今更感があるけれど、ここでちゃんとGDPRについて考えてみる。
Webのお仕事をしていると、避けて通ることできないしね。ネットの世界には国境ないからね。
まぁ、ワタシがブログにまとめなくとも、WIREDがものすごくわかりやすくまとめていたりしますけどね。
でもね、だからといって、自分でまとめないと理解できないからね、と。
で、GDPRことGeneral Data Protection Regulationの内容を確認してみようと、EUのそれっぽいサイトを見つけて読んでみるも、英検2級の私の英語力じゃ、何が書いてあるのか、理解できなかった。。。
グーグル先生の翻訳機能を利用しても、AI利用で日本語がこなれたものとなっていても、法律の文章というのはわかりにくいもので。。。
日本語でわかりやすく説明がなされているところを探してみたら、ありましたよ。
すごいなNTTデータ。さすが、データ。
ここのページではGDPRの概要、目的、個人情報の定義、GDPRの適応範囲がしっかり説明されていて素敵。
特に個人情報の定義と、GDPRの適応範囲の説明がよい。
個人情報は
- 氏名
- 識別番号
- 所在地データ
- メールアドレス
- オンライン識別子(IPアドレス、クッキー)
- クレジットカード情報
- パスポート情報
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
となるのだと。
認識番号、つまりIDは個人情報になるのですよ。ここは要注意ですよ。そして、メアドも個人情報になるのですよ。昔のサイトのように、メルマガからのアクセスを判別するために、メアドをパラメーターとして引き回しちゃダメなのよ。
で、GDPRでの保護対象となる個人データの範囲は
- 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
- 日本企業から EEA内に出向した従業員の情報(元は日本から EEA内に移転した情報)
- 日本から EEA 内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
- 日本から EEA 内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合
なのだとな。
この記述だと分かるようなわからないような感じなのですが、NTTデータとしては
例えば、日本に本社があるウェブサイトで、EEA所在者に対して商品・サービス(鉄道切符、航空券、パッケージ旅行など)を販売する企業は、本社に対してGDPRが直接、適用される可能性があることに注意が必要です。
という例を上げていますな。
他にもいい例がないかしら?と思っていたのですが、そしたらMarketoのサイトにいい例が書いてあった。
- EUに子会社、支店、営業所、駐在員事務所を有している
- 日本からEUに商品やサービスを提供している
- EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)
とな。
EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)っていうのが重たいなぁ。。。ちゃんと調べないとな。
で、Marketo以外のWebサービス提供企業のGDPRを調べてみた。
さすがという感じです。
GOOGLE で実施していることというパラグラフが特に良いです。
AWS のサービスは、GDPR が 2018 年 5 月 25 日に施行された時点で、GDPR に準拠します。
また、AWS 自身が準拠することに加えて、お客様のアクティビティに関わる可能性がある GDPR 要件にお客様が準拠することを支援するために、サービスとリソースを提供します。AWS では新機能が定期的にリリースされており、セキュリティとコンプライアンスに焦点を当てた機能とサービスが 500 個以上あります
なのだとな。
GDPR のよくある質問というが、虎の巻的に使えますね。
Microsoft Trust Center | 一般データ保護規則 (GDPR)
SAP
GDPR(一般データ保護規則)について知っておくべきこと | SAPジャパン ブログ
Marketo
GDPR(EU一般データ保護規則)で抑えておくべきポイント|マルケト
で、結局何をすればいいのかと言うと
- 処理には、収集・保管・変更・開示・閲覧・削除など、個人データに対して行われるほぼすべての行為が該当する
- 処理対象の個人データおよびその処理過程を特定しなければならない
- 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
- 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
- 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
- 個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
- 定期的に大量の個人データを取扱う組織は、データ保護責任者(Data Protection Officer)や欧州における代理人を任命しなければならない。
ということができるようにしておけ、と。
重用なのはツールベンダーがどうするじゃなく、サービス提供者(つまりクライアント側企業)が、頑張らなきゃダメだということなのだよな。
「他社がどうしているのか事例を教えてよ」というよりも、自社でとうするっていうほうが、重用だということよね。
追記
- アクセス解析観点で、GDPRについて考える(2018/5/22)