PECHEDENFERのブログ

Le rayon d'action illimité. D'une véritable ruche bourdonnante.

今日から施行されるGDPRとタイ航空からのメール

12: gadgets & tips

人によっては大事、人によっては仔細な事

ヨーロッパの話題が続きます。GDPRの話。これはGeneral Data Protection Regulationの略号です。ユーロ圏で本日 2018年 5月25日から施行される、個人情報保護に関する一般データ保護規則です。

・欧州経済地域内のすべての市民に関連する個人情報を保護すること

が目的で、

・EU圏で個人に製品、サービスを提供する組織や、EU圏内の個人の活動をモニタリングする組織

が規制の対象となります。組織の物理的な存在地、登記場所などは関係ありません。

 

氏名、写真、住所、銀行口座情報、診療記録から、メールアドレス、SNSの投稿、IPアドレスまで幅広い情報が保護対象となります。組織の対応は、

・個人情報利用で提示する約款は、誰もが理解できる言語で記載。
・約款は、簡単にアクセスできるようにしなければならない。
・権利侵害のリスクのある情報漏えいの際には、発覚後72時間以内に通知が必要。
など多岐に渡ります。

 

違反した場合の制裁金が巨額なので、EUで活動する企業は神経質になります。問題は、一人でもEU市民が個人情報保護に関係すれば、規制の対象になる点です。旅行業を含めた多くのサービス産業は、世界中の客を相手にしています。顧客管理を行っていなくても、電子台帳に個人情報は残るでしょう。EU 外に住んでいる客も EU 内に引っ越すかもしれません。したがって改めて顧客管理を行う動きが大々的に起きるのは、当然なのです。

 EU外の客も同じスキームに従って個人情報が処理されるので、世界中の顧客に一気に連絡することには合理性があります。

 

気分を盛り上げたタイ航空

タイ航空から 5月22日に届いたメール。タイから日本へ。ヨーロッパは関係ありませんが、上記の事情からメールで全顧客に連絡したのでしょう。それはそうと謎の繁字文。ヨーロッパにも、タイにも、日本にも縁遠い言語。

f:id:PECHEDENFER:20180524122743j:plain

GDPRに関する案内であることは明らか。黄色のリンクをクリックすると、個人情報をアップデートすることが促されます。そのサイトは英文でした。Royal Orchid Plusのメンバーかどうか関係なく、このメールを送ったようです。言語の割当ては理解不能。TGのサイトには香港があるため、香港人認定されていると推定されます。

 

Royal Orchid Plus会員ではないので、一見客の扱いのはず。ここで更新しなければ、中国語のメールは今後届かなくなる理屈。したがって個人情報は更新しません。次に航空券を買う時は、GDPR対策で必要情報が要求されるはずなので、記録を更新するチャンスです。

 中国語(TG)とか、ギリシャ語(A3)とか、航空会社はどうして不適合な言語で重要な連絡をしてくるのでしょうか。自ら選択した可能性はゼロです。本当に不思議なことです。他の人には、そういうことは起きないのでしょうか。

 

他の会社の対応

ことがことだけに、どの会社も顧客へ直接連絡をするのが筋です。確かに旅行関係でお世話になっている各社から、メールが届いています。

 Heathrow空港は、5月25日以降に実施する新しい「やり方」をメールで配信してきました。タイ航空と同じ日です。解説ビデオのリンクが付いています。

f:id:PECHEDENFER:20180524124559j:plain

ビデオはYoutube

Privacy at Heathrow: Getting Data Privacy Right - YouTube

Heathrowも2系統で登録されているらしく、別のメールアドレスに届いたメールでは、Stay in touchのボタンが、Unsubscribeになっていました。前者は未登録の記録、後者は登録済の記録というわけです。こういう複数レコードは、統合されるべきなのかどうか、判断がつきかねます。

 

他の会社では、カタール航空、マレーシア航空から個人情報アップデートの要請がありました。これらは平穏な英語メール。

 

以上4社は、言語の問題を不問にすると GDPR にまじめに対応している印象です。

 

エーゲ航空は、GDPRに対応してプライバシーポリシーを読んでくれという案内だけでした。

Privacy Policy | Aegean Airlines`

しかも広告メールにオマケ程度に付けた案内です。個人データに関しては、個々の客の許可が必要と書きつつ、許可を問う仕組みは見つかりませんでした。

 

日本時間で当日になってからメールを送ってきた会社が、BA と SPG。共にプライバシーポリシーを新しくしたことを伝えています。

f:id:PECHEDENFER:20180525115711j:plain

正確には BA ではなく、Executive Clubですが、リンクも示されています。5月22日から実行していると正直に白状しています。

 SPGは、「StarwoodとMarriottの合併を進めるにあたって、世界レベルのプライバシーポリシーをアップデートしたことをお知らせしたい。」と前書きがあり、なかなか洗練されたやり方だと感心しました。しかしそれも束の間、「このアップデートはデータ保護のための欧州の新規制の施行がその理由。」とGDPRに振り回されていることが、後書きで述べられていることを見つけました。

f:id:PECHEDENFER:20180525115916j:plain

まあそうですよね。その新しいプライバシーポリシーへのリンクはありません。

 

客の側の変化

今後は、GDPR導入前に顧客になった会社・サービスに再度アクセスする時、改めていろいろな情報を要求されるという展開が待っていそうです。 

 GDPRは、企業活動に減速させるほどの効果をはないでしょうが、あまたの会社が負担に感じているはずです。さらに2020年には ETIAS が導入され、個人旅行客も手続きが面倒になります。EUはだんだん窮屈な土地になります。