GDPRから3年、学んだ教訓とデータガバナンスを取り入れるための重要なアクション

As the GDPR observes its third anniversary, it’s a good time to review how the General Data Protection Regulation has spawned an evolution for global privacy laws and reshaped how organizations approach data privacy governance | Informatica

欧州連合の画期的な一般データ保護規則(GDPR)の3年目が終了したので、この個人データプライバシーの革命と、4年目に入るにあたり、将来の成功に役立つために、これまでに学んだベストプラクティスを振り返ることは価値があることでしょう。GDPRはコンプライアンスの不必要な重荷になっていますか?それとも、データから新しい価値を生み出すきっかけになるのでしょうか。

2018年、GDPRは、EUだけでなく、グローバルでの認知を向上し、データ使用の透明性に新たな焦点を当てることで、個人のプライバシー規制の新時代を切り開きました。ヨーロッパの消費者は、個人データが責任をもって扱われること、つまり何を、どこで、どのように使用されるのかについての権利を行使できるようになり、データから新しい価値を生み出している企業から、それにより生じるリスクの「理由」に同意できるようになりました。

個人データはeコマースサイト全体で指数関数的に生成され、IoTデバイス全体に保存されるため、「忘れられる権利」などの新しい言葉によって、個人データを消去する機能が要請されました。また、組織が決められた時間内に明確に対応できなかった場合、厳しい罰金が科せられる可能性もできました。しかし、消費者の権利とビジネス価値の創造が交錯することで、カスタマーエクスペリエンスが向上し、企業と消費者にメリットをもたらすことができたのでしょうか。

GDPRが発効してから私たちが学んだこと

2018年5月25日のマイルストーンでは、1日目に規制による大規模な罰金が見られなかった(または期待されなかった)ため、少し失望しました。しかし、組織がプライバシーリスクをよりよく理解し始め、GDPRによって長い旅路の途に就いたことがわかりました。責任あるデータの使用を受け入れた先進的な組織にとって、GDPRはデータガバナンスを改善して、個人を特定できるデータをより明確にし、管理できるようにするための新しい機会となりました。

GDPRは、人々がプライバシーの権利を懸念しており、これがブランドのロイヤリティに影響を与えることを示しました

プライバシー権は現在、公の言説の一部であり、消費者は現在、オプトインまたはオプトアウトし、それをコントロールする権利をますます行使しています。統計によると、人々は信頼できる組織に個人情報を渡す可能性が高く、GDPRを真剣に受け止めている企業にとっては差別化要因となり、逆にそれを怠った企業にとっては、差別化する機会を失うということでその責任が問われます。GDPRが発効したときの調査から、消費者のロイヤリティへの影響について見てみましょう。

  • 消費者の69%は、プライバシー保護について真剣に受け止められていない場合、その企業を拒否しようとしていました。
  • 62%は、データが侵害された場合、最初にハッカーではなく、その企業を非難します。
  • 83%は、違反またはインシデントが発生した後、数か月間その企業への支出を停止します。
  • 21%は、違反またはインシデントが発生した後、その企業には戻りません。

今日、注目を集めるGDPRの罰金の認知度が高まり始めただけでなく、AppleのApp Storeポリシーなどの新しいデータプライバシー基準を採用することで、議論はさらに盛んになりつつあります。個人データのプライバシーは一般の人々の意識の中に存在し、過去数年間のGDPRの展開のおかげで、ほとんどの人がそれに対する意見を持つに至っています。

GDPRは、基準を引き上げ、また新しい基準を作成するためのグローバルなプライバシー法の基盤を築きました

GDPRはデータ保護管理を強化し、企業におけるデータ探索および分類ツールの使用を含むデータガバナンスを改善する必要性を加速させました。これは、自分が持っていると認識できていないものは保護できないからです。最も重要なことは、GDPRが「個人データとは正確には何であるか」についての会話を開始したことです。みなさんはそれをどのように定義しますか?

この議論は、カリフォルニア州のCCPA法やその他の米国の州で激化しており、家族にプライバシー権を拡大したり、従業員データが対象外とされているかどうかを議論したり、生体認証位置データも対象範囲であるかどうかを検討したりしています。GDPRを起点にして、個人データの定義が拡張され、責任ある使用を監視するためのアプローチが更新され、個人情報の盗難や個人情報に基づく追跡などのリスクが軽減され、グローバルな競争の一部になりました。

4年目に入ると、プライバシーポリシーを管理および実施するための成熟したデータガバナンスの実践を確立することが、すべての組織にとって必須であることが明らかになりました。人工知能と機械学習を使用して、企業はデータの探索と分類を自動化し、データ主体のレポートを合理化し、データ保護ルールを適用し、インサイトをレポートするためのリスク分析を可能にしています。大規模な組織の場合には、スプレッドシートなどのツールを使用して手動で実行したり、サイロ化した部門間で調整したりすることは不可能です。個人データのプライバシーは、拡張性が高く反復可能な企業フレームワークの必要性を生み出しましたが、一方で新しいデータの定義への対応を早め、GDPR以降も想定したグローバルな規制要件を進化させています。

GDPRは、信頼できる対象の製品やサービスに対する顧客の理解を向上させるのに役立ちました。

3年間のGDPRの経験を経て、顧客のニーズをよりよく理解することで、顧客のロイヤリティを維持および拡大する責任に真剣に向き合い、より成熟したデータガバナンスおよびプライバシープログラムを備えた最先端の企業のカスタマーエクスペリエンスがどのように改善されたかを見ることができます。データ分析プログラムはより安全に民主化できるようになり、不必要なリスクにさらされることなく、個人データから新しい顧客中心の製品やサービスを開発する市民アナリストの台頭を導きました。これはウィンウィンです!

GDPRはビジネスを行うためのコストとして始まったかもしれませんが、倫理的なデータの使用を実証することができることにより差別化要因にもなりました。現在、顧客の信頼を事業に組み込むことは競争上の優位性になるのです。GDPRの世界的な影響の一例は、米国に拠点を置く世界で最も倫理的な企業の1つであるRealogyです。

Realogyは、消費者の個人データを使用して、法的義務を損なうことなく、ビジネスの分析と改善、より良いサポートとサービスの提供、コンテンツとマーケティングエクスペリエンスのパーソナライズを行います。多くの企業と同様に、Realogyはデジタルトランスフォーメーションを推進しており、そのソフトウェア開発者は、新しいデジタルサービスを提供するために、実データを使用して作業およびテストする必要があります。

Realogyは、開発者、フィールドエージェント、不動産の顧客が、不動産業界での安全なデータ処理からどのように利益を得られるのかを再定義しています。これは、強制的な機能としてのGDPRへの遵守だけでなく、デジタルトランスフォーメーションを加速するための材料にもなっているのです。顧客の権利を理解することにより、その好みを取り入れることによってカスタマーエクスペリエンスを理解して改善するためのツールを導入することで、ポジティブな結果をもたらすことに成功しました!

GDPRによって認知されたプライバシーリスクを管理することで、2021年に通常の状態に戻ることを加速することができます

最後に、昨年、世界的なパンデミックにより、データの公開と使用に新たなリスクが生じました。GDPRは透明性の実現に役立ちましたが、現在組織はそれを、リモートの従業員データの使用とサプライチェーンの移動に集中させています。GDPRに基づくデータ保護と透明性は、不確実な時期の回復力の向上と維持に役立ち、成熟したデータガバナンスプログラムが、ビジネス用のデータ公開「ワクチン」のように、予期しないリスクを管理できることを証明しています。

さらなる行動を取る:データガバナンスを改善する機会としてのGDPR

GDPRはプライバシー権の行使のゲームを変えましたが、それはまた、私たち全員が前進する上で必要な、学ぶことができた多くの変化をもたらしました。経営者が前向きに進めなければならない3つの重要な行動は次のとおりです。

1.組織内のすべての人が信頼できるデータを取り扱える人になるための権限を与える

プライバシー権に対する消費者の意識が高まり、データリテラシーが組織全体に拡大する中、GDPRは、組織が個人データを責任を持って処理する方法を再考するのに役立ち、信頼を維持するという消費者の期待に沿ったものになりました。そうすることで、顧客のロイヤリティが重要な差別化要因になりました。データプライバシーガバナンスを確立すると、データの品質と信頼性が向上し、ビジネスに役立ちます。

2.単一ポイントの分断されたソリューションを超えて、全体的なデータガバナンスフレームワークに移行する

分離された部門のセキュリティ、リスク、コンプライアンスソリューション、およびデータを管理するための手動の手順は、単純には拡張できません。企業全体でデータプライバシーガバナンスフレームワークを運用することにより、組織はスケールアウトしてグローバルな法律に機敏に対応し、新しい個人データプライバシーリスクに正面から対応することができます。 データプライバシーガバナンスは、変化に適応する組織の能力を向上させます。

3.GDPRが単なるコンプライアンスの義務を超えて価値創造のアクセラレータになる文化を構築する

組織が個人データの使用を民主化し、分析から新しい洞察を生成し、クラウドソリューションを採用することにより、組織はより低いリスクでデジタルトランスフォーメーションを加速することができます。ビジネスを行うためのコストとしてGDPRと接することは簡単かもしれませんが、データプライバシーを真剣に受け止めている企業は、価値創造の機会としてとらえることで利益を享受します。 データプライバシープログラムは、最終的なビジネスを加速するのに役立ちます!

GDPRが4年目になり、新しく拡張された法律により、その影響がグローバルに反映されるにつれて、組織は現在、データプライバシーガバナンスプログラムをスケールアウトし、責任を持ってデータを管理し、デジタルトランスフォーメーションのアジェンダを鈍化させることなく、プライバシー法の変更に対応するために学んだベストプラクティスを適用しています。今こそ、企業がGDPRを、データのプライバシーとセキュリティを設計の原則とするデジタルトランスフォーメーションの成功へのカギとなるのです。


本ブログは2021年5月25日Nathan TurajskiによるAfter 3 Years of GDPR, Lessons Learned and Key Actions to Take in Data Governanceの翻訳です。