イントロ
一般データ保護規則(GDPR)法が施行されたのは数年前のことだが、その時期が過ぎようとしていた頃、GDPRはマーケティングにどのような影響を与えたのだろうかという疑問が多業種に生じた。答えは、GDPRはマーケティング・アプローチに大きな影響を与えたということだ。さまざまな規模の、ほとんどすべての業界の、EUおよび英国で活動するすべての組織は、法的問題を回避するために、この規制を遵守する必要があります。したがって、GDPRは設計上は地域的なものであるが、実際にはグローバルなものである。
この記事では、GDPRがマーケターにとって何を意味するのかを説明し、GDPRの下で顧客情報をより効果的に保護するために組織がマーケティングに導入できるベストプラクティスを提供します。これらのプラクティスは、法的問題や評判の低下、深刻な罰金に見舞われる可能性を減らすのに役立ちます。
マーケターにとってのGDPRとは?
GDPRは欧州委員会によって導入され、EU居住者のデータ保護を改善する目的で2018年に施行された。この分野でGDPRは、適切な主体による盗難、誤用、販売からユーザーデータを保護する方法と手段を定義している。GDPRでは、データ管理者(センシティブデータを保有・保存する主体)とデータ処理者(管理者に代わってデータを操作する主体)という、法律上の責任が異なる2つの主体が定義されている。
法律全体の主眼をなすGDPRの主要原則は以下の通りである:
- 合法性、透明性、公正性
- 目的制限
- データの最小化
- 精度
- ストレージの制限
- セキュリティ
- 説明責任
マーケティング担当者にとってGDPRは、顧客データに対する誠実で透明性のあるアプローチを開発する必要性を意味する。より正確に言えば、貴重な、あるいは個人を特定しうるセンシティブなデータは丁重に扱われるべきである。組織がこのようなデータを収集できるのは、データ所有者(顧客)から明確な同意を得、必要な記録を独占的に取り、データの正確性を確保した後でなければならない。これとは別に重要なのは、顧客データを確実に保護するために必要な手段を用いる組織の義務である。
GDPRマーケティングにおける顧客データセキュリティのベストプラクティス
GDPRの下で企業はどのように顧客情報を保護するのか?特にマーケティング担当者向けには、一般データ保護規則(General Data Protection Regulation Act)の遵守とともに、機密データ保護を確保するのに役立つ、実績のあるソリューションや慣行が存在する。以下の推奨事項をチェ ックし、適用することで、一般的には組織のデータ保護効率を高め、特に顧客データをより確実に保護することができます。
必要なデータのみを収集し、顧客の同意を得る。
収集データの量を減らすことは、組織がデータ損失や情報漏洩のリスクを低減する最も効果的な方法の一つである。ハッカーは、できるだけ多くのデータを含むデータベースを攻撃することを狙います。なぜなら、彼らがアクセスするレコードの数や種類が多ければ多いほど、彼らの利益に直結するからです。組織が大量の顧客データを保存していない場合、サイバー犯罪者はこれらのデータベースを標的にしないことを選択するかもしれない。
マーケティング担当者として、現在のマーケティング目的に必要なデータのみを収集することは可能であり、またそうすべきである。データ収集のワークフローとテンプレートを見直し、データプラクティスを分析して、収集した記録が実際に使用されているかどうかをチェックする。万が一、使用していないデータがあったり、顧客の体験に大きな影響を与えないデータがある場合は、その種のデータの収集を拒否 し、すでに自由に使えるレコードを削除することを検討しましょう。
さらにGDPRによれば、収集するデータについて顧客に知らせ、その収集について顧客から明示的な許可を得る必要がある。一方で、いつでもオプトアウトできる機会を提供する必要があります。GDPRの下では、クライアントの許可なく機密データを収集した場合、法的な罰金が科される可能性があります。
メーリングリストの監査
繰り返しになりますが、組織の保管データ量が多ければ多いほど、データ漏洩のリスクは高くなります。したがって、メーリングリストの定期的な監査は、統合すべきメールマーケティングGDPRプラクティスです。Eメールのプロモーション、ニュースレター、その他のマーケティング資料の購読を解除した顧客は、データベースから情報を削除する必要があります。さらに、受信したくないマーケティング資料の送付を避けるために、Eメール購読のカテゴリーに従ってクライアントのアドレスを分類する必要があるかもしれません。
効果的なSEOのためのオールインワン・プラットフォーム
ビジネスが成功する背景には、強力なSEOキャンペーンがあります。しかし、数え切れないほどの最適化ツールやテクニックがあるため、どこから手をつければいいのかわからないこともあります。でも、もう心配はありません。効果的なSEOのためのオールインワンプラットフォーム「Ranktracker」を紹介します。
マーケティングにおけるGDPRを遵守し、時間を節約し、よりパーソナライズされたメールでユーザーエクスペリエンスを向上させるために、メールマーケティングリストのクリーンアッププロセスの自動化をご検討ください。
データ管理チームの結成
現代の組織は、たとえ小規模な組織であっても、マーケティングやその他の目的のためにテラバイト単位のデータを収集、保存、処理しています。データ管理チームを導入すれば、記録を分類し、利用の優先順位を付け、データ保護の法的要件に従って管理することができます。有資格のデータ管理専門家は、より高いレベルの顧客データ・セキュリティを確保し、保管、検索、保護ワークフローにかかるコストと時間を節約するのに役立ちます。
個人データの収集方法を見直す
これには、少なくともデータ収集のワークフローと、データがストレージに記録されるまでの経路が含まれる。クライアントに必要なデータを提供してもらうために使用しているランディングページのフォームをチェックすることも検討しましょう。また、GDPRは組織に対し、ウェブサイト訪問者にデータ収集に関する情報通知ポップアップを追加し、再度、個人データの収集を許可する明示的な同意を得ることを求めている。
ここで次に重要なのは、センシティブなデータの他のソースを監視することである(あなたの組織が、契約要件に従ってデータ収集者または処理者としてそれらを有している場合)。最後に、どの第三者がそのデータにアクセスできるかを理解する必要がある。GDPRでは、センシティブな顧客情報を扱う異なる事業体間で法的な契約を締結することが義務付けられていることを覚えておき、データ・サプライ・チェーンから契約責任のない第三者を除外することを検討する。
データアクセスの制限と制御
第三者請負業者と同様に、組織内の顧客データ保護はアクセス・コントロールの問題である。どの部門やチームメンバーが業務を遂行するために、どのデータやアクセスが必要かを分析する。そして、それらの部門やチーム・メンバーに必要なデータ・アクセス・レベルと権限のみを提供する。最小特権の原則(PoLP)を守り、役割ベースのアクセス制御(RBAC)ソリューションを統合して、チームのデータアクセス権限を効果的かつ迅速に管理する。
スタッフを教育する
繰り返しになるが、GDPRはEU居住者の個人データを収集するあらゆる組織に義務付けられている複雑な法律である。この法律による法的影響や罰金は厳しく、スタッフのちょっとしたミスでも法的手続きの引き金になりかねない。したがって、従業員や管理職はGDPR法の要件やニュアンスを理解し、ヒューマンエラ ーの可能性を減らす必要がある。マーケティングチームだけでなく、他部門の従業員のGDPR資格を維持するために、新人全員にコンプライアンス・トレーニングを実施し、例えば年に1回、局所的なテストを導入することを検討してください。
データとセキュリティのアプローチを見直す
サイバー犯罪者が保護されたシステムに侵入し、機密データにアクセスする新しい方法を編み出しているため、サイバーセキュリティの脅威は常に進化しています。貴社のセキュリティ対策がどのようなものであれ、マーケティング担当者としては、マーケティングデータ保護の改善に常に努める必要があります。それを効果的に行うには、最新のサイバー保護トレンドを常に把握できるようなITセキュリティ改訂ワークフローを設定する必要があります。
セキュリティの専門家が組織の保護を通過しようとする本格的な侵入テストのワークフローを定期的に実施することを検討する。こうして、セキュリティ層の脆弱性を発見し、ハッカーがそれを利用して実際の侵入を行う前に修正プログラムを導入することができる。現代のインフラの複雑さとサイバー攻撃ツールの進化により、無敵の保護境界を作ることは不可能に近い。
さらに、保存しているデータを見直す必要があります。マーケティング目的で使用していない(そして今後も使用しない)データがある場合は、そのデータを削除することを検討しましょう。そうすることで、組織の潜在的な脆弱性を減らし、侵害が成功した後でも機密データが漏えいする可能性を減らすことができる。
定期的なバックアップ
組織が顧客データを保管 する最大のリスクは何だろうか?通常は、データの盗難や漏洩と言うだろう。しかし、GDPRでは、セキュリティ侵害の結果として頻繁に発生するもう一つの結果、すなわちデータ損失に対する罰則が規定されている。それに加えて、例えばランサムウェア攻撃が成功した後に顧客基盤のような機密データを失うことは、将来の組織の活動や収益性に大きな困難をもたらす可能性がある。
組織のインフラにどのようなセキュリティ対策を施そうとも、攻撃者は常に防御の一歩先を行く。つまり、遅かれ早かれ防御に失敗し、データを危険にさらすことになるのです。
バックアップとは、別のストレージに保存された、スタンドアロンで復元可能なデータコピーのことである。
大規模なデータ損失災害の後でも必要なデータのコントロールを維持する信頼性の高い方法。組織内のデータ交換や管理にマイクロソフト製品を使用している場合は、NAKIVO Backup & Replicationの使用を検討してください。ITインフラがどのようなものであれ、機密データのバックアップを自動化し、いつでもGDPRコンプライアンスの要求を満たすことができるよう、迅速なリカバリを目指しましょう。
結論
EU居住者の個人データを収集する組織には、一般データ保護規則(General Data Protection Regulation)の遵守が義務付けられています。マーケティング活動においてGDPRを遵守し、顧客データ保護を向上させるために、以下を実施する必要があります:
- データ収集の最小化:必要なものだけを収集し、保存する;
- 郵送監査を定期的に実施 する;
- データ管理チームを編成し、機密データの収集、使用、保護を最適化する;
- データの入手方法と入手先を知る;
- RBACモデルでデータアクセスを制限し、最小特権の原則を守る;
- 従業員がGDPRの要件を知り、それに従うようにする;
- データ保護のアプローチを定期的に更新する;
- 組織のIT環境にバックアップワークフローを統合します。