ビジネスにとっての GDPR の意味

今日は、GDPR があなたのビジネスにとって何を意味するかについて学ぶのに良い日です。

欧州連合の一般データ保護規則 (GDPR) は 2018 年 5 月 25 日に発効します。1 年近く先のことですが、運用上、準拠するために必要なことが山ほどあります。 (はい、「メトリック バット ロード」は専門用語です。)

Rethink Podcast のこのエピソードでは、Act-On のプライバシー、コンプライアンス、配信可能性の責任者である David Fowler に話を聞きました。 デビッドが言うように、GDPR は EU データ保護法の最大の変更点です。 また、EU の 5 億 1,000 万人の市民、および EU と取引を行うすべての企業に適用されます。

会話を楽しんでください。あなたのビジネスに役立つ 1 つまたは 2 つのヒントを得ることができれば幸いです。

Nathan Isaacs : デビッド、Act-On での活動について詳しく教えてもらえますか?

David Fowler : デジタル マーケティングに関連する地方、州、連邦、および国際法の下での義務の観点から、クライアントがデジタル ロードマップをナビゲートするのを支援します。 また、クライアントがメールの「送信」ボタンを押したときに、メッセージが受信トレイに到達するあらゆる機会があることを確認します. 2017 年のデジタル コンプライアンスは、非常に深く幅広い分野です。 たとえば、EU に郵送する米国のマーケティング担当者の場合、義務は、カナダに郵送する米国のマーケティング担当者の場合とは異なります。 これらの特定の立法ロードマップの下での義務をお客様に通知するのが私たちの仕事です。

Nathan : 今日話していることの 1 つは、一般データ保護規則 (GDPR) です。 それが何であり、それが何であるかを教えてもらえますか?

David : GDPR は 2018 年、正確には 5 月 25 日にヨーロッパで施行される法律です。 それは本質的に、1995 年の EU データ指令を完全に書き直したものです。 ポッドキャストを聞いている人のために言っておきますが、ヨーロッパにはデジタル コンプライアンスに関する普遍的な法律はありません。 データ指令には解釈があり、各国はその法律の解釈を決定できます。 ご覧のとおり、それ自体が事実上、この大きな混乱の可能性を生み出しています。

GDPR は、データベースに欧州市民を含むすべての企業に適用される普遍的な法律です。 これは、EU 内のすべての国で一律に行われます。 これは、5 億人のための 1 つの法律です。

Nathan : ヨーロッパの個人とビジネスを行っている、米国または世界の他の場所に拠点を置く企業の場合、これが適用されます。 そうですか？

David : その通りです。 また、違反した場合は、会社の総収益の最大 4% という重い罰金が科せられます。 たとえば、あなたが Google の場合、1 兆ドルの 4% はいくらですか?

GDPR に基づくお客様の責任

Nathan : 私が個人とビジネスを行う方法に新しい法律が適用されます。 準拠するためにビジネスとして何をする必要がありますか?

David : GDPR の下での責任を理解することが重要です。 ヨーロッパでは、2 つの味があります。 データの管理者と処理者がいます。 たとえば、あなたは Act-On のクライアントです。 あなたは GDPR ロードマップの下で管理者になります。 そして、私たち [Act-On] があなたのデータの処理者になります。 GDPR の下での私たちの義務は、A、明らかに法律を遵守することです。 B. GDPR に基づく義務を遵守できる製品とサービスを構築します。

あなたが準拠していることを確認することは、私たちの責任ではありません。 しかし、私たちの製品がコンプライアンスを可能にすることを示すことは私たちの責任です。つまり、同意メカニズム、同意のバックアップ、ダブルオプトインなど、許可に関して私たちが当然と考えているこれらすべての種類のものを提供することを意味します。彼らがそれをするところまで。

GDPR の範囲内でマーケティング オートメーション プラットフォームを使用することは、データの管理者であり、顧客のデータは準拠する必要があるだけでなく、そのためにテクノロジをどのように使用するかを理解する必要があります。 現在、人権、データや個人情報などの観点から、顧客のデジタル関係の受信者である場合、GDPR の下で議論される問題がさらに多くなります。 運用上、その準備を整えるために考えなければならないことがたくさんあります。 しかし最終的には、顧客がどのようにしてリストに入ったのか、どこから来たのか、または同意メカニズムを証明できない場合、ゴムが道路と出会う場所です。彼らへのマーケティングを開始するために使用された場合、基本的に、GDPR に準拠していないことになります。

GDPR の運用上の影響

Nathan : GDPR の運用上の影響はどのようなものですか?

David : いい質問ですね。 GDPR の運用面に備えるという観点から、会社の観点から考える必要がある 10 の領域があります。 第 1 は、データ セキュリティと違反通知です。

したがって、データ侵害が発生した場合、その侵害が実際に発生したか、または発生していることに気付いてから 72 時間以内に、データ保護機関である DPA に通知する義務があります。 必須の DPO (データ保護責任者) は、GDPR の下で実装されているものです。つまり、特定の規模の企業であれば、データ保護の取り組みを担当するスタッフを実際に配置する必要があります。

データ主体の同意は、データ主体から同意を得る方法という大きな問題です。 GDPR の下では、データ主体は実際の個人であり、異常ではありません。 国境を越えたデータ転送は大きな問題です。 データをヨーロッパ中、またはヨーロッパから米国、またはどこにでも移動する場合は、それについて検討する必要があります。 アデカシーの観点から言えば、現在の環境下では、ヨーロッパとアメリカの間の国境を越えたデータ転送メカニズムは、プライバシー シールドと呼ばれるプログラムによって管理されており、当社は企業としてプライバシー シールドの認定を受けています。 しかし、それを支援するために他のエンティティが登場します。

プロファイリングと拒否する権利は、個人がどのようにプロファイリングされるか、またどのようにプロファイリングされることに異議を唱える権利があるかという点で大きな問題になります。 つまり、今日あなたが白いシャツを着ていることがわかっている場合は、あなたのシャツの好みをプロファイリングし、それに合わせて白いパンツを送るかもしれません. 個人として、問題は、今後そのプロファイリングをオプトアウトできるという点で、それをどのように管理できるかです.

もう 1 つの大きな問題は、データの移植性と忘れられる権利です。 GDPR の下での概念は、個人として、会社 A からデータを取得し、許容可能な機械読み取り形式で会社 B に移動する権利があり、また、あなたが実際に持っていたという事実を持つ権利があるということです。その特定のブランドとのデジタル関係は忘れられています。 したがって、企業がどのようにそれを遵守し、これらの概念に基づいてこれらのタイプの戦略を実際に展開できるかという点で、これは大きな問題です. 私たちはまだそれについて腕を組んでいます。

7番目の領域は、管理者と処理者の義務と責任です。 Act-On である処理者としての GDPR の下でのあなたの責任と、Act-On の顧客である管理者としての GDPR の下でのあなたの責任は何ですか。 そして、それらは、それでプレートに来るいくつかの点に関して、2つの異なる問題です.

考慮すべきもう 1 つの問題は、個人データの仮名化です。どのように私があなたのデータを取得し、それにプラグインできる他のサードパーティ タイプのエンティティに基づいて、あなたの特定のロードマップに、より大きなプロファイルを作成できるか. 行動規範、特定の方法で行動しなければならない方法と理由。 そして最後に、罰金と手続きは大きな問題です。 違反した場合、会社の全世界の収益の 4% の罰金が科せられる可能性があります。

というわけで、運用面でいろいろあります。 プライバシー担当者やコンプライアンス担当者がいて、その担当者が技術運用担当者やエンジニアリング担当者と話をしていない場合は、それらの担当者をまとめることを検討する必要があります。組織的な観点からこのことを成し遂げるために村を取り上げてください。

GDPR に基づく個人の権利

Nathan : このすべてにおいて、個人の権利は何ですか?

David : ええ、それは素晴らしい質問ですね。 GDPR の下では、個人は通知を受ける権利を持っているため、「私はあなたの情報をここから取得しました。これは私がそれを使用して行う予定であり、これは私が行うつもりのないことです。それと。' アクセス権。個人として私たちを捕まえて、「ねえ、私の情報は正しくない、間違っている、不正確です。あなたが私について持っているプロファイルに基づいて、それを変更する必要があります」と言うことができます. .' 再認定を受ける権利。これは同じ意味で、知っていることに基づいて実際に変更または調整することができます。 消去する権利: 「ヘイ、Act-On、私に関するこれらの情報をすべて消去してください」または「Mr. そしてカスタマーさん、私に関するこの情報をすべて消去してください。

あなたには処理を制限する権利があります。つまり、「あなたからメールを受け取りたいのですが、SMS は受け取りたくない」という意味です。 または、「メールは受け取りたいけど、テキストは受け取りたくない」…など、どのような場合でも構いません。 次に、データのポータビリティを制限する権利。つまり、A 社からデータを取得し、B 社に移動することを意味します。理論的には、顧客が金曜日の午後 5 時に出発し、月曜日の午後 5 時に別の会社に移動する可能性があります。午前 8 時 そして、技術的には、それらはその環境内で稼働している必要があります。

そして最後に、「これは正しい、これは間違っている、これは無関心だ」と異議を唱える権利です。 そして、自動化された意思決定とプロファイリングに関連する権利、つまり、人工知能などのデジタルチャネルにいるように、人々がそれについて知っているかどうかに関係なく、人々や主題のプロファイルを構築し始めることができることを意味します. その情報をどのように開示し、それらのプロファイルをどのように構築するかという点で、率直でなければなりません。

私が想像しているのは、企業が同意を過剰に補償することです。 今日のデジタル関係にどのように関与しているかについて考えてみてください。開示、同意、およびこれらすべてのことは、私たちがいくらか当たり前だと思っていることです。 しかし要点は、多くのプロファイル ページやオンボーディング ページが表示されることになると思います。ここでは、事前にチェック ボックスをオンにすることはできませんが、人々が「これを選択するか、それを選択解除してください。 GDPR の事前チェック ボックスは完全に禁止されています。 それは完全に違法です。

マーケティング担当者として私が今やっていることは、来年の 5 月にこれが公開されるときの準備の努力において、猶予期間がなくなることです。 2018 年 5 月以降、ファイルに保存されているすべてのデータは、公開日に準拠する必要があります。 したがって、GDPR の実装の準備が整うにつれて、どのように再許可するか、または個人に関するさまざまな情報を開示するようになるかについて、今から考え始める必要があります。 だから、あなたのリストを再許可し、順番にあなたの同意を得て、開示について話し始めてください. そして、それがあなたが今日受け入れ始めるべきものです.

GDPR についてさらに学ぶ

Nathan : 私たちが今話しているのは、人々がコンプライアンスを開始する機会、またはコンプライアンスを維持するためのメカニズムを導入する機会を自分自身だけでなく他の人にも与えるためです。 チェックリストはありますか？

David : 完全な開示、私たちは法的なアドバイスやガイダンスを提供できる立場にありません。 しかし、EU 内の一部のデータ保護機関は、他の機関よりも発言力があり、コミュニケーションに積極的です。 多くの情報を公開した DPA の好例は、英国の情報コミッショナーズ オフィスである ICO です。

彼らのウェブサイトにアクセスすると、何を考えるべきか、どのように準備を整えるか、そして来年の義務について、たくさんの情報があります。

Nathan : では、これは、マーケティングからコンプライアンス、法務、エンジニアリングに至るまで、チーム全体で話し合うためのものですよね?

David : もちろんです。 人それぞれ解釈が違うから。 ドキュメンテーションは何百ページもあるということです。 非常に面倒です。 しかし、これは実際には、デジタル関係に対する常識的なアプローチです。 そして、それは今、個人だけの問題ではありません。 また、ベンダーとどのように取引を行い、どのようにベンダーに説明責任を負わせるかについても重要です。 ある意味では、これはマーケティングだけでなく、特定のものをオプトアウトするための常識的なデジタル アプローチのフレームワークでもあります。 それは間違いなくあなたが今考えるべきことです。 そうでない場合は、エイトボールから少し遅れています。

まとめ

Act-On は、来年を通じて GDPR に関するウェビナー、データシート、およびその他のコンテンツを作成する予定です。 質問がある場合は、David にメールを送信することもできます: [email protected] .