メインコンテンツへスキップ
Certyneo
Sécurité

電子商取引の顧客データの保護: GDPR 準拠

Certyneo チーム読了時間1分

更新日

Certyneo チーム

ライター — Certyneo · Certyneo について

Digitalisation des processus administratifs — équipe en réunion de travail

はじめに

顧客データの保護は、どの電子商取引プレーヤーにとっても重要な戦略的課題です。 2018 年 5 月 25 日に一般データ保護規則 (GDPR) が発効して以来、販売サイト、モバイル販売アプリケーション、およびマーケットプレイスは、最大 2,000 万ユーロまたは世界の年間売上高の 4% の制裁が科せられるという厳しい法的枠組みを遵守する必要があります。規制上の制約を超えて、GDPR への準拠は顧客の信頼を表す真の手段です。ヨーロッパの消費者の 87% は、データ セキュリティに疑問を感じるサイトからは購入しないと述べています。この柱となる記事では、同意、Cookie、ニュースレター、支払いデータのセキュリティに関する電子小売業者の具体的な義務について詳しく説明します。

同意: GDPR 準拠の基礎

同意は、GDPR 第 6 条に規定されている処理の 6 つの法的根拠の 1 つを構成します。有効であるためには、第 7 条で定義されている 4 つの累積基準、つまり自由であること、具体的であること、情報に基づいたものであること、および明確であることを満たさなければなりません。電子商取引の文脈では、これは、インターネット ユーザーは製品の購入を条件とする同意を得ることはできず (自由の原則)、目的 (マーケティング プロファイリング、パートナーとの共有、ニュースレターなど) ごとに個別に同意できなければならないことを意味します。

CNIL は 2020 年以降、Cookie とトラッカーに関するガイドラインで要件を大幅に強化しました。 「すべて受け入れる」ボタンには、同等のアクセシビリティと可視性を備えた「すべて拒否」ボタンを付ける必要があります。事前にチェックボックスをオンにすることは固く禁止されています(CJEU Planet49判決、2019年10月1日)。また、電子商取引者は、処理期間中、タイムスタンプが押された同意の証拠を保持し、最初の付与と同じくらい簡単に撤回を許可する必要があります。

販売サイトの Cookie とトラッカーの管理

電子商取引サイトでは、分析、広告リターゲティング、ソーシャル ネットワーク、チャットボット、A/B テストなど、平均 40 ~ 60 個のサードパーティ Cookie が使用されます。改正データ保護法の第 82 条では、サービスの運営に厳密に必要でないトラッカーについては事前の同意を求めています。ショッピング カート、認証セッション、負荷分散 Cookie のみが除外されます。

準拠した同意管理プラットフォーム (CMP) のセットアップが不可欠になっています。訪問者が目的別 (視聴者数の測定、パーソナライゼーション、ターゲットを絞った広告) および受信者別に受け入れるなど、訪問者が詳細に選択できるようにする必要があります。制裁は雨のように降り注いでいる。承諾ボタンと同じくらいアクセスしやすい拒否ボタンがないことを理由に、2022年にグーグル(1億5,000万ユーロ)、アマゾン(3,500万ユーロ)、フェイスブック(6,000万ユーロ)。

ニュースレターと商業見込み客: 厳格なオプトイン

ニュースレターとプロモーション電子メールの送信は、郵便電子通信法典の L.34-5 条に該当し、e プライバシー指令が置き換えられます。原則は、個々の見込み客 (B2C) に対する明示的な事前オプトインです。すでに購入を行っている顧客には注目すべき例外が存在します。収集中に通知され、出荷ごとに異議を申し立てることができる場合に限り、同様の製品またはサービスの探索が許可されます。

具体的には、「[ブランド] から商用オファーを受け取りたい」というボックスはデフォルトでチェックを外し、利用規約への同意とは区別する必要があります。各電子メールには、有効なワンクリック購読解除リンク、送信者の ID、有効な連絡先アドレスが含まれている必要があります。

支払いデータの保護

銀行データの処理は、GDPR (セキュリティに関する第 32 条) と PCI-DSS 標準 (Payment Card Industry Data Security Standard) の両方に該当します。電子商取引業者は、カード番号の直接保存を避けるために、PCI-DSS レベル 1 認定の決済サービス プロバイダー (PSP) を介したトークン化を優先する必要があります。 DSP2指令の適用において、2021年5月15日より強力な認証(3Dセキュアv2)が義務化されました。

ビジュアル暗号文 (CVV) を取引後に保持することは固く禁止されています。カード番号は、その後の購入を容易にするために明示的な同意がある場合にのみ保持できます (CNIL 審議番号 2018-303)。

結論

電子商取引における GDPR 準拠は単なる法的チェックリストではなく、デジタル顧客関係全体を構造化します。電子小売業者は、きめ細かな同意、Cookie 管理、厳格な見込み客探し、安全な支払いの間で、ジャーニーを設計する際に「プライバシー バイ デザイン」アプローチを採用する必要があります。このアプローチは、商業的な障害となるどころか、デジタルの信頼がコンバージョン率とロイヤリティを条件づける市場において差別化の議論となります。

Certyneoを無料で試す

5分以内に最初の署名エンベロープを送信。月5エンベロープまで無料、クレジットカード不要。

無料で始める料金を見る
すべての記事

テーマを深掘りする

このトピックに関する参考記事。

電子署名と人事・RGPD:完全ガイド2026eIDAS、RGPD、従業員の個人データ管理の間で、人事文書の電子署名は厳格な規則に従う必要があります。コンプライアンスを維持する方法をご紹介します。RGPD en RH : 処理従業員データRGPD は人事部門に従業員の個人データ処理に関する厳格な義務を課しています。これらを実際に遵守する方法をご覧ください。RGPD en RH : 従業員データの処理方法GDPRは雇用主に従業員の個人データの収集と処理に関する厳格なルールを課しています。コンプライアンスを確保し、制裁を回避する方法を確認してください。人事における GDPR: 従業員データの処理Cookie の管理: 電子商取引における同意とトラッカー

テーマを深掘りする

電子署名をマスターするための包括的なガイド。

Sécuritéの記事をさらに読む

関連する記事で知識を深めましょう。

Digitalisation des processus administratifs — équipe en réunion de travail
Sécurité

電子署名は安全ですか?

暗号化、認証、監査証跡: 電子署名が紙より安全である理由。

6 min
Digitalisation des processus administratifs — équipe en réunion de travail
Sécurité

電子証明書とデジタル署名

電子証明書とは何ですか?何のためにあり、電子署名との関係は何ですか?

5 min
Digitalisation des processus administratifs — équipe en réunion de travail
Sécurité

電子タイムスタンプ: 定義と使用法

電子タイムスタンプとは何なのか、どのように機能するのか、いつ認定されるのか、なぜ署名を保護するのか。

6 min