GDPR（EU一般データ保護規則）が施行されてからそろそろ2ヶ月以上になるわけですが、現場では実装が進んているとはいえない実態が明らかになっています。

例えば欧州で最近驚かれたのが、英国のフラッグシップ・キャリアであるBA(ブリティッシュ・エアウェイズ）の「乗客とのやりとり」です。

フライトが遅延した上にキャンセルされて、飛行機から降ろされたお客さんがカスタマーサービスに問い合わせても返信がないので、TwitterでBAに問い合わせた所、BAから以下の情報をTwitterに投稿するように要求されました。

To comply with GDPR, please confirm your full name and booking reference. We also need 2 of the following: passport number & expiry date, the last four digits of the payment card, billing address & post code, email address

GDPRの要件を満たすために、お客様のフルネーム、予約リファレンス番号をご確認下さい。また以下の情報も必要です。パスポート番号と有効期限、支払ったカードの末尾4桁の数字、支払先住所と郵便番号、メールアドレス

So British Airways is asking for people's personal data over social media "to comply with GDPR", and some people are even replying directly in the public feed.

uwotm8 pic.twitter.com/yUvCQ5Gti9

— Mustafa Al-Bassam (@musalbas) July 16, 2018

こういった個人情報を、全世界に情報を発信することになるTwitterに投稿せよと要求したのも驚きですが、問い合わせた顧客に対する回答に6時間もかかり、DM（ダイレクトメッセージ）で送ってくださいと返信するのに6時間もかかっています。

しかも、この騒動に巻き込まれた顧客の一人は、バルセロナのセキュリティ・カンファレンスに行く途中だったセキュリティ研究者だったのが皮肉です。

「ケースを処理しやすくするため」との説明でしたが、自分の便が遅延したセキュリティ研究者は唖然としてTwitterに投稿するはめになっています。

さらに、驚くべきことに、顧客はBAのサイトからチェックインするのにアドブロッカーを無効にしなければできず、無効にした場合、BAのサイトでは、ユーザーの許諾なしにオンライン上の行動が収集され他の企業に送信されるようになっていました。

GDPRでは、顧客の承諾なしに個人情報を収集することは違法ですから、予約客の情報を自動的に収集するのも違法ですし、それを第三者に明け渡すことも明確な違法行為です。

それ以前に、「GDPRの要件を満たすために個人情報を全世界に情報が公開されるTwitterに投稿せよ」と顧客に要求したことも驚きです。

Twitter上では「余分な料金を払えば、足を伸ばせる空間の代わりにインターネットから情報を削除してくれるみたいよ」「ブロックチェーンに載せたらOK？」という大喜利大会になっていましたが、なぜこんな事態になってしまったのでしょうか。

以下は考えられる理由です。

• GDPRの要件の教育が、不十分であり、ソーシャルメディア担当にも十分理解されていなかった
• ソーシャルメディア担当が第三者企業や他国のアウトソーサーで、BAのセキュリティ教育の要求項目から漏れていた
• ソーシャルメディア担当のインターネットの「構造」に関する教育が欠けていた
• 顧客の問い合わせ処理プロセスに何らかの問題がある（複数のチャンネル間での連携が欠けている、システムが統合されていない、ソーシャルメディアからの問い合わせの処理フローが十分検討されていない）

これらの想定される理由から、GDPR対応へのヒントが得られます。日本企業も欧州に顧客がいる場合は、以下の項目の対応が必須です。

・GDPR教育対象者の範囲

情報システム部のみだけではなく、カスタマーサービスや広報等、顧客情報に接触する全部署に適切な教育が実施されているかをチェックする。

欧州内で就労する正社員や非正規雇用社員だけではなく、国内外の外注企業スタッフ、アルバイトを対象者とする。海外の外注企業の場合は、GDPR教育に準拠しているかどうかの監査結果を要求する。

・GDPR教育の理解の確認

単なるオンライン研修や座学研修では理解度を測れていない場合があるので、オンライン上のテストだけではなく、このような事例等を元にして複数のシナリオを用意し、ロールプレイを行う。例えば「XXの場合は、顧客にどの様に情報の提供を要求すべきか？」等。

・GDPR違反があった場合の処分

社員や非正規雇用の要員に対しては雇用契約に連動したセキュリティ要件の合意書にサインする必要があるが、特にGDPR部分に関して強調する必要がある。外注企業の場合は、自社に損害を与えた場合のペナルティを明確にしておく。

・業務プロセスの見直し

特に顧客情報を扱うプロセスは、プロセス間の連携を含めて見直し、現行のシステムで抜けがないかどうかを確認し、問題がある場合は即対応。Turn Around Time含めた品質管理の厳密化とKPI（Key Performance indicator：主たる評価指標）の確認。