ちょっと前までGDPRを甘く見ていた話 事例詳細|つなweB

2022年、米国でユーザーリサーチ会社を立ち上げた方と、UXリサーチについて雑談する機会がありました。その方は台湾人なのですが、その会社を起点に世界中でユーザーテストやリサーチを行い、テストデータや結果をさまざまな大企業に提供しているそうです。

リサーチする国によって風土や文化の違いがあり、その話が面白かったのですが、彼との話でよく出てきたのがEthics(倫理)という言葉でした。そこで、UXリサーチにおける倫理とは何ですか? と問いかけると、彼は「個人情報保護をしっかりと認識し、実行することだ」と言っていたのが印象的でした。

ユーザーテストを行う際にはさまざまな個人情報を取得します。まずは、被験者を募るときの名前やメールアドレス、年収や経歴などの基本情報。また、テストを行う業界によってはもっと突っ込んだ極秘データなどもあります。例えば医療関係であれば、診療記録や病気などのデータはかなり繊細に取り扱わなければなりません。

世界の個人情報保護法で最も厳しいのがEUで制定されているGDPR(EU一般データ保護規則)だそうで、データを集める前にどんなデータを集めるか、なぜ集めるのかなどの目的を伝える必要があります。また、集めたデータをどこに保管するのか、被験者がデータを削除してほしいときに誰に連絡すべきかなども、すべて明確にしなければなりません。

EUはこういった点で緊張感があると彼は話していて、ルールを守っていないとGDPRでは重い罰金があるのが理由だそうです。そして、国によって個人情報保護法は違うものの、今のところはEU基準でやっておけば困らない、とのことでした。

と、ここまで伝聞調で書いたのは、恥ずかしながら私はその時点でGDPRの存在や重要性をなんとなく理解していたものの、詳細まではあまり認識していなかったからです。特に罰金は相当重いらしく、2019年にはGoogleが「個人情報の利用目的が確認しづらい」「利用の目的別に同意を得ていない」という理由で、初の罰金事例として約62億円の制裁金が課せられたそうです。

もうすでにご存じの方も多いかとは思いますが、このGDPR、日本にいるからといって我々も無関係ではありません。GDPRはEU圏内にいるユーザーに適用されているわけですから、例えば日本だけではなく海外展開をしている場合や英語版を展開している場合には十中八九対象になります。

また、自分たちは会員データを持たないサイトだから対応の必要がない、というのも間違いです(自分もはじめはそう思っていました)。サイトで使用されているCookieもデータ取得の対象ですし、分析系ツールもデータ取得の範疇です。海外サイトだと細かくCookieの事前許可などのモーダルが当たり前に出てきます。しかし、日本の個人情報保護法だとプライバシーポリシーをまとめるくらいで済ますことも多いため、海外版を用意するとなると認識を改めなければなりません。

こうした話は決められたルールや法律をどこまで守らないと刺されてしまうのか、ということに終始しがちです。その背景には、ユーザーに対してデータの透明性が担保されるべきだとか、データの主導権を企業ではなくユーザーに与えるべきだといった、ユーザーファーストな世界への前進とも言えます。その点、EUは国家連合単位でこういうことに毅然と取り組んでいて、素晴らしいなと思います。整備する方としてはとても辛いですが…(笑)。Webデザインも今はこんなことまで知って対応しなければならないんだなぁと、しみじみ時代の移り変わりを感じるのでした。

 

冒頭で述べた雑談は実はYouTubeでも配信されていたオンラインイベントの一部の会話でした。僕の運営するSpectrum Tokyoのチャンネルやサイトの方でも探してみてください https://spctrm.design/jp/

 

三瓶亮
株式会社フライング・ペンギンズにて新規事業開発とブランド/コンテンツ戦略を担当。また、北欧のデザインカンファレンス「Design Matters Tokyo」も主宰。前職の株式会社メンバーズでは「UX MILK」を立ち上げ、国内最大のUXデザインコミュニティへと育てる。ゲームとパンクロックが好き。 個人サイト: https://brainmosh.com Twitter @3mp

 

三瓶亮
Web Designing 2023年12月号(2023年10月18日発売)掲載記事を転載