データ保護に関する規制当局が一般データ保護規則(GDPR)について言及する際に、最近よく話題に挙がるのが「PECR」。GDPRコンプライアンスにここ1年ほど取り組んできた(もしくは無視する、という戦略を採っている)メディアビジネスやマーケティングビジネスにとって、GDPRコンプライアンス関連の文章にPECRという略語が再び頻繁に使われていることは、混乱を生んでいるようです。

本稿執筆時(7月3日)、英国のデータ保護当局のICOはクッキー規則に関する詳細なガイダンスをPECRの名のもとに公開しました。eメールマーケティングに取り組む企業にとっては、PECRを理解することは必要不可欠です。そして規制当局たちが、メディア、広告マーケットにおけるGDPR施行を強化しはじめたことを鑑みると、このGDPRとPECRの違いを理解することには価値があります。

デジタルマーケティングに関する新語を解説する「一問一答」シリーズ。今回はこのPECRを取り上げます。

――そもそも、PECRとはなんですか?



PECRとは、プライバシーと電子コミュニケーションに関する規則(Privacy and Electronic Communications Regulation)の略語。EUのeプライバシー指令(European Union ePrivacy Directive)の一部となっているものです。EUのeプライバシー指令は、トラッキングを目的としたクッキーの利用を抑制することに、より鋭いフォーカスを据えたeプライバシー規則(ePrivacy Regulation)となるために現在、更新が行われています。PECRはマーケティング目的の電話、テキストメッセージ、eメールをその対象としています。またオンラインにおける人々の情報をトラッキングするためのクッキーの利用、そして電気通信事業やその他の通信ネットワークや事業による位置情報の利用も規制する法律となっています。もしも企業がこれらのサービスを提供している場合、特にeメールマーケティングやクッキーの利用を行っている場合、PECRとGDPRの両方に準拠しなければいけません。eプライバシー規則が完成すれば、PECRに取って代わることになります。

――GDPRとはどういう関係になっているのでしょう?



GDPRによって、企業がターゲティング広告のような目的で個人情報を扱う際、顧客の同意を得ることが必要になりました。その際の条件をGDPRは提示しています。このことがほかの独立した法律と矛盾しないよう、PECRの同意に関するルールもGDPRと一致するように変更される必要が生まれたのです。端的にまとめると、PECRにおける顧客の同意はオプトアウトではなくオプトイン形式でなければいけません。これはときに「ソフトな」オプトインと形容されることもあります。同意は情報に基づいて自由な意志によって与えられた、とダイレクトマーケターたちは証拠を提示できなくてはいけないのです。

――PECRの罰金はGDPRのものと同じくらい高額なのですか?



罰金の額はGDPRには遠く及びません。PECRの罰金は50万ポンド(約6800万円)が違反者に対する上限となっており、データ保護法(Data Protection Act、GDPRの前身)と類似しています。GDPRにおいては、欧州規制当局は最大2000万ポンド(約24億円)、もしくはグローバル収益の4%どちらか高額な方を課すことができます。GDPRの方が多くの場所で話題となり、恐れられている法律なのはそのためです。ダイレクトマーケティングを行う企業は、当事者の「正当な利益」のため、とする例外項目を活用することができますが、それはGDPRの定義によります。

――PECR施行は緩いような印象を持ちますね



ある意味では緩いと言えます。GDPR施行の前に、ICOはふたつの企業に軽いものではありましたが、罰金を課しています。エアライン・フライビー(Airline Flybe)は330万件以上のeメールを、eメールマーケティングの登録解除をしていた人々に送ったとして7万ポンド(約950蔓延)の罰金を課せられました。もうひとつのホンダ(Honda)の場合、マーケティング情報を受取るかどうかについての顧客の選択を明確にするための28万9790件のeメールを送ったことに対する罰金はわずか1万3000ポンド(約170万円)でした。このeメールは、データ保護に関するコンプライアンスを確実にするために詳細を再度確認していただけ、というのがホンダの主張でしたが、マーケティングではなくカスタマーサービスとして、これらのeメールを分類していた行為がICOの合意を得られなかったのです。そもそもこの種類のeメールを受け取ることに関する同意を顧客が与えていた、という証拠をホンダは提出できなかったのですね。これはPECRにおいて、明らかに違反となります。

――GDPR施行前に、まったく同じことを行った企業がほかにも数百社あったのではないでしょうか



そうですね。GDPRが施行される前、顧客はマーケティング情報を受取る登録を維持するかどうかの確認eメールを山のように受け取りました。そうすることで、企業はGDPRの罰金リスクを避けようとしたのです。しかし現実には、そうすることで何年もPECRの違反状態にあった可能性について、注意が向けられることになりました。罰金を免れたのは、ただICOがGDPRで忙殺されていたからという可能性は高いですね。さらに、企業がコンプライアンスを正そうとするあいだ、そして新しい規則を誤解してしまうことによる混乱が生まれることに対する猶予期間をICOが設定していた可能性もあります。

――これらのeメールを送る必要はあったのでしょうか



おそらくなかったのでしょう。しかし、より厳しいGDPRに対する恐怖があるからこそ、そういう行動が生まれたのです。それに加えて、理解が追いついていなかったこと、そしてGDPRに関する解釈に幅があることもあり、eメールの大量送信というパニックが生まれたのです。

Jessica Davies(原文 / 訳:塚本 紺)