GDPR

メールにおいてGDPRが重要になるのはいつですか？

ヨーロッパの誰かにメールを送るなら、GDPRの管轄下に入ります。 

この規則では、人々のデータを安全に保護し、そのデータをどう扱うかを本人が簡単に管理できるようにすることが求められます。 

GDPRに違反した組織は、€20 millionまたは世界全体の売上高の4 percentのいずれか高い方までの罰金に直面します。 これは軽いお咎めでは済みません。 

特にメールに関しては、GDPRによってマーケティングメールとトランザクションメールのあり方が大きく変わりました。 ただリストを購入して一斉送信を始めることはできません。 GDPRでは、企業がメールで連絡する前に明確かつ明示的な同意を得ることが求められます。 つまり、事前にチェックされたボックスや黙示の同意ではなく、本人が自らクリックする実際のオプトイン用チェックボックスが必要ということです。

ただし、マーケティングだけの話ではありません。 GDPRはメール運用全体を規律します。 メッセージをどれくらい保存するか、どう保護するか、そして誰かがデータ削除を求めたときに何が起こるかまで含まれます。 多くの人が思っている以上に重要です。

GDPRが求めること

主なコンプライアンス分野は次の4つです：

処理の適法根拠。 誰かのメールアドレスを収集して利用するには、法的に正当な理由が必要です。 データ主体が同意している場合、または別の法的根拠がある場合にのみ、データ処理は認められます。 マーケティングメールでは、その法的根拠はほぼ常に同意です。 トランザクションメール（注文確認、パスワード再設定など）については、代わりに正当な利益や契約上の必要性に依拠できます。

個人の権利。 本人は、自分のデータへのアクセスを求めたり、訂正を依頼したり、完全な削除を要求したりできます。 有名な「忘れられる権利」では、個人データが不要になったときに削除することが求められます。 メールシステムは、こうした要求をただ受け付けるだけでなく、実際に対応できなければなりません。

データセキュリティ。 GDPRでは「設計段階およびデフォルトでのデータ保護」が求められており、組織は新規または既存の製品やサービスについて、常にデータ保護への影響を考慮しなければなりません。 メール暗号化は、実装すべき技術的対策として明確に言及されています。 5年前は、暗号化メールは実用的ではありませんでした。 今では必須の前提条件です。

コンプライアンスの証明。 記録が必要です。 いつオプトインしたのか、どのように行ったのか、何に同意したのか。 GDPRでは、誰が、いつ、どのように許可したのか、またその時点でどのような情報が提示されていたのかを含め、企業に同意の記録を保持することが求められます。 文書化されていなければ、監査時にコンプライアンスを証明できません。

メール同意を適切に取得する

同意が有効とされるのは、それが自由意思に基づき、十分な情報を得たうえで、曖昧さがなく、かつ具体的である場合です。 最後の点でつまずく人が多いです。 マーケティングメールへの同意を、利用規約への同意とひとまとめにはできません。 これらは別個のものであり、それぞれ別のチェックボックスが必要です。

有効な同意の例は次のとおりです。誰かがあなたのサイトを訪れ、「はい、毎週の商品アップデートを送ってください」と書かれた未チェックのボックスを見て、自分でクリックし、フォームを送信する場合です。 これは有効です。

有効でない例：事前にチェックされたボックス。 購入したことで同意があったとみなすこと。 沈黙を「はい」だと決めつけること。 訪問者からマーケティングメッセージを受け取ることについて、明示的で曖昧さのない同意を得ていなければ、その人にメッセージを送ることはできません—さもなければ高額な罰金に直面します。 

ダブルオプトインなら、さらに望ましいです。 誰かが登録フォームに入力して送信をクリックすると、確認リンク付きのメールが送られ、同意が確認された後にのみマーケティング連絡が開始されます。 これにより、誤って登録されることを防ぎ、同意の非常に確かな証拠も得られます。

例外が1つあります。既存顧客に対するソフトオプトインです。 商品またはサービスの販売時に顧客のメールアドレスを取得した場合、オプトアウトの選択肢を提供している限り、類似商品のダイレクトマーケティングにそのアドレスを使用できます。 ただし、それでもすべてのメッセージに配信停止リンクは必要です。

データ保持と削除

第5条(e)では、個人データは「処理目的に必要な期間を超えて保存してはならない」と定めています。 私たちの多くはメールを削除しません。 今ではそれがコンプライアンス上の問題になります。

保持ポリシーが必要です。 顧客メールはどのくらい保持しますか？ サポートチケットは？ マーケティングリストは？ どう決めるにせよ、文書化し、実際にそのとおり運用してください。 メールサービスの中には、有効期限付きメール機能を提供し、指定した期間後にメッセージを削除するよう設定できるものもあります。 

誰かが削除を求めたら、対応しなければなりません。 誰かが配信停止した後は、その氏名や個人情報をメールリストから削除すべきです。 オプトアウトの希望を記録しておくのに必要な最小限だけを残し、それ以上は保持しないでください。

GDPRコンプライアンスのヒント

最も重要なのは、GDPRのウェブサイトでGDPRのルールを読み、最新情報を把握しておくことです。 これらのルールは時間とともに変わる可能性があるため、定期的に確認して準拠していることを確かめるべきです。 

不明な点がある場合は、規制に準拠したシステムの構築を支援してくれる専門家に依頼してください。 

すべてのマーケティングリストでダブルオプトインを使用する。 これは同意の最も明確な証拠になり、偽のアドレスも排除できます。

配信停止を簡単にする。 GDPRの基準では、同意の撤回は同意を与えるのと同じくらい簡単でなければなりません。 すべてのメールにワンクリックの配信停止リンクを入れましょう。 面倒な手順も、罪悪感をあおる表現も不要です。

可能な場合はメールを暗号化する。 GDPRでは、保護措置として暗号化が明確に挙げられています。 現在では、エンドツーエンド暗号化メールサービスが存在し、導入もそれほど難しくありません。

トランザクションメールとマーケティングメールを分ける。 法的根拠も、保持ルールも異なります。 可能なら別々のシステムで管理してください。

あらゆることを文書化する。 同意の記録、保持ポリシー、セキュリティ対策。 準拠しようとしたことを証明できなければ、罰則はより重くなります。

メールリストを定期的に見直す。 非アクティブな購読者を整理し、同意に関する文書が引き続き存在することを確認し、オプトアウトの要求が実際に処理されたかを確認してください。

関連コンテンツ

• プライバシーの解説
• メール過多を減らす方法

関連用語

• CAN-SPAM法
• CCPA
• メール認証
• エンドツーエンド暗号化