GDPR(EU一般データ保護規則)とは?EC事業者への影響や対策

EcWork編集部

GDPR(EU一般データ保護規則)とは、2018年にEUで施行された個人情報の保護や取り扱いに関する法令のことです。

施行当初は日本国内でもそれほど大きな話題となりませんでしたが、ここにきてGoogleやFacebookといった大手グローバル企業が対策に乗り出したことで、国内のEC事業者は今後の影響や推移を注視しています。

そこで今回はGDPRの概要と、今後予想されるEC事業者への影響や対策について解説します。

GDPRとはECで施行された個人情報の保護・取り扱いに関する法令

GDPR(General Data Protection Regulation)とは、2018年5月25日にECで施行された個人情報の保護や取り扱いに関する法令です。

日本語では「EU一般データ保護規則」と呼ばれており、EC圏内における個人データの保護や取り扱いに関して、さまざまな規則が設けられています。

具体的には、

  • 本人が個人データの削除を個人データの管理者に要求できる
  • 自身の個人データを簡単に取得でき、別のサービスに再利用できる(データポータビリティ)
  • 個人データの侵害を迅速に知ることができる
  • サービスやシステムはデータ保護の観点で設計され、データ保護されることを基本概念とする
  • 法令違反時の罰則強化
  • 監視、暗号化、匿名化などのセキュリティ要件の明確化

といった項目が該当します。

なぜEUの法令が世界的な影響力を持つのか?

さて、素朴な疑問としてなぜECで施行された法令が世界的な注目を集めているのでしょうか?背景には、インターネットを利用したグローバルビジネスの拡大が挙げられます。

インターネットの登場は、国境を超えたビジネスの拡大に大きく貢献しました。日本にいながら簡単に海外のネットショップで買い物ができ、商品を購入することができます。

言い換えれば、個人情報の取得に関しても国境の垣根がなくなったということ。例えば、日本国内の企業であっても、EU圏内のユーザーが来店しサイトを利用した際は、GDPRの法令に違反する恐れがあるということです。

GoogleやFacebookなどのグローバル企業が対策に動き出す

こうした状況の中で大きな影響を受けたのが、世界規模でサービスや事業を展開しているグローバル企業です。

例えば、Facebookは個人情報の流出が大きな問題となり、GDPRに違反したとして多額の罰金が言い渡されました。Googleも個人情報の取り扱いに問題があるとされ、5,000万ユーロの罰金が科されています。また、世論からも行き過ぎた個人情報の収集や取り扱いに対して、巨大企業への風当たりが強まっていました。

こうした状況を重く見た企業では、GDPRへの対策に乗り出します。SafariやFirefoxなどの検索エンジンは、個人情報を収集するための仕組みであるクッキー(cookie)をデフォルトで無効することを決定。

Googleでも2023年の後半を目途にクッキーの廃止を発表するなど、GDPRへの対応の動きが加速しています。

EC事業者への影響は?Webマーケを活用するECへの影響は大きい

では、日本国内のEC事業者にはどのような影響が考えられるのでしょうか?

国内のEC事業者といえども、GDPRの施行にともなう大手サービスの動きによっては、これまでの戦略を見直す必要に迫られます。

具体的に見ていきましょう。

影響1.クッキーの廃止によるマーケティング戦略の見直し

もっとも影響が大きいのが、クッキーの廃止でしょう。

多くのEC事業者では、リターゲティング広告や顧客情報の分析を目的としてクッキーを活用しています。しかし、Googleが2023年後半を目途にクッキーの廃止を発表したことから、今後は外部のサイトから発行されたクッキー(サードパーティークッキー)を利用したマーケティングが難しくなってきます。

サードパーティークッキーは主にWeb上での新規顧客の獲得に活用されていますが、こうした施策に頼ってきた事業者はマーケティング戦略そのものを大きく見直す必要に迫られるでしょう。

影響2.個人情報の保護や取り扱いに関するコストや労力が増える

2つ目は、個人情報の保護や取り扱いに関するコストや労力が増えるということ。

GDPRでは個人情報の保護や取り扱いに関して細かな規定を設けています。サイトの訪問者に対して個人情報の取り扱いをきちんと明記することはもちろん、仮に個人情報の漏洩があった場合は72時間以内にユーザーに対して報告する義務が発生するなど、事細かい決まりがあります。

こうした規則を遵守するには、サイトの改修や規約の見直しが必要となってくるでしょう。また、専門的な知識を待った法律家への相談なども、その都度必要となってきます。

こうした対応にはコストや労力が発生するため、EC事業者にとっては負担が大きくなると予想されます。

EC事業者が取り組むべき対策は?

では、GDPRに関連する大手グローバル企業の動きを踏まえた上で、EC事業者はどのような対策を講じていけば良いのか見ていきましょう。

対策1.ファーストパーティークッキーを活用する

1つ目はファーストパーティークッキーを活用するということ。

ファーストパーティークッキーとは、訪問したサイトのドメインから直接発行されるクッキーのこと。簡単に言えば、自社サイト訪れたユーザーの情報と呼ぶことができます。

ファーストパーティークッキーの活用に関してはユーザーの許諾を受けている場合、これまで通り自由に活用することができます。

GDPRへの対策として、大手グローバル企業はクッキーの廃止を発表しています。外部サイトから発行されるサードパーティークッキーが活用できないことが予想されるなら、今後は自社サイトのユーザー向けの施策に注力することが重要となってきます。

既存顧客へのマーケティングを強化し、顧客満足度の向上やリピーター獲得へ繋げることが大切です。リピーター獲得はこれまでもECの重要戦略として位置づけられていましたが、今後は本格的にリピーターを軸とした施策へシフトしていく必要があるでしょう。

対策2.個人情報の扱いを厳格化する

2つ目は、個人情報の扱いを厳格化するということ。

GDPRの基本的な考え方は、個人情報の取り扱いにルールを設け、個人のプライバシーを守るということです。つまり、ECサイトでも個人情報の取り扱いを厳格化し、きちんと法令に遵守した上での運営を行うことは、なんら問題ないといえます。

むしろ、ユーザーにとっても安心して使えるサイトとして、信頼感や安心感を提供することができます。

例えば、ページ内にファーストパーティークッキーの使用許諾をきちんと表示することや、個人情報の取り扱いに関する取り組みをサイト内の分かりやすい場所に提示するといった方法が効果的でしょう。

当たり前のことにきちんと取り組む姿勢をオープンすることで、ユーザーからの信頼感を獲得していきましょう。

対策3.コンテンツマーケティングを強化する

3つ目は、コンテンツマーケティングの強化です。

SEO記事やSNSの投稿、動画配信といったコンテンツマーケティングは、現在でも多くの企業が取り組んでいます。クッキーの廃止などGDPRに関連する大手グローバル企業の規約が強化されていけば、自社オリジナルのコンテンツはより価値が高まっていきます。

直接的な購入に繋がらなくても、自社サイトやブランドのファンを構築していく「ファンベース」の視点は、今後さらに重要となってくるでしょう。

まとめ

GDPRとは、ECで2018年に施行された個人情報の保護や取り扱いに関する法令のことです。

世界規模でサービスを展開するGoogleやFacebookはGDPRの施行後、法令ヘの違反や罰金を科されるなど、個人情報の取り扱いに関して変革を迫られていました。

こうした中、2023年後半を目途にGoogleがクッキーの廃止を発表。EC事業者はリターゲティング広告や顧客分析に活用してきたサードパーティークッキーを利用できなくなるため、戦略の見直しが不可欠といえます。

クッキー廃止の影響への対策として、自社を訪れたユーザーの情報にあたるファーストパーティークッキーの活用が重要といえるでしょう。既存の顧客への満足度や信頼感を育むことで、中長期的に利用してもらえるサイトの構築を目指します。

また、個人情報の取り扱いに関しての取り組みをオープンにすることで、ユーザーに対しての安心感を提供することも効果的でしょう。

いずれにしろ、2023年のクッキー廃止後に対策に取り組んでいては、後手に回ってしまいます。いまの内からGDPRに関する情報を社内で共有し、しっかりとした戦略を話し合っておきましょう。