GDPRの準備に関するeコマースエキスパートガイド
公開: 2018-05-15最近では、すべての会話がオンラインのプライバシーとデータの誤用に戻っているようです。 私たちは最近、FacebookのCEOであるMark Zuckerbergが、Facebookでの個人データの使用について米国上院で証言するのを見ました。そして、スキャンダル後にエンゲージメントが低下したという評判を再構築するための同社のその後の争奪戦。 毎日、データに関連した新たな論争が解き明かされているようです。
より匿名のインターネットに対する一般の要望と、ユーザーデータの収集がビジネスに役立つという民間部門の認識により、議論はさらに進んでいます。 その間、ヨーロッパ諸国はデータの管理ミスから市民を保護するために取り組んでおり、その影響は世界中の企業にとって大きなものになる可能性があります。
2018年5月25日、ヨーロッパの企業は消費者データの処理方法に取り組むことを余儀なくされます。 一般データ保護規則(GDPR)の一環として、企業は、データの収集、保存、および最終的な使用方法をより詳細に制御できるようにする必要があります。
この規制は、データ収集会社がどこにあるかに関係なく、欧州連合内の市民のデータ保護とプライバシーを強化することを目的としています。 言い換えれば、ヨーロッパの顧客に開かれたビジネスを持っている場合、それが最終的に発効する前に、GDPRに注意を払う必要があります。 会社がEUユーザーからのデータを処理する場合は、この新しい規制について理解するために少し時間がかかる必要があります。
GDPRとは何ですか? よくある質問と回答
GDPRは2016年4月27日に正式に採択されましたが、企業が新しいルールに適応できるように設計された2年間の移行期間のため、2018年5月25日まで施行されません。 つまり、この規制は、消費者がデータの収集方法と使用方法を完全に制御できるようにすることを目的としています。 EUは、個人データを、誕生日、住所、電話番号、給与、家賃、IPアドレスなど、「特定された、または特定可能な自然人に関連するあらゆる情報」と定義しています。
この重要な規制に関連するいくつかの一般的な質問を次に示します。これにより、この業界の変化に備えるために追加のリソースを費やす必要があるかどうかをよりよく理解できます。
従わない場合、罰金を科せられますか?
はい、新しい規制に準拠していない組織は多額の罰金を科せられます。 規制では、GDPRに違反すると、世界の年間売上高の最大4%または2,000万ユーロ(約2,400万ドル)のいずれか大きい方のペナルティが発生する可能性があると定められています。
それは私のビジネスに適用されますか?
GDPRの範囲は明らかに巨大です。 これは、欧州連合の居住者のデータを処理するすべての企業に適用されます。 そうは言っても、個人または家庭での使用のみにデータを使用する場合、規制は適用されません。また、従業員が250人未満の企業ではそれほど厳しくない場合があります。 ビジネスの規模に関係なく、詳細な内部記録を保持し、GDPRに準拠する必要がありますが、記録保持の要件は異なります。
米国企業は罰金を科せられますか?
米国企業はコンプライアンス違反の責任を問われ、国際法の下で同じ基準に罰金を科される可能性があります。 専門家によると、欧州連合に物理的に存在しない企業でさえ、新しい規制に従わなければなりません。
GDPRは何を保護しますか?
この法律の主な目的は、データ収集に関する明確で混乱のないオプトイン言語を消費者に提供することです。 それは消費者に8つの個人の権利を提供します:通知を受ける、アクセスする、修正する、消去する、処理を制限する、データの移植性を持たせる、反対する、そして自動化された意思決定とプロファイリングに関する決定を下す。
GDPRは消費者にどのようなメリットをもたらしますか?
新しい規制の主な利点は、消費者のデータを非公開に保つことです。これは、非公開のままにすることを選択した人の保護を強化することを意味します。 以下で説明するように、新しいルールはビジネスにいくつかの測定可能な利点をもたらす可能性があります。
これはeコマースビジネスにとって何を意味しますか?
それについては間違いありません。 Springbotなどのeコマース分析ツール(広告のリターゲティング、電子メールマーケティングの取り組み、広告のパーソナライズなどのために消費者に関する貴重なデータを効率的に収集できる)を通じて消費者を理解することは、通常、ほとんどのオンラインストアにとってかなりの投資です。 責任を持ってデータを収集する限り、GDPRや同様の規制に直面しても、これらの貴重なツールに依存することをやめる必要はありません。 結論として、個人データマイニングは非常に曖昧であり、ほとんどの消費者は自分たちが管理している場合にのみそれをサポートします。
ルールの変化が表すのは、より標準化されたデータ収集の推進であり、これは実際にはビジネスにとってより良いことを意味する可能性があります。 実際には、メーリングリストに登録している場合でも購入している場合でも、ユーザーのデータを処理するときはいつでも、アクセスを確認、調整、消去、制限する権利をユーザーに与える必要があります。
全体像では、消費者を第一に考え、ビジネスのサイバーセキュリティを向上させ、さらにはその評判を保護していることを意味します。 データを共有する意思のある人々からデータを収集する場合でも、主要な分析を集約し、情報を保存したくない人々からの顧客の不満を最小限に抑えることができます。
準備するためにすべき上位5つのこと
公式のGDPR実装に向けてビジネスを準備するためにできる最も重要なことは、法律を学ぶことです。 正式な規制は長く、法律用語でいっぱいですが、データ収集に関する新しいルールの優れた要約を提供する質の高いオンラインリソースがあります。 たとえば、新しい法律では、72時間以内にデータ侵害を消費者に通知する必要があり、消費者にデータの使用方法にアクセスする権利を与える必要があり、消費者が「忘れられる」、または削除されることを許可する必要があると規定されています。リクエストに応じて、システム。
次に、法律があなたのビジネスに具体的にどのように影響するかを決定することが不可欠です。 前述のように、中小企業(SMB)と大企業では、報告の側面と記録管理のルールが異なるため、会社の責任を認識しておく必要があります。
当然のことながら、コンプライアンスに向けてビジネスを準備するためにできることはたくさんあります。 以下の推奨されるヒントに加えて、プロセスに脆弱性が含まれていないことを確認するために、法律顧問に相談することをお勧めします。
1.透過的なプロセスへの移行
この規制の通過からの重要なポイントは、消費者が自分のデータがどのように使用されているかについてすべてを知る権利を人々が望んでいること、そして法律が施行することです。 つまり、データに関する消費者とのすべてのコミュニケーションは、可能な限り透過的でなければなりません。 会社がデータを処理する方法を理解すると、データが準拠しているかどうかを判断するのに役立ちます。したがって、データがどこに保存され、どのように使用されているかを把握してください。
- 同意書を明確な言葉で書き直します。
- データを収集するときは、ユーザーから明確な同意を得てください。
- 「オプトアウト」言語から「オプトイン」言語に切り替えます。
- 特定のデータを処理する理由を説明してください。
- データ保護影響評価(DPIA)を実行します。
2.リーダーを任命し、情報を共有する
この規制のもう1つの重要な側面は、一部の企業は、企業内のデータ保護プロセスを監督する責任を負うデータ保護責任者(DPO)を任命する必要があることです。 すべての企業がDPOを必要とするわけではなく、大量の個人データを処理する企業だけが必要ですが、すべての企業は、すべての法律が正しく遵守されていることを確認できるコンプライアンスリーダーを指名する必要があります。
- あなたのビジネスがDPOを必要とするかどうか調べてください。
- DPOが必要ない場合でも、データプライバシーリーダーを任命してください。
- 新しいルールについてすべての部門に警告します。
- データアクセス要求の処理方法を決定します。
3.すべてのサービスを検証する
企業は、合法的なデータストレージの実装に役立つデータプロセッサのみを使用する必要があります。つまり、新しい規制を大幅に無視する可能性のあるツールがないことを確認するために、堅牢な監査を行う必要があります。 たとえば、分析プラグインを使用する場合は、GDPRに準拠した方法で消費者データを保存および管理するようにしてください。 Springbotは、お客様が合法かつ倫理的な方法でデータを取得できるよう支援することをお約束します。
- サードパーティのサービスが準拠していることを確認してください。
- 使用するツールにユーザーの同意が必要かどうかを確認します。
- プロセスをスピードアップするためのパートナーからのツールを探してください。
4.記録を刷新する-記録を維持する
GDPRの最も困難な側面の1つは、記録管理です。 消費者は現在、個人データについて通知を受け、アクセスし、消去する権利を持っているため、プロセスが細心の注意を払って記録されていることを確認する必要があります。 また、消費者があなたに要求した場合は、顧客データにオンデマンドでアクセスできる必要があります。
個人データを第三者と共有するかどうかに関係なく、個人データを識別して報告できる必要があります。 より厳格な記録管理ルールの主な目的の1つは、個人データが正確であることを確認することです。 正しい個人データを記録し、それに応じて他の組織を更新するのはあなた次第です。
- 記録管理をカバーする第30条を知ってください。
- データ処理の目的を記録します。
- データ主体と受信者のカテゴリに関する記録を保持します。
- 第30条で要求されているものを超えて、すべてを記録します。
5.データを正しい方法で活用する
最後に、移行の準備をするためにできる最後のことは、これらの新しい規制の下で顧客データを活用するための最も責任のある方法を見つけることです。 GDPRは、個人データは「個人データが処理される目的に必要な期間を超えてデータ主体を識別できる形式で保持する必要がある」と述べています。 したがって、指定された目的で使用する予定であることを消費者に通知する限り、リターゲティングやその他の長期的なマーケティング活動などにデータを使用できます。
- 個人データを記録に残すことが許可されている期間を理解します。
- その期間の後にデータをいつどのように破棄するかについての計画を作成します。
- データをできるだけ「匿名化」して、より長く保存できるようにしてください。
- どの種類の個人データが最もリスクが高いかを特定します。
重要な理由
これはすべて大変な作業のようですよね? ただし、ここに問題があります。GDPRは、個人データの収集と同様に、カスタマーエクスペリエンスにも適しています。 これは、消費者が圧倒的にパーソナライズされたエクスペリエンスを好み、データ集約がよりパーソナルなオンラインエクスペリエンスにつながる可能性があることを認識している一方で、消費者は自分のデータを完全に管理したいと望んでいるためです。 また、オンライン買い物客の92%がセキュリティとプライバシーを懸念事項として挙げているため、オンラインショッピングをよりプライベートにするためにそのような対策を講じる必要があります。
これらすべてを念頭に置いて、重要なプライバシーの境界を越えることなく、お客様により良いサービスを提供できるように、私たち全員が新しい調整を行うことが重要です。 マーケティング、販売、ビジネスの成長に関しては、GDPRがあなたを後退させるべきではありません。
代わりに、それはあなたが幸せで、信頼できて、忠実な顧客を育てることができるように、あなたが物事をより良くする方法を変えるべきです。 したがって、GDPRに向けてビジネスを準備するために少し余分な時間とお金を費やすことは、努力する価値が十分にあります。