォームである「iRecipet」が役立ちます。
購買後の顧客と電子レシートを通じて、引き続き接点を持つことができ、セール情報の配信や店舗情報のお知らせなど、顧客一人ひとりの属性に合わせたアプローチを行えます。GDPRや個人情報保護法などによって顧客情報の取り扱いが厳格化されているからこそ、従来の仕組みにとらわれない新たなアプローチを検討していく必要があります。
まとめ
個人情報保護に関する基本的なルールを押さえておくことは、顧客とのやりとりが多い企業ほど重視しておきたいポイントです。顧客に安心して買い物を楽しんでもらう一方で、さらに良いサービスを提供するためにデータ活用にも取り組んでいくことが大切だといえます。
個人情報の取り扱いについてのルールを把握したうえで、リテールメディアや電子レシートなどを活用し、顧客と店舗の双方にとって有益な仕組みを構築してみましょう。