GDPRとは何か？ DXを考える前に知っておきたい基礎知識

個人情報をとりまく世界の動き

「The future is private（未来はプライベートなものに）」。

これは2019年4月、Facebook創業者のマーク・ザッカーバーグが年次開発者会議「F8 2019」で語った言葉です。この言葉には、Facebookがユーザーのプライバシーの取り扱いに関して批判を浴びていたという背景がありました。

2016年、Facebookが収集するユーザーデータの一部がイギリスのマーケティング会社ケンブリッジ・アナリティカを通じて政治的利用をされていたと報道。ドナルド・トランプが当選したアメリカ大統領選挙、そしてブレグジット（イギリスのEU離脱）が決定した国民投票に不正使用されていたのではないかという疑惑が浮上しました。これにより、マーク・ザッカーバーグはアメリカの公聴会にも招集され、各国から批判を受けることに。この事件を経て「Facebookはこれから個人情報を大事にする」という方針が発表されました。

「F8 2019」より。©Sipa USA/amanaimages

Facebookのユーザーデータの不正使用疑惑以降、個人情報の取り扱いだけでなく、ユーザーから集めた大量の個人情報が支える広告収入というビジネスモデルに対し、さまざまな国や企業が懐疑的になっています。

この一連の出来事を受けて大きく動いたのがEUです。ブレグジットという歴史の変革が起きたインパクトは大きく、個人情報の取り扱いに関する法律「GDPR（General Data Protection Regulation：EU一般データ保護規則）」が制定。2018年5月に施行されました。

GDPR施行後、違反した企業には実際に罰金が科されています。顧客50万人の個人データが漏洩したとしてブリティッシュ・エアウェイズに約246億円、全世界の宿泊者記録から3億3900万件の個人データを露出させたとしてマリオット・インターナショナルは約133億円の罰金が科されました。顧客データが大量に漏洩した際の制裁が明示され、企業は個人情報取り扱いに対してより一層センシティブになっています。

GDPRとは？
EUにおける個人データ保護に関する法律。保護対象の個人データは、EU加盟国とEEA（欧州経済領域）加盟3カ国に所在する一般消費者や従業員、企業担当者などを含むすべての個人にひもづく情報。EU内の個人データの保護を強化し、統合することを意図しており、2016年4月に制定、2018年5月25日に施行された。EU圏外の企業のWebサイトであっても、インターネット上で対象国の人がアプローチする可能性がある場合、GDPRに適合しなければならない。

規制されゆくサードパーティクッキー（Cookie）の利用

一方、プラットフォーマー企業でも個人情報の活用に制限を設ける事例が出てきています。Appleが2019年に施行したブラウザ規制「ITP2.0」では、Safari上でのサードパーティクッキー（Cookie）によるSafari内でのトラッキングを防止。これまでは、ウェブサイトの閲覧情報が別サイトの閲覧時にも引き継がれ、約90日間保持されていましたが、ITP2.0施行後は別サイトのCookieが引き継がれない仕様になりました。さらに、ファーストパーティCookieであっても情報保持期間は30日と短縮され、サードパーティクッキー（Cookie）に関しては24時間で消去されます。また、Googleでも2020年1月にChrome上でサードパーティクッキー（Cookie）の制限が行われ、ターゲティング広告への活用が難しくなりました。グローバルなプラットフォーマー企業は、ブラウザが持つクッキー（Cookie）の情報をWebサイト側へ開示しない方針へシフトしています。

そして、日本では2020年6月に改正個人情報保護法が公布。企業は個人データの漏洩などが発生して個人の権利が害されるおそれがある場合、個人情報保護委員会への報告と個人への通知が求められるようになりました。改正前は“努力義務”とされていましたが、現在は義務化されており、企業に対する法の拘束力が強くなっています。

クッキー（Cookie）とは？
Webページを訪問した情報やログイン情報などの入力内容を記憶する仕組みのこと。

ファーストパーティクッキー（Cookie）：ユーザーが訪問しているWebサイトのドメインから直接発行されているクッキー（Cookie）。ユーザーの来訪ページや入力情報、利用環境、IPアドレスなどが含まれる。

サードパーティクッキー（Cookie）：ユーザーと直接の関係を持たない主体によって収集された情報。ユーザーが訪問しているWebサイトのドメイン以外の第三者から発行されている情報で、DMPなどのデータ収集関連や、ターゲティング広告配信に活用されている。

人々の感性・価値観をマーケティングしていく時代へ

サードパーティクッキー（Cookie）を使うと、どのユーザーがいつ、どのようなサイトを閲覧しているのかがわかります。元来、クッキー（Cookie）はWebサイト上でのユーザーの体験価値を向上させるために作られたのですが、ユーザーが認識しないうちに収集・利用されるため、プライバシーに対する意識が高まった今、次第にネガティブな面に注目が集まるようになっています。一度訪れたサイトの広告が他のサイトを見ていても延々と表示されるリターゲティング広告に不信感を抱いた経験がある人も多いのではないでしょうか。

これまで、企業はサードパーティクッキー（Cookie）をもとにリターゲティング広告やDSP広告を配信すればリードを獲得できると言われてきましたが、これからの時代はこの常識が大きく覆ります。個人情報保護の観点から、企業はクッキー（Cookie）レスで顧客とコミュニケーションすることが求められ、個人情報を扱うリスクとコストが急増。従来のマーケティングの費用対効果は加速度的に下がっているのです。

では、脱・個人情報が叫ばれるこれからの時代、企業はどのようにしてマーケティングを行うべきなのでしょうか？ ここで注目したいのは、マルチチャネルにコンテンツを配信し、コンテンツを通して顧客の価値観や興味、感性を分析してコミュニケーションを行うコンテンツ中心のマーケティングです。後編では、その内容についてお伝えします。

撮影：清水 北斗（amana）
AD［top］：片柳 満（amana DESIGN）
文・編集：徳山 夏生（amana）