GDPR API の紹介 #AdobeIO

いつも Adobe I/O デベロッパーブログを読んで頂き有り難うございます。

2018年5月25日の施行とともに昨年ものすごく話題となった EU一般データ保護規則(General Data Protection Regulation)、通称 GDPR ですが、みなさま対策は万全でしょうか?Adobeの各製品もこの規則の施行に合わせて GDPR に対応した様々な機能の提供を開始しました。Adobe I/O の中でも、GDPR API という GDPR 対応のための機能を提供しています。本投稿ではこの GDPR API を2回のシリーズに分けて紹介していきます。

この記事が目に留まった方々にとっては、GDPRについてもう既によくご存じという方が多いかと思うのですが、シリーズ前半となる 1回目のこの投稿では「GDPRって聞いたことはあるけど何だかよく分かってなくて…」という方にお役立ていただけるよう、GDPR について、特に GDPR API の利用に関連する部分だけぎゅっとまとめて解説します。シリーズ後半の 2回目にて、Adobe が提供する GDPR API の役割や API の利用方法について紹介していきますので、GDPR についてすでに理解されている方はそちらより読んでいただければと思います。

なお、GDPR 全文や GDPR 関する詳細、また関連するブログ情報などへのリンクを本文末に掲載しております。そちらも併せてご覧ください。

ところで GDPR って?

GDPR とは、EUに加盟する28カ国とスイスを除く EFTA 加盟国のアイスランド、リヒテンシュタイン、ノルウェーが加わる欧州経済領域(European Economic Area, EEA)で、個人情報の保護や個人が主体的にデータの管理をできるようにすることなどを目的として制定、施行されたデータ管理規則です。2012年に立案、2016年に採択され、2018年5月25日に施行されました。

この規則の施行により、EEA 圏内の居住者の個人データを収集したり処理しているあらゆる事業者に対して、以下のような義務が課されることとなりました。

ここでは本投稿に関する一部分の義務についてだけ挙げましたが、他にも、情報漏洩が発生した場合は72時間以内に報告しなければならない、定期的に大量のデータを取り扱う場合はデータ保護責任者 (Data Protection Officer) を置かなければならない、など様々あります。

この GDPR は、EEA 圏の個人のデータ保護を目的としているので、日本でビジネスしている我々においては「特に関係ないよね?」と思われるかもしれません。ですが、以下のようなケースもこの規則の適用範囲となっていますので注意が必要です。

お客様の明示的な同意を得ずに EEA 圏在住の方のお名前、メールアドレスなどの情報とサイト内の行動情報を取得して、「〇〇さんへの特別セール」なんてパーソナライズされた案内メールを配信してしまっていることがあると、メールを受け取られたお客様から「GDPR 違反じゃないか!」と通報される…、といったことが起こり得てしまうかもしれないのです。「うちは会員登録の際などにきちんと同意を得ているよ」という場合でも、実はその内容や方法によっては明示的な同意ではない!と見なされてしまう場合があるかもしれません。(この「明示的な同意」については、不明瞭な部分もあり各種議論が巻き起こっているところでもありますが。。。)

もしも違反していたと見なされてしまうと…、この規則には違反に対しての制裁金が定められており、その額は最大でなんと 2,000万ユーロ (!) になります。(もしくは全世界での年間売り上げの 4% のいずれか大きいほう。)本投稿を執筆している時点での為替レート 1ユーロ = 125円で換算すると 25億円というものすごい金額となります。気づかないまま違反してしまい制裁を受けると大変なことになってしまいます…。

処理者 (Processor) としての Adobe

GDPRはデータの持ち主である「データ主体 (Data Subject) 」とそれを預かる「管理者 (Controller) 」との間での規則が中心となりますが、GDPR の中には「処理者 (Processor) 」という者も登場します。処理者とは、管理者に代わって個人データを取り扱う者を指し、Adobe のようなツールベンダーなどもこの処理者に該当します。処理者は管理者が収集した個人データを取り扱うので、やはり GDPR の規則に沿った形でデータを扱う義務があります。返して言うと、処理者が GDPR に対応した適切なソリューションや機能を提供することで、管理者は GDPR に則った形で個人データを取り扱うことができるようになります。

Adobe Experience Cloud もまた GDPR 対応に必要な機能を提供しています。その機能の一つとして、規則にある「データ主体は、管理者 (Controller) が取り扱う個人データにアクセスする権利、訂正する権利、および消去する権利を有する」ことをサポートするための GDPR API があります。

図1 : データアクセスリクエストの処理の流れ

図1 は、データ主体であるお客様から、「どのようなデータを保持しているのか見せて欲しい(アクセスしたい)」というリクエストや「私のデータを消去して欲しい」というリクエストがあった場合に、GDPR API を使ってどのように処理が行われるかを表しています。

  1. 図の左にいるお客様 X (Data Subject) より、「アクセスしたい」「消去したい」といったリクエストが、電話、メール、Web フォームなどを通じて、図の中央にある会社 A のお問い合わせ窓口 (Data Controller) に寄せられます
  2. 会社 A のお問い合わせ窓口では、お客様からのリクエストを受けて、GDPR API を使って Adobe Experience Cloud 内に保持されているデータにアクセス、または削除の指示を行います
  3. 図の右にある Adobe (Data Processer) は、API の問い合わせを受けて、保持しているデータを応答で返したり、当該データを削除してその結果を返します
  4. お客様窓口では、その結果(応答)を受けて、問い合わせいただいたお客様に結果をお伝えします

上記は GDPR に対応するための一機能となりますが、処理者である Adobe は GDPR に対応した各種機能を提供することで、管理者であるユーザーの皆さまが GDPR の順守に頭を悩ませること無くマーケティング活動に専念できる環境を提供しています。

ここまで、GDPR について GDPR API に関する部分だけを中心にぎゅっとまとめて解説してみました。シリーズ 2回目の次の投稿では、GDPR API を利用するにあたって必要な事前準備について、また上図のリクエストの流れに沿った GDPR API の利用方法について、詳しく紹介していきます。

関連リンク