EU一般データ保護規則（GDPR）施行後の課題とその対応策とは

2018年5月に欧州連合（EU）一般データ保護規則（GDPR）が施行されて約1年3カ月が経過した（※本稿は2019年9月に執筆）。施行以降に欧州ではどのような動きがあり、企業はどのように今後の個人データ保護に生かすべきだろうか。欧州データ保護会議（EDPB）が公表する監督機関への問い合わせ状況に基づき解説する。
まず着目すべきは、問い合わせの半数以上が、消費者などによる個人データ取り扱いに関する苦情が占めている実態である。
単純な1日平均として400件近くが寄せられていると推測される。従前、大型の制裁事例はニュースなどを通じて知り得る機会があるが、背景にはこれだけのプライバシーに関連する企業への懸念があることを示唆している。
欧州委員会の資料によると、特に多い苦情のトピックはテレマーケティング、電子メールによるプロモーション、映像監視だった。これはGDPR施行以前から、企業と監督当局の間で活発に協議されていた論点が挙がっている印象を受ける。

では、企業は限られた経営資源で効果的にリスクを低減させるために何をするべきか。重要な認識として欧州の消費者などは企業の個人データ取り扱いに不安を持っていることを前提に、関連業務を再度、点検することが望ましい。本社としては欧州拠点をモニタリングする際に、特に苦情が多い傾向にあるトピックを重点項目とすることが適切なアプローチとなる。
例えばマーケティングであれば、事前の情報通知やオプトアウトフォーム設置などのチェック項目を備えて確認する、ビデオカメラなどの映像による監視についても、利用目的に対する正当性や保存期限の適切性などを検討し、記録に残すことが一般的な施策だ。
加えてこうした苦情の抜本的な防止には、丁寧なユーザーコミュニケーション設計が有効打になりうる。企業に直接、問い合わせた結果に納得できる、あるいはそのように予想されると消費者が考えるならば、監督機関への問い合わせは減ることになる。

具体的な取り組みとしては、製品サービスにおける顧客満足度向上の視点に「プライバシーへの配慮」を組み入れ、ユーザーに誠実かつ明確に必要な情報が開示されているか、プライバシー設定の利便性に問題はないかなどを検証する企業も増え始めた。
個人データ活用に関する不信感が企業ブランドの大きな毀損を招くことにもなる昨今、規制対応を超えた消費者に対する真摯な態度が企業に問われている。

日刊工業新聞 2019年9月17日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
シニアマネジャー　勝村 学