B2Bマーケと経営リスクと
免責事項:
本投稿では可能な限り情報の正確性を心がけていますが、専門家ではない個人の解釈が多く含まれており、安全性や確実な情報提供を保証するものではありません。また、リンク先のサイトで提供される情報についても投稿者は責任を負いかねますのでご了承ください。また、掲載内容で生じた損害に対する一切の責任を負いません。
B2Bマーケティングのプレイヤー、増えて来たよね。と今更の話
良い事です。でもB2C周りのテクノロジーがものすごい進化を遂げているので、各国当局の規制もすごいことになってる。(いまさら)
最近、各国のプライバシー規制の件を勉強してて、善管注意義務おじさんとかコンプラおじさんと化しているのです。(いまさら)
GDPRとADPPA、これほんとにヤバいね。(いまさら)
”あー、あれね。”とか言ってるあなた、アウトかも。
・「リーガルリスク?法務の仕事でしょ?」
・「ウチのサイトは英語版もあるけど欧州向けではないから」
・「ヨーロッパは欧州子会社の責任範囲だから」
・「地域別にデータベースがあって統合されていないからね。」
・「ドメイン?各国・各事業のマーケで作ってますよ。IT部門管理じゃないかな?」
上記どれか一つでも該当すれば、アウトの可能性大です。
”法務の仕事でしょ?”、いいえ。
たしかに組織論的には法務でしっかり見張るべきなんだけどね。
あなたが会社の取締役だとして、次の二つのページをざっと読み比べて欲しい。(個人情報保護委員会のGDPR日本語訳が非常に情報揃っていますが、情報量多過ぎで読み切れない。。。)
GDPRの定義は微に入り細を穿つようになっているし、テクノロジーは猛烈に進化、爆増してる。
GDPRとは「欧州EEAで変なマーケティングやってる企業は、絶対殺すマン」である
GDPRに違反すると、最大でその企業の全世界の売上4%を制裁金として召し上げる也
Marketing Technologyは全世界で11,000以上あって、今も爆増中。
B2Bマーケティングのツールは、ほとんどが「名刺情報とCookie」を扱うツール。Lead獲得とかパーソナライゼーションとかWebinar管理ツールとか。もちろんみんな大好きMAもGA4もCDPもSalesforceもそうだよ。
なので、欧州市場で商売やってる企業は殆どGDPR対象になるんじゃないかな?
しかししかし、法務部門では、これらツール類がいったい何なのか理解不能。マーケターでもなかなか追いかけられないものを専門外の法務が把握できるわけがない。
で、あなたが取締役で、善管注意義務を持ち、株主代表訴訟で訴えられる人だとすると、どのくらいヤバいのかイメージしてみよう。
以下はGDPR制裁金のまとめ。日本企業(NTTグループ傘下)も昨年制裁くらいましたね。
GDPRで怖いな、と思った条文
ここから、GDPRにおいて社内で理解度を共通化させるべき条文を紹介するよ。
個人情報保護委員会のページからGDPR本文の日本語訳を参照ね。
https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf
第5条 個人データの取扱いと関連する基本原則
GDPRにおいて、
(1)個人データは、
適法性、公正性及び透明性
目的の限定
データの最小化
正確性
記録保存の制限
完全性および機密性
が保持される必要があり、
(2)The controller shall be responsible for, and be able to demonstrate compliance with, paragraph (1) (‘accountability’).
(2) 管理者は、第(1)項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。(「アカウンタビリティ」)
ってのがあるんです。
このアカウンタビリティ(説明責任)条項がまさに「絶対殺すマン」の意思の表れで、「言い訳するなら証明できるようにしとけよ」という話です。
管理者ってのは個人情報を預かる企業(ワタシタチ)なんだけど、当局に取り調べられた時、「”いえいえ、証拠はここにあります”が無いとアウトだからな。」と言ってます。
巷でクッキーを騒いでるけどクッキーってGDPRではごく一部だからね。
第4条 定義
(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an 3 identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
(1) 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
(4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;
(4) 「プロファイリング」とは、自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱いを意味する。
許可なく自動で分析してプロファイリングしたらアウト。Webスコアリングも当然アウト。
第22条 プロファイリングを含む個人に対する自動化された意思決定
1.The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.
1. データ主体は、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利を有する。
「許可なく自動でプロファイリングしたらアウトな。GAとかMAとかCDPとかスマホの識別子も全部な。もちろんスコアリングもIP addressもな。」
B2Bのデジタルマーケティングでこれに抵触しないツールってないはず・・・。
じゃあ同意とりゃあいいんだろ?となるのですが、例えば第7条(同意の要件)ではこうあります。
第7条 同意の要件
1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.
1. 取扱いが同意に基づく場合、管理者は、データ主体が自己の個人データの取扱いに同意していることを証明きるようにしなければならない。
2. If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request 11 for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.
2. 別の事項とも関係する書面上の宣言の中でデータ主体の同意が与えられる場合、その同意の要求は、別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない。そのような書面上の宣言中の本規則の違反行為を構成する部分は、いかなる部分についても拘束力がない。
3.The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.
3. データ主体は、自己の同意を、いつでも、撤回する権利を有する。同意の撤回は、その撤回前の同意に基づく取扱いの適法性に影響を与えない。データ主体は、同意を与える前に、そのことについて情報提供を受けるものとしなければならない。同意の撤回は、同意を与えるのと同じように、容易なものでなければならない。
つまり、
同意した日時や内容をちゃんとログ取って証明できるようにしとけよ。
騙しのポリシーは絶対アウトだからな。米粒みたいな文字で書くなよ。
提供者は同意を「いつでも簡単に」取り消せる権利があるからな。もちろん取り消せないとアウトだからな。そのこともきちんと書いとけよ。
となります。(超約)
MAとSFAとCRM、Webのドメインごとに存在する各サービスのクッキー。スコアリングシステムどうします・・・?
絶対殺すマンの姿勢
全般的に「お前らのやらかすことと、言い訳はお見通しだからな。」という「絶対殺すマンの断固たる姿勢」が条文とガイドラインからよくわかります。
法務分野で、マーケの、しかもB2Bのデータについてここまで詳しい方はあまりいません。法務任せにせず、マーケ屋さんが法律の怖さを経営陣にしっかりと伝えることが必要です。
地域別・事業別で個別にCRM作ったり、部門間で違う個人データ集めたりしていると思いますが、管理コストとリスクを再評価しないといけませんね。
制裁事例の無慈悲さ
経営陣に伝えるには「制裁の無慈悲さ」をしっかりと伝えるべきでしょう。「善管注意義務」がある取締役にその旨も含めてコミュニケーションが必要です。
ホテルグループで著名なマリオットが制裁を受けています。
マリオットが2016年に買収したスターウッドグループから個人情報が漏洩したのですが、時系列が無慈悲なんです。
【2014年】 スターウッドグループで不正アクセス始まる(検知できず)
【2016年】 マリオットがスターウッドグループを買収(マリオットも知らない)
【2018年】 旧スターウッドグループのシステムで漏洩発覚
【2019年】当局から135億円の制裁金(最終的にはコロナ禍と調査協力体制から25億円に減額)
マリオット「買収前からだったので何とかお目こぼしを・・・」
当局「んなモン、オンドレが舎弟にいれる(買収する)前にキッチリとケジメ(デューデリ)つけとかんかい!」(超訳)
とまあ、こんな感じなわけです。
まとめ:ガチで困難、まぢで怖い
”GDPRはお前らの社内事情なんか知らん、という絶対殺すマンである。”
莫大な制裁金であり、セキュリティ、取り扱い、サービス、法規制など各分野の知見を集めないと対応できない経営マター。
下手すると社内で「マーケティング活動ってリスクでしかねーな」となる
長くなってきたので、今回はここまで。
データの散在
組織権限の分散
アメリカの動向
マーケティング統制のありかた
なども今後要望があったら書きます。
ではでは!