iStock / JLGutierrez
今では、これらのメールはすっかりお馴染みになっているでしょう。いつもと同じ明るい口調で、ブランドから送られてきて、今後その会社からメールを受け取るかどうかを尋ねてきます。(おそらく、その会社がどんな会社だったか、ましてや2007年に何を購入したかなんて、すっかり忘れてしまっているでしょう。)
「求職活動の際にご提供いただいた情報の管理と保護に尽力しております」と、求人サイトのよくあるメッセージに書かれている。「登録を継続するには、こちらをクリックしてください」と続く別のメッセージには、「あなたを失いたくないので、今すぐ行動を起こしてください」と書かれている。返信がない場合はユーザーアカウントを削除しなければならないと主張する人もいる。
これらのメールの大半は、5月25日から施行される欧州一般データ保護規則(GDPR)に言及しています。GDPRは、企業や組織の個人情報の取り扱い方法に変化をもたらします。新規則に違反すると巨額の罰金を科せられる可能性に直面している企業にとっては、パニックに陥る原因となっています。だからこそ、皆さんはこうしたメールを大量に受け取っているのです。
「組織からの長文のメールがメールボックスに溢れ、引き続き連絡を受ける意思があるかどうかを尋ねるメールが届くという話を耳にしました」と、英国の情報コミッショナー代理であるスティーブ・ウッド氏は今週初めのブログ記事に記している。「メールを送信する前に、本当に同意の更新が必要かどうかを検討し、ユーザーが簡単に同意を撤回できる仕組みを整備することを忘れないでください」とウッド氏は言う。
しかし、結局のところ、こうしたメールのほとんどは無意味です。「英国では2003年以来、マーケティングメールは、受信者が受信に同意した場合、または既存の顧客関係があり、オプトアウトの機会を提供している場合にのみ送信できるという法律が施行されています」と、法律事務所ミシュコン・デ・レイアのデータ保護アドバイザー、ジョン・ベインズ氏は説明します。
では、なぜ彼らはこのようなメールを送信しているのでしょうか?それは主にGDPRへの懸念によるものです。GDPRでは、企業は最高2,000万ユーロ、または年間全世界売上高の4%の罰金を科せられる可能性があります。多くの企業はシステムの整備に熱心です。ただし、英国では情報コミッショナーが罰金を強引に課さないことを明確にしています。
ベインズ氏は、これらのメールが現在送信されている大きな理由は、「マーケティングメールの送信には受信者の同意、または既存の顧客関係が必要であるという認識が高まった」ためだと考えている。この認識は、GDPRをめぐる騒動によってさらに高まっている。
しかし、マーケティングメッセージは、プライバシーおよび電子通信(EC指令)規則(略してPECR)の対象となります。これは欧州の電子プライバシー指令に基づいており、煩わしいメールからテキストメッセージまで、マーケティングに使用されるあらゆるメッセージを対象としています。
GDPRはPECRに取って代わるものではなく、並行して存在し、欧州の規制当局はPECRに代わる新たなeプライバシー規則を策定中です。混乱していますか?企業もあなたにメールを送っているようです。その結果、GDPRとPECRはどちらも密度が高く、法的に複雑で、様々なシナリオに対する例外規定を含む多くの注意事項があり、やや混乱した規則の組み合わせとなっています。
詳しくはこちら:GDPRとは?英国におけるGDPRコンプライアンスの概要ガイド
しかし、PECRの存在は、多くの場合、企業が連絡の継続に関する許可を再度求めるメールを送信する必要がなかった可能性を示唆しています。「人々が受け取っているメールの多くは不要だと思います。なぜなら、人々は既に同意しているか、ビジネス用のメールアドレスで受信しているからです」とベインズ氏は言います。例えば、[email protected] のようなビジネス用メールアドレスは、GDPRでは個人データとして扱われますが、マーケティングメッセージについては受信の同意は不要かもしれません。
人々がマーケティングメッセージの受信に同意していない場合、そのメッセージを送信する企業は、おそらく何年もの間、PECR に違反していることになります。
しかし、同意とは何を指すのかは、少々曖昧な問題です。GDPRの導入に伴い、同意の定義が更新されました。定義は複雑ですが、同意とは明確なもので、誰かが能動的に「はい」と答えることが必要であるとされています。例えば、マーケティングメールの受信を希望する旨のチェックボックスに事前にチェックが入っているだけでは、明確な同意とはみなされません。しかし、能動的にチェックを入れなければならないチェックボックスは、明確な同意とみなされます。
「同意が適切な法的根拠となるならば、十分な情報に基づいた、積極的かつ明確な同意を確立するために、そのエネルギーと労力を費やす必要がある」とICOのウッド氏は述べている。企業がGDPRの要件を遵守しつつ、個人情報を取得し処理する方法は、同意以外にも他にもある。
結局のところ、PECRとGDPRの重複により、一部の企業は大量のメールを受信しても無視したメーリングリストの登録者を失うことになるでしょう。皮肉なことに、ICOは昨年、ホンダとフライビーに対し、より多くのメールを受け取ることに同意するよう求めるメールを送信したとして罰金を科しました。ICOは当時、「適切な同意を得ずにマーケティングの受信を希望するかどうかを確認するためにメールを送信することは、依然としてマーケティングであり、違法です」と述べました。
しかし、電子メールによる同意メッセージの悪質な例も増えています。英国に拠点を置くサイバーセキュリティ企業Redscanは、GDPR関連のメールを装ったフィッシングメールが送信されていることを発見しました。同社は、Airbnbからのメールを装った偽メールを発見しました。そのメールには、顧客は特定のリンクをクリックしてプライバシー設定を更新するよう記載されていました。
リンクをクリックすると、偽のAirbnbウェブサイトに誘導され、入力されたすべての情報が収集され、ウェブサイトを作成したハッカーのシステムに保存されます。「サイバー犯罪者が新しいデータ保護規制の施行に乗じて人々のデータを盗んでいるという皮肉は、誰の目にも明らかでしょう」と、Redscanのサイバーセキュリティ担当ディレクター、マーク・ニコルズ氏は声明で述べています。
この記事はWIRED UKで最初に公開されました。
