2022年、米国でユーザーリサーチ会社を立ち上げた方と、UXリサーチについて雑談する機会がありました。その方は台湾人なのですが、その会社を起点に世界中でユーザーテストやリサーチを行い、テストデータや結果をさまざまな大企業に提供しているそうです。
リサーチする国によって風土や文化の違いがあり、その話が面白かったのですが、彼との話でよく出てきたのがEthics(倫理)という言葉でした。そこで、UXリサーチにおける倫理とは何ですか? と問いかけると、彼は「個人情報保護をしっかりと認識し、実行することだ」と言っていたのが印象的でした。
ユーザーテストを行う際にはさまざまな個人情報を取得します。まずは、被験者を募るときの名前やメールアドレス、年収や経歴などの基本情報。また、テストを行う業界によってはもっと突っ込んだ極秘データなどもあります。例えば医療関係であれば、診療記録や病気などのデータはかなり繊細に取り扱わなければなりません。
世界の個人情報保護法で最も厳しいのがEUで制定されているGDPR(EU一般データ保護規則)だそうで、データを集める前にどんなデータを集めるか、なぜ集めるのかなどの目的を伝える必要があります。また、集めたデータをどこに保管するのか、被験者がデータを削除してほしいときに誰に連絡すべきかなども、すべて明確にしなければなりません。
EUはこういった点で緊張感があると彼は話していて、ルールを守っていないとGDPRでは重い罰金があるのが理由だそうです。そして、国によって個人情報保護法は違うものの、今のところはEU基準でやっておけば困らない、とのことでした。
と、ここまで伝聞調で書いたのは、恥ずかしながら私はその時点でGDPRの存在や重要性をなんとなく理解していたものの、詳細まではあまり認識していなかったからです。特に罰金は相当重いらしく、2019年にはGoogleが「個人情報の利用目的が確認しづらい」「利用の目的別に同意を得ていない」という理由で、初の罰金事例として約62億円の制裁金が課せられたそうです。
もうすでにご存じの方も多いかとは思いますが、このGDPR、日本にいるからといって我々も無関係ではありません。GDPRはEU圏内にいるユーザーに適用されているわけですから、例えば日本だけではなく海外展開をしている場合や英語版を展開している場合には十中八九対象になります。
また、自分たちは会員データを持たないサイトだから対応の必要がない、というのも間違いです(自分もはじめはそう思っていました)。サイトで使用されているCookieもデータ取得の対象ですし、分析系ツールもデータ取得の範疇です。海外サイトだと細かくCookieの事前許可などのモーダルが当たり前に出てきます。しかし、日本の個人情報保護法だとプライバシーポリシーをまとめるくらいで済ますことも多いため、海外版を用意するとなると認識を改めなければなりません。
こうした話は決められたルールや法律をどこまで守らないと刺されてしまうのか、ということに終始しがちです。その背景には、ユーザーに対してデータの透明性が担保されるべきだとか、データの主導権を企業ではなくユーザーに与えるべきだといった、ユーザーファーストな世界への前進とも言えます。その点、EUは国家連合単位でこういうことに毅然と取り組んでいて、素晴らしいなと思います。整備する方としてはとても辛いですが…(笑)。Webデザインも今はこんなことまで知って対応しなければならないんだなぁと、しみじみ時代の移り変わりを感じるのでした。