カンマニのWEB銭

マンガ「グラゼニ」が大好きな、ウェブ系の何でも屋さん「カンマニ」が綴る、仕事とか、読んだ本のこととか、日常とか、世の中に関する忘備録。

GDPRについて考える

今更感があるけれど、ここでちゃんとGDPRについて考えてみる。

Webのお仕事をしていると、避けて通ることできないしね。ネットの世界には国境ないからね。

まぁ、ワタシがブログにまとめなくとも、WIREDがものすごくわかりやすくまとめていたりしますけどね。

wired.jp

でもね、だからといって、自分でまとめないと理解できないからね、と。

で、GDPRことGeneral Data Protection Regulationの内容を確認してみようと、EUのそれっぽいサイトを見つけて読んでみるも、英検2級の私の英語力じゃ、何が書いてあるのか、理解できなかった。。。

 

gdpr-info.eu

 

グーグル先生の翻訳機能を利用しても、AI利用で日本語がこなれたものとなっていても、法律の文章というのはわかりにくいもので。。。

日本語でわかりやすく説明がなされているところを探してみたら、ありましたよ。

すごいなNTTデータ。さすが、データ。

EU一般データ保護規則(GDPR)の概要(前編)

 

ここのページではGDPRの概要、目的、個人情報の定義、GDPRの適応範囲がしっかり説明されていて素敵。

特に個人情報の定義と、GDPRの適応範囲の説明がよい。

個人情報

  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス、クッキー)
  • クレジットカード情報
  • パスポート情報
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

となるのだと。

認識番号、つまりIDは個人情報になるのですよ。ここは要注意ですよ。そして、メアドも個人情報になるのですよ。昔のサイトのように、メルマガからのアクセスを判別するために、メアドをパラメーターとして引き回しちゃダメなのよ。

で、GDPRでの保護対象となる個人データの範囲

 

  • 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
  • 日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)
  • 日本から EEA 内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
  • 日本から EEA 内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合

 なのだとな。

この記述だと分かるようなわからないような感じなのですが、NTTデータとしては

例えば、日本に本社があるウェブサイトで、EEA所在者に対して商品・サービス(鉄道切符、航空券、パッケージ旅行など)を販売する企業は、本社に対してGDPRが直接、適用される可能性があることに注意が必要です。

という例を上げていますな。

他にもいい例がないかしら?と思っていたのですが、そしたらMarketoのサイトにいい例が書いてあった。

  1. EUに子会社、支店、営業所、駐在員事務所を有している
  2. 日本からEUに商品やサービスを提供している
  3. EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)

とな。

EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)っていうのが重たいなぁ。。。ちゃんと調べないとな。

 

で、Marketo以外のWebサービス提供企業のGDPRを調べてみた。

 

Google

www.google.com

さすがという感じです。
GOOGLE で実施していることというパラグラフが特に良いです。

 

AWS

GDPR – アマゾン ウェブ サービス (AWS)

AWS のサービスは、GDPR が 2018 年 5 月 25 日に施行された時点で、GDPR に準拠します。

また、AWS 自身が準拠することに加えて、お客様のアクティビティに関わる可能性がある GDPR 要件にお客様が準拠することを支援するために、サービスとリソースを提供します。AWS では新機能が定期的にリリースされており、セキュリティとコンプライアンスに焦点を当てた機能とサービスが 500 個以上あります

なのだとな。
GDPR のよくある質問というが、虎の巻的に使えますね。

 

Microsoft

Microsoft Trust Center | 一般データ保護規則 (GDPR)

 

SAP

GDPR(一般データ保護規則)について知っておくべきこと | SAPジャパン ブログ

 

Salesforce

SalesforceでGDPRへの準備を加速

 

Marketo

GDPR(EU一般データ保護規則)で抑えておくべきポイント|マルケト

 

で、結局何をすればいいのかと言うと

  • 処理には、収集・保管・変更・開示・閲覧・削除など、個人データに対して行われるほぼすべての行為が該当する
  • 処理対象の個人データおよびその処理過程を特定しなければならない
  • 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
  • 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
  • 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
  • 個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
  • 定期的に大量の個人データを取扱う組織は、データ保護責任者(Data Protection Officer)や欧州における代理人を任命しなければならない。

ということができるようにしておけ、と。

重用なのはツールベンダーがどうするじゃなく、サービス提供者(つまりクライアント側企業)が、頑張らなきゃダメだということなのだよな。

「他社がどうしているのか事例を教えてよ」というよりも、自社でとうするっていうほうが、重用だということよね。

 

Q&Aで学ぶGDPRのリスクと対応策

Q&Aで学ぶGDPRのリスクと対応策

 

 追記