GDPR がビジネスに与える影響と 2023 年に予想されること
- GDPR への準拠は変化する目標ですが、規制ガイダンスは法律の条項を明確にしています。
- GDPR の施行は、特に大規模なテクノロジー企業とビッグデータにとって、ゆっくりと進んでいます。
- すべての企業、特に中小企業にとって、データ保護規制への準拠は、ブランド ロイヤルティと顧客との信頼を築きます。
- この記事は、データ プライバシー規制について詳しく知りたい中小企業の経営者を対象としています。
欧州連合の包括的なデータ プライバシー法である一般データ保護規則 (GDPR) は、2018 年 5 月に施行される前に、多くの企業が順守を急いでいます。EU 法は、世界中のどこにいても EU 市民のデータを対象としています。遵守しない場合、違反ごとに最大 1,000 万ユーロまたは年間グローバル売上高 (または収益) の 2% (いずれか大きい方) の罰金が科せられます。
GDPR の実装から 4 年が経過した現在、データ プライバシーの状況は大きく変化しています。ハイテク大手に対する大きな訴訟はまだ最終決定を待っていますが、中小企業は行動を変え、ユーザーデータの取り扱いを改善する必要がありました. カリフォルニア州消費者プライバシー法 (CCPA) やバージニア州消費者データ保護法 (VCDPA) などの多くの州規制を含む、その他の多くのデータ プライバシーおよびセキュリティ対策が世界中で登場しています。
GDPR コンプライアンスはどのようなものですか?
GDPR は、11 の章と 99 の条項を含む 88 ページの法律であり、そのすべてが EU 市民のデータに関するデータ プライバシー慣行の改善と統一を目的としています。EUの国境に限定されません。EU 市民のデータを収集および/または処理する企業は、GDPR に準拠する必要があります。EU市民と取引を行う全米の企業は、法律の範囲に含まれています。
「データ管理者」と「データ処理者」が従うべき GDPR が定めたルールの中には、データ主体または個々のユーザーに付与される権利と自由がありました。これらには、ユーザーがデータ収集に同意する権利、ユーザーがデータの削除を要求する権利、ユーザーがデータにアクセスする権利などの倫理的懸念が含まれます。これらの権利に有意義に対応するために、多くの企業は、以前には存在しなかったシステムとプロセスを導入する必要がありました。2018 年以降、特定の GDPR 条項を明確にするための取り組みが行われてきましたが、遵守しようとしている企業にはいくつかの疑問が残っています。
Fox Rothschild LLP のパートナーであり、GDPR コンプライアンスおよび国際プライバシー プラクティスの議長を務める Odia Kagan 氏は、GDPR コンプライアンスの真の青写真はないと述べています。ビジネスが最初に考えなければならない質問は、「基本的に、ルールは実際に私のビジネスにとって何を意味するのか?」ということです。答えは企業によって異なる可能性がある、と Kagan 氏は述べています。
「みんなに共通のルールがあるので、私たちは始めて基本をやろうとしました」と彼女は言いました. 「GDPR はスナップショットではありません。それは進行中の取引です。継続して再評価し続ける必要があります。これは継続的なコンプライアンス プロセスです。かなりの量の作業を行った企業でさえ、まだやるべきことや維持しなければならないことがあります。」
GDPR は、データの処理と収集の基準を成文化し、EU 外であっても EU 市民のデータの使用を管理する包括的な規則を作成します。基本的に、ケーガン氏は、GDPRコンプライアンスに取り組む際、すべての企業は次の考慮事項から始める必要があると述べました。
- 開示の拡大:企業は、収集するデータ、収集する理由、およびその保存方法と処理方法を明確に説明する必要があります。これには、データの共有先、データの保存期間、データの保護方法に関する説明が含まれます。
- ユーザー制御:企業は、ユーザーが自分のデータに何が起こるかをより細かく制御できるようにする必要があります。ユーザーは、要求された場合、自分のデータのコピーを受け取る権利があります。また、データの削除、または誤ったデータの修正を要求することもできます。また、ユーザーは、外部委託処理以外の目的で、自分のデータが第三者企業と共有されるかどうかに同意する権利を有します。
- 下流のコンプライアンス:サードパーティ企業およびサービス プロバイダーも GDPR に準拠する必要があります。そうしないと、データを収集する会社が責任を問われる可能性があります。言い換えれば、帳簿に従ってユーザーデータを収集しても、処理を準拠していない会社に委託すると、違反のフックにとどまる可能性があります. これには、サードパーティ Cookie の考慮と、それらが一般的なデータを収集および追跡する方法が含まれます。
「さらに複雑になったのは、EU 企業がすでに大きな有利なスタートを切っていることです」と Kagan 氏は述べています。「データ保護指令には、EU の 28 州にわたる国内実施法がありました。これは基本的に、GDPR (内の規制) の 80% 程度をカバーしています。」
2002 年の ePrivacy Directive などのデータ保護指令に対するその後の改善は、EU がデータ保護法において米国よりも先を行っていることを意味しています。米国企業は GDPR の導入に遅れを取らないように慌てなければなりませんでした。多くのクライアントから、従うべきチェックリストがあるかどうか尋ねられました。彼女の反応は、「はい、でも…」というものでした。万能のプログラムではありません。代わりに、すべてのビジネスに共通する要件から始めた、と Kagan 氏は述べています。
GDPR に準拠しない場合の結果
GDPR への準拠を怠った場合の罰則は、高額になる可能性があります。最大 1,000 万ユーロ、または前年の世界の年間売上高の 2% の罰金が科せられる可能性があります。多くの企業にとって、それは致命的な打撃になる可能性があります。マリオット、ブリティッシュ・エアウェイズ、H&M などの大企業は多額の罰金に直面しているが、規制の結果として倒産した中小企業があるかどうかは不明である. National Bureau of Economic Researchの調査によると、新しいガイドラインに準拠するためのコストにより、Android アプリケーションの約 3 分の 1 が終了しました。米国およびその他の地域の企業にとって、GDPR コンプライアンスを常に把握することは優先事項であり、継続的な課題です。
GDPR などの包括的な法律への準拠を確実にすることになると、その分野での経験と専門性を示す弁護士またはコンサルタントと提携することが賢明です。しかし、BrandExtract のソフトウェア エンジニアリング担当バイス プレジデントである Donovan Buck 氏は、法律を読むことが最初の一歩として優れていると述べています。
「どこから始めればよいかわからない場合でも、法律を理解するのは非常に簡単です」とバックは言いました。「ちょっと長いけど、普通の人にもわかるようにわかりやすく書いてある。そしてそれには序文があります…[それは]法の精神を伝えます。法律自体はそれほど怖いものではありません。法律を読んでください。それは悪いことではありません。”
GDPR規制の明確化
法律を読んだ人でも、GDPR は 2018 年 5 月の施行に至るまで (および施行後も) 未回答の質問を数多く残していました。それ以来、GDPR を管理する包括的な監督機関である欧州データ保護委員会は、明確化を発表しました。また、企業が実際に準拠していることを確認するのに役立つガイドラインには、以下が含まれます。
- 明確で透明性のある開示:データ主体から明示的な同意を得るには、企業はデータの収集、使用、およびユーザーとの共有を開示する必要があります。これは、契約条件のどこかに細かい活字を含めることを意味するだけではありません。平易な言葉で明確に綴らなければなりません。そうしないと、データ主体の明示的な同意を得ることは、GDPR の下で有効であると見なされない可能性があります。
- 地域の範囲: 2019 年 11 月、欧州データ保護委員会は、GDPR が適用される企業に関する明確化を発表しました。このガイドラインは、EU 内のユーザーを対象とする EU の施設または企業を構成するものを明確にするのに役立ちます。また、EU 外の企業に GDPR を適用するための国際協力メカニズムの必要性も考慮しています。
- 処理の法的根拠: 2019 年 4 月、欧州データ保護委員会は、GDPR に基づく個人データ処理の法的根拠に関するガイドラインを発行しました。これらのガイドラインは、必要なデータ収集、契約の終了、およびこれらの規則の適用を構成するものを明確にしました。
- COVID-19 の発生に関連した位置データと連絡先追跡ツールの使用: 2020 年 4 月、欧州データ保護委員会は、COVID-19 のパンデミックによってもたらされたデータ プライバシーの問題のいくつかに対応する必要がありました。彼らのガイドラインは、「データの最小化」という GDPR の原則を強調し、COVID-19 の接触追跡に関連するデータのみを収集する必要があることを強調し、情報や正確な位置情報を特定するものではありません。
- アクセス権: 2022 年 1 月、欧州データ保護委員会は、データ主体が自分の個人データにアクセスする権利を実装するためのガイドライン案を公開しました。コントローラは、ほとんどの場合、アクセスを制限するのではなく、最も広い意味でデータ リクエストを解釈する必要があります。ただし、データ主体にデータを含む完全なドキュメントを提供する必要はなく、代わりにユーザーの個人情報のみを含む新しいドキュメントを提供できます。
重要なポイント:欧州データ保護委員会は、2018 年の GDPR の制定以来、無数の更新されたガイドライン、明確化、およびベスト プラクティスをリリースしました。主要な更新には、どの企業が GDPR に拘束されるか、どの消費者データを収集する必要があると考えられるか、および企業がどのようにすべきかに関する情報が含まれています。データ要求を満たす。
GDPR の施行は進行中ですが、ゆっくりと進んでいます
GDPR によって一部の重大な違反が取り除かれたことでデータ セキュリティが確実に改善されましたが、全体的な施行には多くの人が予想したよりも時間がかかっています。情報はオンラインで急速に移動しますが、特に Meta や Google などの巨大で広範囲に及ぶテクノロジー企業の場合、GDPR についていくのに苦労しているように思われます。たとえば、データ プライバシーに関する非政府組織noyb (「none of your business」の略) は、GDPR が有効になった日に、Instagram、Facebook、Google、および WhatsApp に対する強制的な同意について苦情を申し立てました。それから 4 年以上が経過しましたが、解決策はまだ作成中です。
しかし、法律の施行はありました。Enforcement Trackerによると、GDPR は 1,216 件の罰金を課しており、2022 年 12 月の時点で 25 億ドルを超える罰金が課されています。つまり、企業は、これらの用語の独自の解釈ではなく、「開示」や「同意」などの法律の要素に関する規制当局の定義に従っていることを確認する必要があります。
Enforcement Tracker によると、3 つの最大の罰金には、2021 年 7 月にルクセンブルグ当局が Amazon Europe Core S.à.rl に対して科した 7 億 4600 万ユーロ (約 7 億 9000 万ドル) と、2022 年の Meta に対する 2 つの大きな罰金が含まれます。データ保護委員会は Meta Platforms Inc. に 4 億 500 万ユーロ (約 4 億 3000 万ドル) の罰金を科し、2022 年 11 月には Meta Platforms Ireland Ltd. に 2 億 6500 万ユーロ (約 2 億 8000 万ドル) の罰金を科しました。Amazon、Meta (Facebook と WhatsApp を含む)、および Google は、上位 10 の罰金のうち 8 つを受け取っています。
Meta に対する 11 月の判決は、約 5 億 3300 万人の Facebook ユーザーの電子メール アドレスや電話番号を含む個人情報のデータ侵害に関連しています。罰金を支払うことに加えて、Facebook はユーザーのデータの安全性を改善し、さらなるデータ スクレイピングを防ぐための措置を講じなければなりません。Meta に対する 9 月の判決は、Instagram が特定の保護下にある子供のデータに関する GDPR ガイドラインに違反していると述べました。Instagram では、13 歳から 17 歳の子供がビジネス アカウントでメール アドレスと電話番号を共有することを許可していました。また、デフォルトでティーンエイジャーのアカウントを公開しました。メタは判決を不服として控訴している。
「[多くの] 規制の大部分は、同意を収集する方法と、収集しているものについて、消費者に明確で透明性のある明白な方法で通知する方法です。相互の作用。
2023 年に予想される新しいデータ プライバシー法とデータ保護の傾向
テクノロジー大手の説明責任はゆっくりと進んでいますが、データ プライバシーに対する全体的な態度は変化しています。平均的な消費者は、企業が情報を収集する方法をより意識するようになり、プライバシーに関する懸念がテクノロジーに関する会話の中心になっています。ただし、自らをテクノロジー企業とは考えていない企業であっても、顧客データの慣行を評価し、データ管理が安全であることを確認する必要があります。
スロバキアは、GDPR は世界的なデータ保護法の津波の「触媒」に過ぎず、企業は世界中の同様の進展を監視する必要があると述べました。
たとえば、カリフォルニア、バージニア、ユタ、コロラド、コネチカットでは、新しいデータ プライバシー法を制定したり、既存の法律を更新したりしています。韓国や中国などの他の国も、データ セキュリティに関する新しい規制を可決しています。
法律事務所のThompson Hineによると、米国で施行される予定のデータ保護法および規制では、消費者のオプトアウト権とプライバシーの優先権が強調されています。これに準拠するために、オンライン ビジネスは、個人情報の共有または販売をオプトアウトするための承認された明確な方法を Web サイトで顧客に提供する必要があります。これは、「私の個人情報を販売または共有しないでください」および/または「私の機密性の高い個人情報の使用を制限する」リンクを意味する可能性があります.
これらは、消費者により多くの透明性と管理を提供するために設計された今後のガイドラインのほんの一例です。2023 年には、データ プライバシーに対する顧客の権利に関する顧客とのコミュニケーションに関して、さらに多くのガイドラインが作成されることが予想されます。
「これは EU 市民とカリフォルニアだけに限ったことではありません」とスロバキアは言いました。「これは世界を席巻するトレンドです。現在のデータ フローに投資することで、一歩先を行くことができます。」
GDPR とデータ保護のコンプライアンスに関するヒント
GDPR のような包括的な法律を順守することは不可能に思えるかもしれませんが、一歩ずつ進めば、ビジネスはすぐに順守への道を歩むことになります。モチベーションを維持するために、完全なコンプライアンスが目標である必要はないことを覚えておいてください。規制当局を寄せ付けないようにするためには、努力を示すだけでも十分かもしれません。
「道を歩み、規制当局と協力してきた企業は…彼らに対する訴訟が終結したか、罰金が減額された」とケーガン氏は述べた. 「計画が必要です。リスク評価を実施し、処理の中でリスクの高い部分を見つけ出し、それらに取り組み始めます。道を進んでください。」
開始するには、次のヒントに従ってください。
- パニックにならない。データ保護法は複雑で広範囲です。企業、特に中小企業にとって、管理するのは大変なことです。ただし、一度に 1 つの小さなタスクを実行できるように、プロセスを管理しやすい部分に分割することが重要です。リストから一挙に削除するのではなく、コンプライアンスに向かって進んでいると考えてください。
- リスク評価を実施します。Kagan 氏によると、開始するのに最適な場所は、リスク評価を実施することです。この評価を使用して、規則に違反している可能性がある、またはデータ侵害に対して脆弱である可能性がある、ビジネスにとって最大のリスク領域を特定します。
- 最もリスクの高いコンポーネントから始めます。データ収集操作の各要素のリスク プロファイルを包括的に理解したら、最初に対処する部分を決定できます。常に、会社の最もリスクの高い要素から始めてください。たとえば、セキュリティが不足している場合は、防御を強化してデータ侵害を防ぎます。消費者のデータを取得して使用することについて消費者の同意を得ていない場合は、その同意を得るための方法を実装します。GDPR コンプライアンス コンサルタントと連携することで、リスクをより明確に理解することができます。
- データと、それを収集する理由を理解します。米国全体の GDPR とデータ プライバシーに関する法律の重要な部分は、企業が収集するデータとその収集理由を完全に把握する必要があるということです。要求に応じて、消費者は自分のデータのコピーを提供する必要があり、企業はそれを編集または削除できる必要があります。どのデータを収集し、どのように保存し、どこで共有し、なぜ使用するのかを理解することは、ビジネスにとって不可欠です。完全に理解できなければ、データ保護法の順守は事実上不可能になります。
- 正式なガバナンス プログラムを確立します。データ保護法を遵守する (または少なくとも遵守に向けて取り組む) ための内部プロセスを開発したら、正式なガバナンス プログラムを確立すると、それらの取り組みを規制当局に示すのに役立ちます。正式なガバナンス プログラムは、データの取得、保存、共有、および使用方法を正確に構築できます。これは大企業にとって特に重要ですが、小規模から中規模の企業でも、データ ガバナンスを正式化することでメリットが得られる可能性があると Kagan 氏は述べています。これには、データ保護責任者を任命して、日々のデータ収集と処理を監督し、GDPR 規則に準拠していることを確認することが含まれる場合があります。
GDPR、CCPA、およびその他のデータ プライバシー法への準拠は、進行中のプロセスです。可決または提案された各法律には異なる要件がありますが、基本的な目標は同じです。個人データの処理を適切に管理することから侵害を防止することまで、企業が行うことが期待されていることはたくさんあります。つまり、すべての詳細を知らなくても、規制当局からすべての明確な説明を受けなくても、コンプライアンスに向けて取り組み始めることができる、とケーガン氏は述べています。
「従うのに遅すぎることはない」と彼女は言った。「あなたの流しが皿でいっぱいだという事実を無視してください。それを避けたり、明日まで先延ばしにしたりしないでください。とにかく始めましょう。」
ベスト プラクティスを実装してそれに従うことで、データ プライバシー法に抵触するリスクを軽減できます。また、最悪のシナリオでは、消費者データを保護するために誠実に努力したことを規制当局に示すことができます。コンプライアンス以外にも、データ保護規則で定められたベスト プラクティスを順守するビジネス上の理由があると Slovak 氏は述べています。
「正しく行えば、監査可能性と透明性が得られます」と彼は言いました。「どのようなデータがあり、どこに送信されているかを顧客に伝えることができます。正しく行えば、顧客と話している瞬間に顧客が何を望んでいるのかをよりよく理解できるため、顧客との会話が改善されます。」
消費者データのプライバシーを保護することは、優れたビジネス感覚であり、信頼できるブランドを構築するのに役立ちます. GDPR への対応は、消費者データ保護を最優先する方向への移行を開始するための良い方法です。
「結局のところ、データはあなたに委ねられたものです」と Slovak 氏は述べています。「消費者は、より良い体験とサービスを提供できるように、自分自身に関する情報をあなたに委ねています。これは、顧客や見込み顧客への対応方法を再評価する機会です。これまでとは異なる考え方、データへの投資、およびデータ自体を管理するためのツールが必要です。」
規制の先を行き、顧客とのより良い関係を構築するには、データ インフラストラクチャとガバナンスに投資することから始めることができます。
カイリン・ポタミは、この記事の執筆と報告に貢献しました。一部のソース インタビューは、この記事の以前のバージョンのために実施されました。
コメントを残す