キヤノンのGDPRへの取り組み

キヤノンのGDPRへの取り組み

取材の残りわずかな時間でキヤノンのGDPRの取り組みを紹介してもらいました。この内容だけで1つの記事になりそうなくらい詳しいものですが、ここでは簡単に紹介します。

GDPRとは？

EU一般データ保護規則（General Data Protection Regulation）は2018年5月25日に「行政罰を伴う運用が開始」されました。

GDPRそのものについてはさまざまな解説本などがあります。個人情報は顧客、利用者、取引先だけでなく自社の従業員情報や、従業員のメールアドレスまで対象になること、企業や、組織の大小に関係なく適用されること、違反制裁金が半端な額ではないことなどから、各社とも包括的な対策が必要となり、相当の資源を投入して対応しなければなりません。

キヤノンでは日本の改正個人情報保護法、並びにGDPR対応は本社の専任部隊が全社の司令塔になって取り組みを実施。グローバルサイトでは次の通りの流れで実施を進めたそうです。

まずは棚卸し

最初はグローバルサイトで扱っていた（いる）「個人データの棚卸し」をしました。対象となっていたのはアクセスログ（IPアドレスとクッキー）と、お問い合わせフォーム経由で受領した個人データ（氏名、メールアドレス、住所、電話番号など）でした。

新たなシステム導入

GDPR遵守のためにお客さまのアクセス地域を判定して、GDPR対象地域にのみクッキー（Cookie）取得の同意を求めるポップアップを表示する仕組み、それとIPアドレスをマスキングして匿名化する仕組みを導入しました。

「Privacy Notice」の改修とあわせてお問い合わせフォームの改修も行い、「Privacy Notice」に同意していただいたお客様のみにお問い合わせをしていただくよう徹底しました。

過去データの消去

また、この機会にグローバルサイトで取得した「個人データ」の保持期間を設定、期間を経過したデータの完全消去も行いました。この中には「不要な過去メール」の完全消去（サーバとローカルPCも含めて）も実施しました。

稲富の目

GDPRの次に来るもの

今年5月に施行されたGDPR。Webを利用する企業であれば「個人データ」を取り扱うプロセスをきちんと作って運用するといういわば当たり前のこと。

EUが口火を切ったことから日本でも対応に追われることになりましたが、世界各地に事業所を展開し社内情報として社員の個人データが縦横に飛び交っていたり、オフショアでのデータ処理やサプライチェーンが「普通の」社内プロセスに取り込まれていたりする企業にとってGDPRと改正個人情報保護法は良い見直しの機会かもしれません。

さらに来年初めにも登場すると言われる「ePrivacy Regulation」が控えています。Facebook、Twitter社や広告会社のこれまでのビジネスモデルを根底から覆すことになるかも知れません。

個人的には利用者の同意の無いダイレクトマーケティングの禁止や途中でむやみにそれでなくとも小さなスマホ画面に占有登場し、誤操作を誘導するような広告コンテンツの禁止などを歓迎すべきことです。

実際にどこまでGDPRのように企業が恐れおののくような罰金付きのregulationが施行されるか不明ですが、これまでいわばターゲティングだのSEOだのとサービスプロバイダーのやりたい放題だったネット利用に向かう態度を、利用者に軸足を置いた視点から改めてもらう良い機会です。企業側も利用者の期待に応える（超える）コンテンツにじっくり真面目に取り組む時がやって来たのです。

「Putting the customer in the driver's seat.」です。もう一度確認しましょう。

参考までに、GDPRの私の見た範囲では日本貿易振興機構（JETRO）ブリュッセル事務所が出してくれた「実務ハンドブック（入門編）」がわかりやすくよくまとまり、QAも実際に役立つ内容になっているように思います。