COLUMN海外メディア戦略コラム
いまさら聞けないGDPR、CCPA(世界のプライバシー規制)
世界では、個人のプライバシーを守ることに視野を置いた「プライバシー法」が徐々に整備されています。個人にとっては安全性を高めることにつながるプライバシー法ですが、企業は対応に追われているのが実際のところ。ルールを守らなければ、大きな罰則が与えられることもあるので大変です。
本記事では、世界で注目を集める「GDPR」と「CCPA」について紹介するとともに、日本企業が海外マーケティングをする際に気をつけることについて紹介します。
GDPRとは
はじめに、GDPRについて整理しておきましょう。GDPRとは、2018年にEUで施行された「一般データ保護規則(General Data Protection >Regulation)」を指します。簡単に言えば、個人のプライバシーを保護するために、EUにおけるデータ管理やプライバシーに関するルールを厳しくするというものです。
例えば、以前であればサイト訪問者の訪問履歴であるCookieを無許可で取得することができました。しかし、GDPRが開始されてからは、Cookieの取得に関しても、サイト訪問者の同意が必要になりました。ヨーロッパ発のウェブサイトを開くと、Cookieの取得に同意しますかという文面が出るのもそのためです。
また、データの保管や扱いに関するルールも同様に厳しくなっています。顧客データの保管方法や期限、情報漏洩時の対策やデータ保護オフィサーの任用など、気をつける点が多くあります。
気をつけなければならないのは、GDPRは、法律として定められたルールであるということです。もしGDPRに準拠していない場合、場合によっては罰金などが科せられることがありえます。
また、EUで施行された法律ですが、EUの所属国はもちろんのこと、EUの人々をターゲットにした外国企業にも当てはまることにも注意が必要です。日本の企業であっても、全世界を対象にした商品やサービスを展開している場合、EUの人々がサイトを訪れる場合があります。そのため、海外マーケティングを行っている会社であれば、GDPRをすぐに確認し、必要な対策を練る必要があります。
GDPRの詳細については非常に細かいルール設定がなされていますので、ここで説明するのは避けますが、ジェトロが日本企業向けにハンドブックを発行していますので、そちらをご確認ください(ジェトロ:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック)。
CCPAとは
GDPRは聞いたことがある人も多いと思いますが、CCPAについては初めて聞く方も多いと思います。CCPAは、「カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)」を意味します。GDPRはEUが対象だったのに対し、CCPAはカリフォルニア州の住民を対象にしたプライバシー法で、2020年1月より適用開始されました。
CCPAでは、カリフォルニア州に拠点を置く企業はもちろんのこと、カリフォルニア州に関連するビジネスを展開する企業が必要な措置を講ずることが必要になります。ただし、CPAの対象となる企業は、以下の条件の1つ以上を有している企業に限定されるため、GDPRと比べると対象となる企業は少なくなるでしょう。
・2,500万ドルを超える年間総売上を達成している
・商業目的で5万件以上の消費者、世帯、デバイスに関する個人情報を購入、取得、販売、共有する
・消費者の個人情報の販売によって年間売上の50%を得ている
ただし、もし上記に当てはまる企業は、CCPAに準拠した上でビジネスを行わなければ、法のもとで大きな罰金が科せられる可能性もあります。海外マーケティングを行っている企業は、しっかりと確認しておきたいところです。
CCPAについても、ジェトロが日本人向けのハンドブックを発行していますので、詳しくはこちらをご覧ください(ジェトロ:カリフォルニア州消費者プライバシー法(CCPA)実務ハンドブック)。
日本人が海外マーケティングをする際に気をつけること
今後は、日本企業の海外進出がますます加速すると考えられますが、その一方で、海外マーケティングをする際に気をつけることも増えてきています。海外マーケティングをする企業が気をつけるべきポイントについて、以下に紹介します。
1.プライバシー法に関する世界の流れを知る
まずは、世界ではプライバシーに関する法律が厳しくなってきているのを知るところから始めましょう。今回紹介したGDPRやCCPAの他にも、各国がプライバシーに関するさまざまな法律を設定しています。日本ではプライバシーに関するルールが比較的緩いですが、世界では大きく変わりつつあることを、まずは理解しましょう。
2.ターゲットの選定を行う
各国・各地域のプライバシー法では、その地域に住む住民に対するビジネスを行う企業に対し、必要な措置をとるように求めています。そのため、顧客のターゲットをきちんと絞り込むことで、プライバシー法への対処をするかどうかを決めることができます。
例えば、外国人をターゲットにせず、日本人だけをターゲットとする商品やサービスでは、基本的には日本の法律と世界の一般的な法律に沿って進めることができます。
また、外国人をターゲットとする場合は、どの国をターゲットにするかを絞り込むことで、必要な対策が見えてきます。ターゲットの選定をしっかりと行うことは、プライバシー法への対処としてとても重要です。
3.プライバシー法について勉強し、必要な対策を行う
昨今の流れとしては、個人のプライバシー保護がますます重要視されるようになっています。現在は各種プライバシー法に当てはまらないビジネスであっても、今後はプライバシー法の適用範囲内になることが十分考えられます。そのため、プライバシー法についてもしっかりと勉強するとともに、世界の最新ニュースをチェックする習慣をつけることが重要です。
4.海外マーケティングに詳しい専門家や企業と連携する
各企業が海外マーケティングに必要な勉強をすることはもちろん大切ですが、世界ではものすごいスピードで変化が起きており、企業努力だけでは対応できないこともあります。しかし、そのあたりをうやむやにしたまま海外マーケティングを行い、大きな罰金を科せられることは十分にありえます。そのため、海外マーケティングを視野に入れている企業は、海外マーケティングに詳しい専門家や企業のアドバイスを受けつつ進めていくことが確実です。
終わりに
本記事では、GDPRやCCPAをはじめとしたプライバシー法への対応について紹介しました。日本の人口減少が叫ばれる中、今後は海外マーケティングを視野に入れた戦略を練ることが重要です。しかし、すべてを自社だけで対応したのでは、負担が大きくなります。海外マーケティングに精通した企業と連携を取りつつ進めることも視野に入れるとよいでしょう。
弊社では、海外マーケティングに関するさまざまなサポートを格安価格にて提供しています。もし海外進出にご興味がございましたら、ぜひお気軽にお問い合わせください。