欧州連合（EU）で2018年5月に施行された、個人データやプライバシーの保護に関する「一般データ保護規則」（GDPR）。世界中で広く使われているアクセス解析サービスが国によっては違法と判断されたり、調査対象に入ったりすることもあり、企業はアクセス解析・ユーザー行動分析をする際に、今まで以上に注意が求められるようになりました。

このような状況下で、GDPRやアクセス解析・ユーザー行動分析を取り巻く状況と対策について、整理された情報が欲しいと言う方も多いのではないでしょうか。そんな要望にお応えするために、Amplitude, Inc.と株式会社イー・エージェンシーは、2022年10月19日にウェビナーを開催しました。この記事では、その内容を抜粋して紹介します。

ヨーロッパでサービスを展開している方、EU域内からコーポレートサイトへのアクセスがある方、GDPRや世界の個人情報保護について知っておきたい方は、ぜひご一読ください。

GDPRに関するヨーロッパの現状

GDPRとは

まずは、「一般データ保護規則」（GDPR）とは何かを簡単におさらいします。GDPRとは、EUを含む欧州経済領域（EEA）域内の個人データ保護を規定する法律です。「個人データの保護に対する権利」という、基本的人権の保護を目的として制定されました。

短くまとめると、EU域内に在住している個人の情報の「処理」と「移転」に関するルールを定めたものです。この規則はEUに関わる全ての国・個人に適用されるため、日本の企業であっても、EU域内でサービスを展開する企業や、EU域内からアクセスのあるコーポレートサイトを持つ企業も対象となっています。

ヨーロッパのビジネスシーンではどのように捉えられているか

このGDPRについて、ヨーロッパのビジネスシーンではどのように捉えられているのでしょうか。

Amplitudeのフランスとドイツの営業担当に話を聞いてみると、「商談の際には必ずと言っていいほど、“AmplitudeはGDPRに準拠しているの？”とお客様から聞かれる」との答えが返ってきました。

それほどGDPRは、ヨーロッパの現地企業から意識されているのです。

GDPRの注意点

マーケティングテクノロジーのツールは、インターネットでつながっています。そのため、各社がGDPRに準拠するように対策を強化してきました。それでもツールによっては、準拠していないと指摘されてしまうことがあります。その理由は何なのでしょうか。

キーポイントとなるのが、SCC （Standard Contractual Clauses：標準契約条項）への対応をしているかどうかです。

SCCとは、GDPRに準拠したデータ移転を行うための、EEA域内から域外への個人データの移転に関するモデル条項（契約書のひな型）です。
以下、GDPRとの関係も併せて詳しく説明します。

SCCとGDPRの関係性

SCCとGDPRの関係性を説明するためには、3つのポイントを理解しておくことが重要です。

• 【Point１】GDPRは基本的にEU域外へのデータ転送を禁止している

• 【Point２】例外：SCCに基づいて対策した環境においてはデータ転送が認められる

• 【Point３】EU域外の企業もSCCに基づいて対策しなければGDPR違反になる

インターネット社会でサービスを提供している事業者にとって、EU域内の人たちだけを別のサーバーに置くことは難しいでしょう。まず、EU域内からアクセスが来ているのかどうかを自分のWEBサーバーで理解をして、EU域内からのアクセスがあれば現地のサーバーにスイッチングをしなくてはいけません。実質、EU域内だけにデータを閉じ込めることは難しいものです。

そこで、ある条件を満たせば、EU域外でデータを保持しても大丈夫という例外が認められています。その条件が、SCCに基づいた対策がされていることです。

「EU域外へのデータ転送」が必要な場合、SCCに基づいてデータを保護できる環境を用意すれば、データをEU域外で保持してもGDPR違反とはなりません。逆に言うと、SCCに基づいた対策をしなければ、EU域外でデータを保持するとGDPR違反になってしまいます。これは日本企業やアメリカに本社があるAmplitudeも同じことです。

つまり…

EU域外でデータを保持する場合には、SCCに基づいたデータ保護対策が必須です。これはEU域外に席を置く、日本企業も例外ではありません。

導入するアナリティクスなどのツールにも適用される

このGDPRやSCCは、使うツールにも適用されます。特に、解析ツールは個人情報を集めて分析するためのものなので、特にセンシティブにならなければなりません。EU域内で完結する解析ツールを使うか、あるいはSCCに基づいて対策された解析ツールを使わなければ、それを利用している企業もGDPR違反となってしまいます。

世界で最もよく利用されているアクセス解析ツールでさえ、いくつかの国から「GDPRに違反している」との指摘を受けてしまっていることは、ご存じの方も多いでしょう。

SCCに基づいて対策しているはずのアクセス解析ツールは、なぜGDPR違反だと指摘を受けてしまったのでしょうか。

最新のSCCへの対応が必要

それはSCCがバージョンアップしているからです。最新のSCCバージョンは、2021年度版となります。

【参考】GDPRの新たな標準契約条項を採択、2022年末までに対応を
出展：独立行政法人日本貿易振興機構（ジェトロ）

実は、GDPR違反だと指摘されているツールの中には、2020年版のSCCには対応していても、2021年版に対応できていないものがあるのです。欧州委員会では、2022年末までに最新のSCCに対応するようにアナウンスしています。

SCCに対するAmplitudeの強み

Amplitudeは、最新版（2021年度版）のSCCに沿って個人情報の保護をしています。具体的には、個人を特定できる情報を「取得しない」という選択肢をユーザーに与える、個人を特定できる情報をAmplitudeに送らないよう設定できるなどです。

日本でも多くのWEBページで、Cookieの確認を取るページが増えてきましたが、SCCに準拠するのであれば、半年後に消して欲しいと言われたときに消さなければいけません。　Amplitudeでは、ユーザーIDがあれば関連するデータを24h以内に削除することが可能です。

また、EU諸国が懸念しているのは、米国機関によるアクセスから個人データを適切に保護すること。それを目的とした新たな条項が、最新版のSCCには含まれています。Amplitudeでは、個人情報を保護するために何重もの対策をした上でデータ転送を行っており、ヨーロッパで利用できるアナリティクスの中でも安全な選択肢となっています。それが、ヨーロッパでサービスを展開する企業が、安心してAmplitudeを使える理由です。

今後もGDPRやSCCが変更されることはあるでしょう。米田氏は、「今回のウェビナー開催にあたって、ヨーロッパの営業担当との連携が強まったこともあり、今後もキャッチアップして最新情報を皆様に提供していきたい」と語っています。

Amplitudeの特徴

Amplitudeは、「アクセス解析のスーパーセット」です。キャンペーン計測からユーザー行動分析まで、統計学を使った高度な分析が、Amplitudeならたった数秒・数クリックでできてしまいます。

高度な分析が簡単にできる秘密は、分析テンプレートです。データ分析のパターン別に、14種類のチャートをテンプレートとして用意。目的に合わせて選ぶことで、数週間かかっていたデータ処理でも、数日・数時間でできるようになりました。

GDPRに対応するには、最新のSCCに準拠することが重要

EU域内に在住している個人の情報に関する「処理」と「移転」に関するルールを定めた「一般データ保護規則」（GDPR）。この規則はEUに関わるすべての国・個人に適用されるため、EU域内でサービスを展開していたり、EU域内からアクセスがあったりするコーポレートサイトを持つ世界中の企業も対象となっています。Saasサービスを提供していない事業者やヨーロッパ向けのサービスを提供していない場合でも、EU域内からWEBサイトにアクセスがあれば、GDPRへの対応、そして最新のSCCに準拠することが求められるのです。

森田氏は「SCCに対して意識したメディアの記事があまりない」と、SCCへの意識や認識の低さ、情報の少なさを指摘。SCCがバージョンアップされていることについては、全く知られていないのでは、と実感しているそうです。

「たとえWEBサイトは対応していても、使用しているツールが十分に対応できていなければ、EU域内からアクセスがある場合はトラブルになる可能性があるのではないか」と考えたことから、情報提供の重要性を感じ、今回のウェビナーが開催されることになりました。

GDPRやSCCを正しく理解し、アクセス解析・ユーザー行動分析の「今」に備えましょう。

【スピーカー情報】

米田 匡克

＜経歴＞
三菱電機株式会社 情報技術総合研究所で技術者としてキャリアをスタート。その後、外資系企業に転職し、Gemstar TV Guide で取締役副社長、Entropic Communications で代表取締役社長、Chartboost、LEANPLUM でカントリーマネージャーとして日本代表を歴任。2019年よりユーザー行動分析から先行指標が求める事ができるプロダクトアナリティクスを提供する Amplitude の初代日本カントリーマネージャーに就任。

Amplitude は、ユーザー行動分析プラットフォームです。NTTドコモや楽天などの大企業からスタートアップまで、 45,000以上のデジタルサービスで導入いただいており、プロダクトアナリティクス・ソリューション市場の中でNo.1の評価を受けています。

Amplitudeでは、圧倒的なデータ集計速度、マルチプラットフォームクロスドメインのユーザー回遊の可視化、コンバージョンに向けた相関関係の自動抽出といった高度なデータ処理を自動化することで、データサイエンティストの負担の軽減、および、専門知識を必要とせずにDX人員を増やすことが可能となります。

ビジネスパートナーである代理店各社とともに、Amplitudeの導入から分析を含む運用支援まで一気通貫で提案・提供しています。
詳しくは日本語ウェブサイト https://jp.amplitude.com/ をご覧ください。

森田 隆介

＜経歴＞
ビジネス系大手出版社で営業・企画・事業開発に携わり、数多くのネット事業の開発プロジェクトを担当。以降、ベンチャー起業やメディア企業における新規事業開発等、数々のデジタルマーケティング事業の立ち上げを経験。現在は株式会社イー・エージェンシーにおいて、デジマ領域の事業開発を担当。2021年4月より現職。

1999年に創業したイー・エージェンシーは、データマーケティング支援を主なサービスとして提供している企業です。データの解析・統合から活用施策の構築運用までをオールインワンで提供し、データドリブン・マーケティングの支援に力を入れています。2022年7月よりAmplitudeと提携しました。

本コンテンツについてのお問い合わせ

株式会社イー・エージェンシー
ビジネスソリューション室　担当：森田・青木
お問い合わせフォーム
https://datasolution.e-agency.co.jp/#content