3分でわかるECサイトのGDPRコンプライアンス

ECサイトを運営するからには日本だけではなく、より多くの各国のお客さんにもリーチしたいですよね!そこで前回までは越境ECでアメリカン消費者にアピールする為に役立つ情報をお届けしてきました。

と、そこで気付いた大事な、越境ECサイトのコンプライアンス。そう、越境ECサイトを運営するなら2018年以降、必ず、そして既に実行していなければならない「GDPR」へのコンプライアンス。

(えっ!何?何GDPR?ってと今知った方はこれを読んだらすぐに実行しましょう)

ECサイトの運営にはSEOやマーケティングメールなど日々やることが盛りだくさんでこの上にコンプライアンス?と思われるのもよくわかりますが、基本を理解していれば大丈夫。グローバルにECサイトを成長させるためにも、

「3分でわかるGDPR」 で今すぐGDPRコンプライアンスをしましょう。

*88ページに及ぶGDPRの法律文を部分要約してわかりやすく3分にまとめたものですのであくまでも概要としてご覧いただき、コンプライアンスに関してはこちらの原文を確認するか、法律専門家にお問い合わせの上ご確認ください。

 「GDPR」 General Data Protection Regulationとは?

EUが施行する世界で一番厳しいといわれるデータプライバシー保護の法律。2018年5月に施行されました。インターネット上のプライバシー保護法というものではなくEU圏居住者の個人情報を守るべく制定されたプライバシー保護法律でインターネット上のデータ保護のこの中に入ります。

個人データとは:氏名、住所、Eメールアドレス、IPアドレス、クッキーなど個人を特定できる、結び付く情報。

GDPR」 対象となる会社とは?

EU圏の居住者に商品やサービスを提供するすべての会社。

会社の登記場所や運営場所、国、会社規模(1人の会社も対象です!)は関係ありません。日本の越境ECサイトでEU圏の消費者に商品やサービスを販売する会社はコンプライアンス対象になります。例えば「ユーロ支払い」を受け付けていたり、EU圏に発送を行う会社、EU圏内言語で販売をしている場合はもちろん対象となります世界の人々をつなぐFacebookなどのサービス会社も対象になります。

EU圏の方の個人情報を取り扱う会社はすべて対象と考えましょう。

*一部、250人の従業員を抱えている、またはリスクの高いデータ処理を行っている組織は、データ処理活動の詳細なリストを要求に応じて規制当局に提出する準備が必要など一部企業に追加適用される規制もありますので別途ご確認ください。

GDPR」 コンプライアンス7つのキーポイント

1.データ取り扱いは合法性、公平性、透明性をもつこと。

2.データ収集時に明示した目的のみに使用すること。

3.データは明示した目的に必要な最低限でとどめる。

4.データを正確に保つこと。

5.データは指定された目的に必要な期間のみ保存すること。

6.セキュリティ、整合性、および機密性を確保すること(例えば、暗号化)。

7.データ管理者はGDPRコンプライアンスを実証できるように責任を持って実行すること。

Image by athree23 from Pixabay

ECサイトはどう「GDPR」 コンプライアンスすればよい?

上の7つのキーポイントを抑えてコンプライアンスをするには下記を実行しましょう。

GDPRの原文はこちらから https://gdpr.eu/tag/gdpr/

①データ収集時には消費者に「同意・同意しない」を確認する

事例:「会員登録はこちらから!」と個人情報を入力してもらう前にどんな個人情報がどう利用されるか、それらを理解して会員登録に同意しますか?と必ず確認しましょう。(自動的に会員登録する!に事前にチェックが入っているなどはダメです)

②本当に必要な情報のみ収集する

個人データなんでもかんでもとりあえず取得はやめましょう。余計なコンプライアンス違反を招いてしまうよりは取得する個人データを最小限にしてリスクを減らしましょう。

事例:キャンドルセットの購入画面に指名、住所以外に「勤め先会社名、連絡先」などはいらないですよね。ECサイトツールであらかじめ様々な項目が用意されていると思いますがテンプレート通り使用するのではなく、必要な情報のみに絞りましょう。

③透明性、透明性、分かりやすく、透明性

「どんな情報を取得、その情報はどう利用され、処理されます」とわかりやすく明確にデータプライバシーポリシーとしてサイトに明示。そしてそのポリシーはわかりやすく表示しましょう。

「難しいことを書いてお客さんが購入をやめるかも?」と思ってプライバシーポリシー情報や掲載ページへのリンクを小さく表示したり、分かりにくい場所に置いたりはしないこと。自社のサイトに訪れてくれた大事なお客様ですから、堂々とポリシーを説明、お客様のデータ保護の為と説明をし、しっかりとその内容を理解してもらいましょう。

コンプライアンス違反のペナルティーは?

ペナルティには2つの段階があり、最大で2,000万ユーロまたはその会社の世界収益の4%(いずれか高い方)。これに加え、個人は損害賠償を求める権利もあります。今すぐできるGDPRコンプライアンスを怠るだけでこの罰金は避けましょう。越境ECサイトを運営されている方は今すぐ自社のページをチェック、そしてECサイトプロバイダーを利用している方はすでにGDPRコンプライアンス設定があることが多いので設定をチェックしましょう!

Photo by Joshua Miranda from Pexels

事例とテンプレート

下記は世界に拠点を持つグローサリーチェーンALDIドイツのウェブサイト。買い物をする前に下記のようなポップアップが表示され、個人情報の利用についての確認があります。

ALDIドイツのウェブサイトより引用
https://www.aldi-nord.de/

また、前述にもでてきた「プライバシーポリシー」GDPRにコンプライアンスするにはこちらのページでテンプレートが確認できます、利用するプライバシーポリシーはもちろん専門家、法律家の方に確認することがベストですがEUのフレームワークチームがテンプレートを掲載しているので今すぐのコンプライアンス導入もよいかと思われます。

テンプレートはこちら 

Writing a GDPR-compliant privacy notice (template included)

さて、こちらはアメリカのH&Mのウェブサイト。こちらにもクッキー設定の確認があります。ここ2年でアメリカのECサイト、サービスサイトは必ず「クッキーの設定」のポップアップが掲載されます・・・。


H&M USのウェブサイト
https://www2.hm.com/en_us/index.html

そう、お気づきの方もいらっしゃいますね、アメリカにもGDPRのような厳しいデータプライバシー保護法があります。しかも特に厳しい「カリフォルニア州」。日本人の居住者も多いですし、ECサイトでカリフォルニア州の居住者に商品やサービスを提供されるECサイトさんも多いのではないでしょうか?

次回はCalifornia Consumer Privacy Act of 2018。2020年の1月1日から施行されているカリフォルニア州消費者プライバシー法 (CCPA)についてのコンプライアンスを3分でお伝えします。それまでにまずはGDPRコンプライアンス設定をしておいてくださいね!

Photo by Liza Summer from Pexels