コラム

Column

  1. 世界へボカン ホーム
  2. コラム
  3. 越境EC
  4. 越境ECの「GDPR」対策はなぜ必要か?Cookieや同意モードとは?

越境ECの「GDPR」対策はなぜ必要か?Cookieや同意モードとは?

はじめに:GDPRとは何か?

GDPR(General Data Protection Regulation)とは、EU(欧州連合)が制定した個人データ保護に関する規制です。2018年5月25日に施行されました。個人のプライバシーを保護するため、企業や組織に対し、個人データの収集、処理、保管について厳しく規制を行っています。

この中では、「個人の同意を得てデータを収集すること」「適切なセキュリティ対策を講じてデータを保護すること」「必要な場合にはデータの削除や修正を行うこと」などが明確にルール化されています。GDPRに違反をすると厳しい罰則が課せられるため、個人のデータを扱う企業や組織は、GDPRを理解することが重要です。

GDPRで覚えておくべきポイントを、ご紹介します。

個人データとは 

個人データとは、個人が特定され得る全ての情報を指します。住所や指名、連絡先、本人写真の他、IPアドレスやクレジットカード番号なども対象となります。

個人は個人データの消去を要求できる

GDPRの第17条には「忘れられる権利」があります。企業や組織は、ユーザーから取得した個人データを、個人の要求に応じて消去しなければならない義務を負うというものです。しかし、これは無条件ではなく、次に示す一定の条件(データがもはや必要でない場合など)が満たされた場合に限られます。

一定の条件:

(a)その個人データが、それが収集された目的又はその他の取扱いの目的との関係で、必要のないものとなっている場合。

(b) そのデータ主体が、第6条第1項(a)又は第9条第 2 項(a) に従ってその取扱いの根拠である同意を撤回し、かつ、その取扱いのための法的根拠が他に存在しない場合。

(c) そのデータ主体が、第21条第1項によって取扱いに対する異議を述べ、かつ、その取扱いのための優先する法的根拠が存在しない場合、又は、第21条第2項によって異議を述べた場合。

(d) その個人データが違法に取扱われた場合。

(e) その個人データが、管理者が服する EU 法又は加盟国の国内法の法的義務を遵守するために消去されなければならない場合。

(f) その個人データが、第8条第1項に定める情報社会サービスの提供との関係において収集された場合。

個人情報保護委員会による翻訳文より引用(引用元:https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf)

 

違反時の罰則

企業や組織がGDPRに違反した場合は罰則があります。個人データが漏洩した場合は、72時間以内に関係当局に連絡し、漏洩したデータの対象者に通知する義務があります。もしこの義務に違反した場合は、罰金を支払わなければなりません。金額は、最大で年間売上高の4%か、2000万ユーロ(約26.6億円)のうち高額な方となります。

越境ECとGDPRの関係

越境ECもGDPRの対象となります。EUの顧客に対し商品やサービスを販売する際は、EUに支店がなくてもGDPR対策が必要です。GDPRで定められている個人データには、IPアドレスやCookieなども含まれます。越境EC担当者は、GDPRの概要や個人情報保護規則の内容をよく理解し対応しましょう。

CookieとGDPRの関係

Cookieはユーザーの個人情報を取得するため、GDPRに違反しないよう注意が必要です。

Cookieとは?

Cookie(クッキー)とは、Webサイトのユーザーのブラウザに、閲覧したWebサイトや入力したデータなどの情報を記録する電子データまたは仕組みのことです。Cookieを使いユーザーのブラウザに情報を保管したり、ブラウザから情報を取得したりできます。
Cookieで取得した情報はブラウザに保存されるため、ユーザーは一度入力した情報を再入力しなくて済む点や、企業側はユーザーの好みに合った広告を表示し購買に繋げられる点がメリットです。

ファーストパーティCookieとサードパーティCookie

Cookieには、「ファーストパーティCookie」と「サードパーティCookie」という区別が存在します。
両者の違いは「誰が」Cookieを発行しているか、つまりCookieの発行元が異なります

ファーストパーティCookieとは、ユーザーが訪問したWebサイトのドメインから発行されるCookieです。
ユーザーがWebサイト上で入力した情報が保持されるため、ログイン状態を保存したり、情報の再入力が不要になったりと、利便性向上に役立ちます。

サードパーティCookieとは、ユーザーが訪問したWebサイトのドメイン以外から発行されるCookieのことです。
主に広告や分析ツールなど外部サービスで使用します。ドメインを横断してユーザーの行動を追跡できるため、広告のパーソナライズや効果測定をするのに役立ちます。

ユーザーの視点で話を置き換えてみると、どこのドメイン上でサイトを見ているかで異なります。先程のCookieを活用した事例をもとに、どちらのパーティにあたるのか考えてみましょう。

  • ケース①
    あるECサイトで買い物中、「お客様情報」を途中まで入力したものの離脱。その後、同じサイトを再訪問した際に、以前カートに入れた商品情報がそのまま残っていた。

この場合は、ECサイトのドメイン上で起きているため、ファーストパーティーCookieに該当します。

  • ケース②
    あるECサイトで買い物中、「お客様情報」を途中まで入力したものの離脱。その後、別のサイトを閲覧していたところ、先程購入しなかった商品の広告が表示された。

この場合は、ECサイトとは異なる別のサイトドメインであるため、サードパーティーCookieに該当します。

GDPRに違反しないためのCookie規制

Cookieは個人情報を保存しているため、個人情報流出や不正利用が問題となっています。主にサードパーティCookieの規制が話題に上がるケースが多いですが、GDPRではサードパーティ、ファーストパーティに関わらず、Cookieの利用が制限されるので、影響は広範囲にわたります。そのため、企業はユーザーのプライバシー保護のために、Cookieを正しく利用する必要があります。

GDPRではユーザーがWebサイトを利用する前に、Cookieを受け入れる「事前同意取得(オプトイン)」を義務化しました。そのため、GDPR対象地域に対してCookieを利用するためには、ユーザーにCookieの使用に関する通知を行い、ユーザーの同意を得ることで初めてCookieを利用することができるようになります。

Googleの同意モードとは

Googleの同意モードを利用すると、ユーザーがCookieの同意を得られなかった場合に、Cookieを利用せずデータを収集することが可能です。Cookieで取得できなかったデータをモデリング機能で推定値として計測できます。行動モデリングでは、同意を得られなかったユーザーに関するデータの欠損を、GA4の機械学習によるモデリングデータで補うことができます。ただ、Googleの同意モードを利用しても、完全な計測ができる訳ではない点には注意しましょう。

越境ECのGDPR対策5つ

越境EC担当者は、GDPR対策のために以下5つのポイントをおさえましょう。

個人データの理解

GDPRにおける個人データは、日本の個人情報保護法より範囲が広くなります。個人データは、「識別された、または識別され得る自然人に関するすべ ての情報」とされており、以下のようなものがあげられます。

  • 名前
  • 住所
  • 識別番号
  • メールアドレス
  • 位置データ
  • オンライン識別子(IPアドレスやCookie識別子)

EU圏内に居住する人が保護の対象となるため、EU圏外に国籍を持っている人も対象となります。

プライバシーポリシーの作成・公表

越境ECを運用する場合、プライバシーポリシーの作成と公表が求められます。自社のプライバシーポリシーの作成では、個人データの利用目的や取り扱いの法的根拠、本人の権利などを記載します。ユーザーに公表し問い合わせがある場合は、情報提供などを行い対応が必要です。

個人情報取得の同意ボタン設置

Webサイト上で個人情報を取得する際は、必ず同意ボタンを設置し、ユーザーの同意を得る必要があります。例えば、会員登録や問い合わせフォームでは、フォームの送信ボタン手前に「プライバシーポリシーに同意する」などのチェックボタンを設置します。

Cookie取得の同意ボタン設置

Webサイト上でCookieを取得する場合も、Cookieポリシーを公表した上で同意ボタンの設置が必要です。ユーザーはCookieを受け入れるかどうか選択できます。ユーザーがCookieポリシーに同意した場合でも、ユーザーの意思によりいつでも同意を取り消せる状態である必要があります。

セキュリティ対策

企業や組織は、ユーザーから取得した個人データを安全に保管する必要があります。そのため、セキュリティ対策を徹底し、保護しなければなりません。

ShopifyでのGDPR対策

Shopifyでは、GDPR対策に役立つツールを提供しています。

顧客情報の管理

個人情報保護法の規制は地域によって異なります。Shopifyでは、販売国や地域ごとにプライバシー設定をカスタマイズすることが可能です。管理画面の「お客様のプライバシー」から設定できます。

データアクセスとデータ削除

Shopifyでは、ユーザーの個人データへのアクセスや編集・削除などができるツールを提供しています。ユーザーのデータを取得しエクスポートすることや、個人データの編集や削除することが可能です。

プライバシーポリシーのテンプレート

Shopifyには、プライバシーポリシーの作成に便利なテンプレートがあります。個人データの収集や使用、保護について記載のあるテンプレートをカスタムすることで、プライバシーポリシーの透明性を保てます。

セキュリティ対策

Shopifyは、個人データを保護するための強力なセキュリティ対策を実施しています。例えば、暗号化、ファイアウォール、定期的なセキュリティ監査などを実施し、セキュリティ強化を行っています。

まとめ

越境ECでは、ユーザーの個人情報を正しく取得し、安全に保管する必要があります。ただ、ターゲットとなる国や地域によって法的規則が異なるため、越境EC担当者は、しっかり調査と対策を行うことが必要になってきます。
GDPRでは、ユーザーが個人データの消去を要求できるとし、企業はそれに対応する義務があるとされており、GDPRに違反した場合は、企業に罰金が課せられることもあります。
越境EC担当者は個人データについてよく理解し、Cookie同意のボタン設置や、プライバシーポリシーの作成・公表などの対応を行いましょう。

世界へボカンのメールマガジン

当社がこれまで培った知識やノウハウ、海外の先進事例などを、無料メールマガジンとして配信しております。ぜひご登録ください。

世界へボカンのプライバシーポリシーについてはこちらをご確認ください。

あなたの海外進出のお悩みを解決します!

弊社では、皆様のサービスや商品を最適な形で海外に進出するためのサービスをご用意しています。
具体的なプランは個々のご事情に合わせて策定いたしますので、まずはご相談ください。

ご相談はこちら

投稿者: 横田稔里
投稿記事一覧へ

更新情報を確認できます!

弊社では海外WEBマーケティングに関する情報をメルマガやSNSで発信しています!
是非、登録やフォローして最新の情報を入手してください。

はじめて越境EC、海外Webマーケティングに取り組む方向けに書籍を出版しました!

書籍「はじめての越境EC•海外Webマーケティング」の表紙写真

はじめての越境EC•海外Webマーケティング

越境ECの基本となる調査、制作、プロモーション、税務、法務を網羅。
YouTubeと連動し、更に細かい情報が獲得できます。

amazonで購入する

私たちが、
御社の海外進出を
サポートいたします!

私たちが提供するサービスや数々の支援実績、
実際に行ったマーケティング施策から導き出した
海外Webマーケティングのノウハウをまとめました。
ぜひご利用ください。

お役立ち実践ガイド

お問い合わせお待ちしています!