いよいよ始まる欧州のGDPRで、何がどう変わるのか? 観光産業に与える影響と今後を考えた【外電コラム】

企業各社にとって、顧客対応のパーソナル化、シームレス化を実現するためにデータの存在は欠かせない。しかし消費者側はといえば、自分の個人情報をあちこちの企業から求められるようになり、もはやうんざりしている。

今後さまざまな規制の導入が進むことにより、消費者自身が、自分に関するデータの扱い方について、もっとコントロールできる体制が整うようになるだろう。一方、個人データを収集・活用する企業には、より大きな責任が課されるようになる。

個人データ保護とプライバシー対策について、現段階で最も進んだ考え方を示しているのが、EU域内の市民を対象としたEU一般データ保護規則(GDPR)だ。企業が直面するセキュリティ問題を分析した前回コラムに続いて、今回は、トラベルポートのチーフ・アーキテクト、マイク・クロウシャー氏にGDPRが旅行産業に及ぼすメリットと課題について聞いた。

旅行産業におけるGDPR(EU一般データ保護規則)とは

欧州議会は2016年、GDPRの導入を承認。企業各社が法令順守のための規約を作成したり、システム変更を行う準備期間として2年間を設けた。そして今年5月25日にこの新規則を施行。個人の氏名、メールアドレス、モバイル端末IDなどのデータを集めて保管する、あるいは破棄する際に、企業が守るべき規則を定めたもので、対象となるのはEU域内居住者に関するデータ。一方で、これを扱う企業については、その住所がどこであろうとも規制の対象となる。

法令違反に課される罰金は厳しく、最大で年間売上の4%、または2000万ユーロ(約26億円)のどちらか高い方としている。インパクトを受ける業種は多岐に渡るが、当然、旅行産業も大きな影響を受ける。

EUの各種統計を作成・管轄している部局、ユーロスタット(Eurostat)によると、2016年はEU域内人口のほぼ3分の2(62.1%)にあたる人が旅行に出かけており、旅行回数は計12億回だった。

実際には、一回の旅行であっても、航空券、ホテル、交通機関、アクティビティなどが別々にカウントされている可能性はあるが、いずれにしても、GDPRが世界各地のあらゆる旅行関係各社にとって、他人事ではないのは明らかだ。

GDPRの対象は「データ管理者」と「データ処理者」

GDPRでは、データ管理者とデータ・プロセッサー、つまり個人データの取り扱い方法を決める企業と、その意向を受けて実際にデータ処理を行う企業を対象として、その責任を定めている。

まず、収集の対象となるデータ主体(消費者など)と直接接するデータ管理者(企業など)には、相手からデータ収集に関する合意を得る、あるいは合意取り消しに対応する責任が生じる。

旅行業プラットフォームであるトラベルポートは、流通、テクノロジー、決済、そのほか様々なソリューションを提供するデータ処理会社(データ・プロセッサー)に該当する。トラベルポートが展開する物理サーバーと仮想サーバーは2万以上あり、そこで毎日、100TBのデータが処理されている。年間の取り扱い件数は1兆件規模だ。

昨年来、トラベルポートではGDPR遵守に向けたプログラム開発に取り組み、システムや規約を準備し、スタッフ研修やデータ保護を担当する役員を任命。EU当局が「細心の注意が必要となる個人データを大量に処理する業務」に携わる企業に求める新規則への対応を進めてきた。

しかし同社のチーフ・アーキテクト、マイク・クロウシャー氏によると、GDPR遵守によってトラベルポートの日常業務が大きく変化することはないと話す。

「顧客企業から大事なデータを預かるので、これまでも何より信頼を重視してきた。我々はプラットフォームを提供する企業として、常にこうした倫理観を心がけてきたため、当社から見れば、GDPRは今までの考え方が法規制にも反映されたに過ぎない」とクロウシャー氏。だが「個人データ保護に取り組んでこなかった企業もあり、規則は必要だ」との考えだ。

「誰の顧客か」を意識すべき

GDPRには、プライバシーに関する原則もいくつか盛り込まれている。例えば、企業・組織は、データを収集する理由や使用方法についてはっきりと説明すること、データは「必要最低限の期間」のみ保管すること、受け取ったデータをEU域外に持ち出す場合は、データ主体(本人)にその旨を連絡すること、データ主体には、いつでも自身のデータ提供の合意を取り消し、削除してもらう権利があること。

旅行業界にとっては難しい課題ばかりだ。顧客データがあちこちに分散していることもある。

「誰の顧客か、という点がGDPRにおいて非常に重要になる」とクロウシャー氏は説明する。

「当社システム上では、特定人物の旅行予約を複数回にわたって処理した場合でも、これを同じ『個人』として認識するのは不可能で、別々の『予約』として扱われる。例えば同じ人物がエクスペディアから予約したり、法人契約の旅行会社から予約したりする。これを当社がシステム上で処理するのだが、我々の側からは、異なる契約企業経由で入ってきた予約については、同一人物であると判別できない」。

トラベルポートのようなB2Bデータ処理企業の場合、消費者と直接やりとりする立場にはないため、(データ収集などで)本人合意を得たかどうかの責任は問われない。しかしデータ処理業務の記録をつけること、自社システム内を流入出するデータについて、それが個人を特定可能なデータか、あるいは非特定化されたものか把握する責任は生じる。

「データの中から氏名を取り出し、どういう人かを識別し、属性タイプ別に格納するのであれば本人の合意を得ていなくても合法。一方、タイプ別に分類したデータから、元の個人情報に戻って追跡することができる場合は法に抵触する」(クロウシャー氏)。

プライバシー対パーソナライゼーション

クロウシャー氏によると、トラベルポートが旅行者像を把握しようとする場合は、セグメント別にペルソナ(想定する顧客像)を設定するやり方が役立つという。しかしユーザーとのやり取りをもっと活発にしたい、自社に対するロイヤルティーを高めたい、と考えているB2Cビジネスにおいては、状況は異なる場合も。こうしたケースでは、個人データを収集してトラッキングする方が、ユーザーに対して「あなたをちゃんと理解しています」とアピールする効果があり、戦略に合致する。だが、GDPR導入によってデータが消費者の手中におかれる状況ではどうか。企業各社は、自社サービスが消費者に与えるメリットについて、もっと強く打ち出す必要がでてくるだろう。

「顧客視点で考えることだ。自分の個人情報を提供すると、よりパーソナルなサービスが受けられるようになり、便利だと感じるなら、顧客にとって意味がある。しかし、サービスに価値がないと判断した顧客は、『自分の個人データ使用を認める』という欄にチェックを入れない」と同氏。

またGDPRでは、企業各社がモバイルやウェブ・インターフェース向けの機能など、次々と新しいプロダクトを開発するにあたって、「プライバシー対応設計」「プライバシー標準装備」を求めている。言い換えると、EU市民の個人データを扱う企業は、プロダクト設計の最初の段階から、GDPRを遵守した手順とポリシーを取り入れるよう義務付けている。

「今はシステムを開発した後、データ保護のガバナンス構築に取り組むという場合がほとんど」とクロウシャー氏。「これに対し、GDPRでは、システム障害や信頼性を考えながら設計するのと同じように、構想のごく初期段階からプライバシー対策も考え、これを自社システムにおける標準装備にするよう定めている」。

これからの開発のあり方

今後はブロックチェーンをベースにした旅行者認証ソリューションが広まり、プライバシー保護やGDPRに代表される諸規則の遵守に活用されるようになるかもしれない。

データ主体(=本人)によって個人データが暗号化・管理されるようになり、本人がケース・バイ・ケースで共有可能なデータを決定したり、いつ誰と共有するかを判断できるようになると、いう構想だ。

クロウシャー氏は、個人データをまとめて管理する「銀行(バンク)」のような存在があればよいと言う。データ保有者だけがアクセスできる、いわばデータの中央倉庫。そうすれば、消費者は、いくつもの企業に対し、自分の個人データ保有を許可する必要がなくなる。

「お金の扱い方と同じ考え方だ。自分が利用する企業すべてにお金を保管しておく、なんてことはしないでしょう。普段はまとめて銀行に預け、使うときに使う分だけ引き出すものだ」と同氏は説明する。

「個人データでも同じことができないだろうか? 普段はデータバンクに預けておき、必要な期間だけ、必要な相手に、必要な部分だけをリリースする。データ提供期間が終了したら、自分でアクセスと暗号化キーを終了する操作を行い、相手からデータ利用権限を取り上げる仕組み。個人データを『トークン化』し、それぞれが管理する」。

これが実行可能なソリューションか、あるいはもっと他の開発モデルが登場してくるのか。いずれにしても、GDPRはデータ・ガバナンス新時代への移行を告げるものだとクロウシャー氏は捉えている。

「これから個人データ保護の法整備がどんどん進んでいくだろう。まずヨーロッパで始まったが、世界中が同じ方向へと動き出す」と同氏は予測している。

※編集部注:この記事は、世界的な旅行調査フォーカスライト社が運営するニュースメディア「フォーカスワイヤ(PhocusWire)」に掲載された英文記事について、同編集部から承諾を得て、トラベルボイス編集部が日本語翻訳・編集しました。

※オリジナル記事:Unlocking travel security, part 2: The looming GDPR deadline


著者:ミトラ・ソレルズ(Mitra Sorrells) シニアレポーター

みんなのVOICEこの記事を読んで思った意見や感想を書いてください。