GDPRは単なる規制ではなくチャンスユナイテッド航空“乗客追い出し騒動”に学ぶ、「一般データ保護規則」順守の心得とは (1/2)

EUの「一般データ保護規則」（GDPR）を表面的に順守するだけでは、顧客との信頼関係を構築するせっかくのチャンスを逃すことになる。どのように順守の準備を進めればよいのか。

[Eve Maler，TechTarget]

表面的ではない、エンドユーザー目線のGDPR順守の在り方とは

　どのような業種も、政府の規制を受けることがあり得る。それは文明社会でビジネスをする代償だ。どのように規制対応に取り組むかは、企業の成功に大いに関係する。ルールを単に形式的に守るのと、誠実に守るのとでは、雲泥の差がつく。

　それをまざまざと思い出させてくれたのが、2017年4月にUnited Airlines（ユナイテッド航空）の機内で起きた騒ぎだ。同社はシカゴの空港で離陸前の旅客機から、チケットを購入済みの乗客を無理やり引きずり降ろした。その結果、United Airlinesは顧客の信頼を著しく損ねた。ビジネスにも悪影響が出そうだ。

　航空業界は、厳しい規制下にある消費者向けサービス業界だ。とはいえ、既に満席の旅客機に乗員を乗せる方法を検討する場合、常に幅広い選択肢がある。顧客を「再収容しなければならない」という発言もそうだが、United Airlinesが取った措置は、ルールを形式的に守り、コンプライアンスさえ確保すればよしとする考え方を反映している。

　それが幅広い選択肢のうち一方の極限だとすれば、もう一方の極限は何か。それは、商品の顧客やエンドユーザーに透明性を提供し、管理の主導権を委ねることで、彼らと信頼関係を築こうとすることだ。

併せて読みたいお薦め記事

「一般データ保護規則」（GDPR）とは

• 違反したら巨額の罰金、EUの「一般データ保護規則」（GDPR）とは
• EUの「一般データ保護規則」（GDPR）、施行日までに確認すべきポイントは

“スマート化”するビル

• 「Mirai」より凶悪な攻撃が起きる――IoTセキュリティが2017年に進むべき方向は
• IoTセキュリティは“今そこにある危機”　コストと安全のバランスをどうする？

乗客を引きずり降ろすこととプライバシーの関係は

　以上のことと、欧州連合（EU）の「一般データ保護規則」（GDPR： General Data Protection Regulation）やモノのインターネット（IoT）とどのような関係があるのだろうか。

　IoTがビジネスチャンスの爆発的な拡大につながるのは明らかだ。だが独自の包括的なIoT関連製品／サービスを開発しようとする企業は、安全性やプライバシーに配慮することがいかに困難なことなのかにすぐに気付く。

　GDPRの施行日である2018年5月25日が近づく中、この広範な規則は、消費者向けビジネスを展開し、世界でIoTビジネスモデルを追求する企業にとって、業務の基本的な枠組みとなる可能性がある。企業がEUに住む個人の情報を扱う場合、事業所がEUにあるかどうかにかかわらず、GDPRが適用されるからだ。

　データプライバシーに関する本人による選択と管理を可能にすることが、GDPRの規制上の目的である。すなわち個人の基本的なプライバシー権の行使を促進し、エンドユーザーが個人データのコントロールを取り戻せるようにする狙いがある。

　2018年5月に向けてプライバシー保護体制を再整備しようとしている企業にとって、United Airlinesの騒動から得られる教訓は、火を見るよりも明らかだ。すなわち「信頼関係を築くチャンスを絶対に逃さない」ことが重要になる。

　企業はプロセス重視の考え方になりがちだ。「専門的にいえば、われわれはこの手続きでコンプライアンスを満たしているから、何も問題ない」。こんな風に、表面的な対応に陥る恐れがある。

データプライバシー保護に向けた4つのステップ

　では、どうすればよいのか。以下のステップを踏んでデータプライバシーの取り組みを進め、実際のエンドユーザーのデータでGDPRを順守するための準備を整えよう。

ステップ1：ビジネスチャンスと信頼低下のリスクがどこで交差するかを見極める