アジア地域のIR事業者には、今後数カ月間に中国本土を含むアジア全域で施行される 新たなデータプライバシーに関する法律を慎重に切り抜けていくことが求められる。
IR事業者にとって、データが新たな準備通貨になってきた。
顧客に関する幅広い情報を捉えることの価値は、全体の業績にとって極めて重要となっている。AlipayやWeChatミニプログラムのマーケティングからキャッシュレス決済、デジタル予約や位置情報によるWifiログインまで、デジタル活動が急増したことで、新たなデータストリームから収集できるデータ量が激増した。それらのデータはビジネス上の決定に際して豊富な情報を提供し、IR環境全体における効率改善に役立つ。
サービス中心の業界においては、個人に合わせた体験を届けるための顧客個人の好みに関する情報を、前線で働くスタッフに備えさせることで、顧客体験やサービスデリバリーの質が大きく向上する。同様に、洗練されたAIおよびデータ分析ツールを配備するバックエンドのCRMマネジメントは、優れたエンゲージメントおよびROI(投資利益率)の結果を伴いながら、マーケテ ィングコミュニケーション戦略を練り上げることができる。
故に、データは、在庫管理からスタッフの配置およびマーケテ ィング戦略まで、IRビジネス全体に決定を伝えるために必要不可欠な要素となってきた。結果、データ収集の範囲と処理が新たなレベルに達している。このデータの大半が、顧客、訪問者および従業員の個人情報に関係しており、そこでその国の個人情報およびプライバシー関連法が発動する。
IR業界の性質を考えると、常連客の個人情報は常に、特に慎重に扱うべきだと考えられてきた。現在、ハイリスクデータの新たなカテゴリーが収集対象となっており、デジタル決済から生じたデータ(そして先を見越すと将来のキャッシュレスゲーミング決済)や、新型コロナ追跡アプリ、ワクチンパスポートおよび検査結果などの健康コードツールなどがある。捉えられる情報量およびその機密性が増していることで、データプライバシーコンプライアンスが、大多数の事業者に該当する極めて重要な事業要件になってきている。
プライバシー規制と法執行の増加
同時に、データプライバシーの法整備は継続して進化しており、その地域の規制機関は、個人情報の収集及び使用に関する新データプライバシー法の制定・執行においてこれまで以上に積極的になってきている。これら新たな規定の中には域外適用の効果があるものもある。つまり、海外の客から個人情報を集める事業者は、 ある特定の状況においてその客の住んでいる法域の法の要件に従う必要がある。
中国の新個人情報保護法
最近まで、中国には、個人情報の取り扱いに特化した包括的な法律はなく、代わりに特定の業界における個人情報処理の基準に対処した業界特有の多くの規制に頼っている状態だった。今年8月、中国政府は個人情報保護に関する新法を可決させ、2021年11月1日に施行。この新個人情報保護法は、中国国民の個人情報を取り扱う企業の活動に影響を与える。たとえ、その企業が海外、またはマカオ、香港に拠点を置いていたとしても。この法律は中国本土内に拠点を置く法人には限定されていない。事実、中国本土外で個人情報を処理する海外企業には、個人情報保護に関連する問題を取り扱う代理店を置くか、もしくは中国国内に指定の代理人を任命しそれを中国当局に登録しておくことが義務付けられるようになる。同法はまた、中国本土からマカオや香港を含む海外に、個人情報を越境移転することにも制限をかけている。これらの場所にデータを海外移転する前に、追加のセキュリティ評価、保護認証、契約またはリスク評価といった特定の要件を満たさなければならない。
マカオのIR事業者にとって中国本土の客が最大の市場区分を構成することを考えると、事業者達は、11月1日の施行日に先駆けてこの中国の新個人情報保護法の事業活動への影響を細かく評価しておく必要があるだろう。特に、インマーケットアプリ、WeChat公式アカウントおよびミニプログラム、ウェブサイト通じた個人情報収集、そしてその後のマカオへの越境移転手続きが、見直しの第一候補であると見られる。
新法への違反に対する罰則は厳しく、深刻な違反については5,000万元(8.5億円)以下または前年度の売上の5%という罰金が科される。新法はまだ執行されておらず、その効果は分からないものの、中国当局は最近、テクノロジー分野におけるデータプライバシー侵害に厳しい姿勢を見せている。中国のインタ ーネット監視機関である中国サイバースペース管理局(Cyber-space Administration of China)は、2021年5月に84のオンラインアプリが過剰収集および使用によって個人情報を侵害したことを突き止め、それら事業者に対して15日以内に自社のプロセスを是正するよう求めた。
さらに最近の2021年7月には、配車サービスアプリのDidiがデータ収集及び使用ルールへの違反によって、中国のアプリストアでの配信を停止された。中国のデータプライバシー法要件への遵守を怠った企業に対する罰金の可能性と企業運営への影響は明らかだ。
日本はプライバシー法の要件を厳格化
同様に、日本は個人情報保護法改正案を可決し、日本国民の個人情報、そして匿名加工情報や仮名加工情報を取り扱う全ての海外企業に対して、特定の状況における域外適用の範囲を拡大した。改正個人情報保護法は2022年4月に施行予定で、日本専門チームを持つ事業者は、その影響があるのかを見極め、施行までに改正法に準拠するようプロセスを徹底的に見直す必要がある。
マカオでのデータプライバシー法の執行
一方、マカオでは最近、違反者に対するデータプライバシー調査と法執行に向けて、当局が断固としたアプローチを取るという状況が見られている。2020年、マカオ個人情報保護弁公室( Macau Data Protection Office )は、違法なテレマーケティング活動と個人情報の使用で、企業に対して総額1,200万マカオ・パタカ(1.7億円)の罰金を科した。
マカオ個人情報保護法はまた、場合によって自分のデータへのアクセス、修正、削除または加工停止を求める権利など、個人情報に関して個人が持つ多くの権利を正式に記している。ここ最近は個人の権利への関心が高まっており、個人情報の価値及び利用からの保護の必要性に対する意識の高まりから、データアクセス、修正および削除請求数が増加している。関係するデ ータ主体の潜在数、そして多数のコンタクトポイントからのデータ量を考えると、マカオ個人情報保護法の下で求められている通り妥当な時間内に個人のデータ請求に応えるプロセスには、効果的に処理するためのかなりの専門リソースが必要になる。
データ主体に関して同様のアクセス権、修正および削除権を持つ中国の新たな個人情報保護法などの海外のデータプライバシー法の潜在的効果を考慮した時、将来予期されるデータ主体のリクエスト量は飛躍的に増加する可能性があり、追加の支援や人材無しでは太刀打ちできないように見えるかもしれない。
マカオの法律はまた、収集目的が達成された時点で個人情報を削除するよう求めている。数えきれないほどの新しいデータの流れが捉えられることで、収集されたあらゆる種類およびカテゴリーの個人情報の保持期間を決定・記録し、保持期間が修了した時点でITシステムおよびバックアップサーバー全体で個人情報の全てのコピーを確実に削除するのはかなり大変な作業だ。
加えて、マカオでは2019年にゲーミング独自のデータに関する規制が導入され、あらゆるゲーミング関連データ(ベット額、ベットの配置、チップ購入および払い戻し)の海外移転については、マカオゲーミング規制当局の事前の承認が義務付けられており、その中には常連客の個人情報(名前、国籍など)も含まれる可能性がある。IR事業者たちにはまた、2019年マカオサイバ ーセキュリティ法の下で、民間の重要インフラ事業者として、サイバーセキュリティ案件やデータ違反の可能性を当局に報告するなど、サイバーセキュリティ管理システムおよび手続きを実施する特別な義務が課せられている。
課題のためのソリューションIRビジネスの継続においてデータプライバシーの法の遵守が非常に重要であるにもかかわらず、一般的に、データ収集・使用の劇的な増加に合わせて、社内データプライバシーチームも拡大しているわけではない。かつてないほどに増加する作業の複雑さを解決するために、新たなプライバシーテック管理ツールが出現しており、プライバシーチームがプライバシー管理プロセスを合理化し、運用可能にするのを助けてくれる。プライバシ ー管理ソフトウェアを導入することによって、データは構造化されたプラットフォーム上で分類され、会社全体で保管・使用される全ての個人データのセントラルマップの作成が可能になるため、アクティビティを監視し、潜在的な違反を調査し、記録を更新し、実施後にデータを削除することができる。
IRにとって、これまでの中核の課題は、様々なIRシステムで動作する多数の異なるデータベースまたはデータソースを保有している可能性がある事業チームで、データの所有権が分断されているという性質だった。一元化されたプライバシー管理プラットフォームは、様々な国のデータプライバシー法および適用される規制に準拠するために必要な可視性、自動化および記録管理を与えてくれる。加えて、プライバシーツールには、データ主体へのアクセス請求、データ検出およびデータリダクションの自動実施を組み込むことができ、プライバシーチームはより戦略的なプライバシー問題およびタスクに集中することができる。
最も広く使用されているプライバシー管理ツール 「One-Trust」の中華圏マネージャー、ロブ・ヒンソン氏はこのように語 っている。
「プライバシー管理プラットフォームは、異なるソースからの大量のデータストリームがある統合型リゾート事業者のような大規模組織にとっては極めて重要なツールです。
これらは、多くの場合、様々な法域にわたる顧客の個人情報が関わっていると同時に、その組織は複数の国のデータプライバシー法の対象になり得ます。かつてないほどに変化する規制環境において、最新の規制上の変更に遅れを取ることなく、これらの義務を管理するためのツールは最も重要になっています」
プライバシー管理の未来
プライバシー管理ソフトウェアおよびツールの導入は、データプライバシー管理の合理化を助けてくれるが、モジュールとツールの選定は事業特有のデータストリーム、プロセスおよび適用されるプライバシー法の法域に合わせてカスタマイズする必要がある。同様に、プライバシーテックソリューションの効果は、従業員のプライバシー問題の理解に依存しており、プライバシ ーチームだけでなく、その役割において個人情報に接触のあるスタッフ全員に関わってくる。新たなプライバシー法要件をきっかけにした新データプライバシープロトコルおよびデータマネジメントに関する従業員研修もまた非常に重要であり、それを実施することで事業者はデータ保護の手続きの効果的な実施とコンプライアンスを外に示すことができる。
事実、顧客がますます個人情報の利用に敏感になるにつれて、事業者は個人データ管理への自社のアプローチを使って、顧客との間に高い信用を築き、競合他社と差別化することができる。顧客が自身の手で、本当に同意した目的のみの使用を管理・許可できる透明性のあるユーザー中心のプライバシー管理ツールの提供によって、事業者はユーザーのプライバシー権を尊重し、顧客の希望を第一に優先することへの強い決意を示すことができる。