GDPRについて、考察してみました⑤
お疲れ様です、細谷です。 花金ですよー、という事でいつものセキュリティの話題について。 今までの調べた内容を上げさせてもらいましたが、そこまで騒ぐことかな?と思われる人がいると思います。 今回はなぜ「かなり騒がれていたのか」というのを、考えてみましたのでお聞きください。 ●Cookieも個人情報の対象に 既定の中に「何か個人情報に当たるのか」という項目がありますが、その中にCookieがあります。 Cookieについて細かく書くと長くなるので、「アクセスしたサイト毎に記録のファイルが作られる」と覚えておいてください。「ログイン状態の保存」等で使われています。 ※念の為ですが、「パソコンの中」から勝手に取っていくようにはできず、サイト内の行動記録に収まりますので、そこはご安心下さい。 前述の通りCookieには個人情報が入る為GDPRの対象となりますので。「データ提供者にデータ取得の確認を取る(オプトイン)」という作業が必要になります。 つまり、いままでひっそりとデータを記録していた人たちはそれができなくなり。「裏」で分析していたツールを「表」に出さなくてはいけなくなりました。 更に確認は「サイトの運営者」ではなく、「アクセスする人」の方に行う必要があります。 それによりツールによっては「成果」が取れなくなり、「売上」が落ち込むことになります。 広告業界はこちらになるので、かなり大変な状況です。 ●海外進出の阻害 EU加盟国を対象に含むとGDPRの対象になるというのは前回お話ししましたが。 つまり、グローバル展開するときには必ずGDPRが付いてくることになります。 海外拠点を追加なら、現地のルールに合わせる必要があるので問題ないのですが。 開発したサービスを対象の国を含めて提供すると、予期しないレベルの「セキュリティ改善要請」が飛んでくる可能性があります。 ●金額が大きい 規定を見ると罰則は最大で約20億円または全社総売上の4%という大きさです。 金額だけなら、日本でも同等の罰金が発生するケースもありますが。 「海外でも対象となる」という一文を拡散されたせいで、余計に混乱を招いてしまったようです。 今でこそ翻訳文が出ていますが、当時は「EU加盟国」で使われている言語のみなので、読めない人が続出し「危険」という誤解だけが広がってしまったようです。 実際には以前の記事にあるように、「EU内部に保管された個人データ」が起点になるので、グローバル展開をしていなければ差されることは無いはずです。(事例が無いので、確定ではないですが) 最後にまとめると ・自社のサービス自体が機能しなくなる ・グローバルサービスの展開が難しくなる。 ・「外国には関わってないのに罰金が払わされる」と誤解が広まった。 という事になります。 本日はここまでにしましょう。 GDPRは後はまとめを作って一旦終了でいいかなと思っていますので再来週からまたセキュリティについてに戻ろうと考えています。 それではよき週末を。
GDPRについて、深く調べてみました④
皆様こんばんは、システムの細谷です。 本日もGDPRですよー いい加減しつこいなと思われるかもしれませんが、今後の展望を考えるととてもクリティカルな内容です。 読めば読むほど「これ日本とかにも来るんじゃないかな?」と思えるほど参考になる部分が多いです。 さて、本日は「では実際にどういった対応を行えばいいか」で行きます。 「最新の特別なセキュリティが」という説明をされている方が読んでいると、「あれ、これ情シスに求められてる内容に一歩前へ出ればいいんじゃないかな?」というぐらいでした。 1.登録されている情報は暗号化すること 原文はこちら「the pseudonymisation and encryption of personal data;」 暗号化と書きましたが、万一にデータベース(以下:DB)にアクセスされた際にデータが直接見れない状態になっていれば大丈夫です。 例えば住所が「sa@2-sfa :awl3:」と登録されていたらどうでしょう?盗んだ人にはわからないですよね? このように「不正アクセスがあってデータが持ち出されたとしても、一目ではわからない状態」になっていれば問題ないよういことですね。(上記のを暗号化またはマスクするといいます。) 暗号化以外でも、同様の効果があるのであれば問題ありません 暗号化については雑談枠で説明いたしますのでここでは割愛いたします。 2.今のシステムを完璧に維持すること 原文の表現が「the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;」となっています。 翻訳文は「現行の機密性、完全性、可用性並びに取扱いシステム及びサービスの復旧を確実にする 能力。」となるのですが、 これだと分かりにくので、少し意訳すると ——————————— データの機密性を維持しつつ、 不具合やバグは無くしつつ、 システムが使える状態を保ち 問題があったときに復旧ができるように用意をしておくこと、 これらをちゃんと行えるように体制を整えろ。 ———————————– と言っているのだと思います […]
PIALAが提供する成果報酬型のKPI保証プラン圧倒的高速PDCAで新規獲得件数は〇〇倍へ
PIALAが提供する成果報酬型のKPI保証プラン圧倒的高速PDCAで新規獲得件数は〇〇倍へ 2018.06.07コンサルティング Tweet 株式会社アイム 販売促進部 部長 山下氏(写真右) 株式会社ピアラ 執行役員 コンサルティング本部 本部長 大熊(写真左) ――アイム様の事業内容について教えていただいてよろしいですか 山下氏: 主に化粧品通販事業を行っています。 代表的な3ブランドのうち1つ目は、“ライスパワーNo.11エキス”を配合し、世界中で1700万本を突破した保湿シリーズ「ライスフォース」。 2つ目は、ニキビ、毛穴ケアシリーズの「アクポレス」。こちらは新たに“ライスパワーNo.6エキス”を配合の上、4月24日よりブランドリニューアルして新発売します。 そして最後3つ目は、第一三共ヘルスケアが開発した「ブライトエイジ」。アイムが販売を担っており、2017年の4月に発売しました。 アイムは第一三共ヘルスケアのグループ会社であり、第一三共ヘルスケアが開発した製品を通販チャネルで展開する際はその販売を担うというスキームをとっております。 第一三共ヘルスケアが開発し、アイムが販売を担う初の製品が「ブライトエイジ」 2017年4月の発売から約1年で急速に売上を伸ばし、現在も絶好調な40~60代の女性をターゲットとしたエイジングケア化粧品 パートナーシップへの想いの強さを感じました (写真)立ち上げ時の苦労を笑って話す両氏 ――ピアラさんとの取り組み開始までの経緯を教えてください 山下氏: 元々、2000年に現社長が「ライスフォース」事業を立ち上げ、その後WEB担当者として私が広告の施策を始めた頃から、ピアラさんとお付き合いをさせていただいていました。 その後、中々お会いする機会がなく数年が経っていたところ、昨年の春ごろに現在LP制作をお任せしている制作会社の社長と会話の中で、ピアラさんの名前が挙がりまして、改めてお会いさせていただいたのがきっかけです。ちょうど新規集客に悩んでいたタイミングでもありました。 そこで大熊さんとお会いして、KPI保証プランについてお話いただき、そのまますぐにお取り組みをスタートさせていただきました。 大熊: 私はその時、初めて山下様とお会いしたのですが、パートナーシップへの想いの強さを感じました。メーカー様という感じではなく、同志を探しているという感じでしたね。 ――実際にKPI保証プランのお取組みを開始していかがでしたか 山下氏: これまでお付き合いさせていただいた方々も、本当に多くのご支援をいただいていたのですが、その中でもピアラさんは、今では弊社にとって欠かせないパートナーです。 皆さんお一人おひとりが本当に真剣に取り組んで下さって、しかも大きな体制でご対応いただけるという姿勢が何より有難いですし、通販事業におけるKPIを保証した形で広告の施策を行っていただけるというのも大きいです。 中々真似できないノウハウが詰まっているのも他社さんにない強みですし、何より、組織の皆さんが本当に真剣に取り組んで下さっている結果だと思います。安心して全てをお任せし、取引のボリュームが膨らむというのは、良いパートナー関係でなければ難しいことであるなと改めて実感しています。 大熊: 弊社のKPI保証プランは通常のアフィリエイト広告などとは違い、予算投下ポートフォリオの最適化を常に行っております。多額のご予算を自社内での広告運用と優秀なパートナーを含め瞬時に最適化し、さらに一部テクノロジーで制御しています。そのため、大量の新規件数送客にかかる広告費用対を保証する事ができるわけです。 PIALAが提供するKPI保証プラン 山下氏: 最初は“KPI保証”と聞いても、中々ピンと来ませんでした。それよりも大熊さんとお話させて頂き、お互いに良きパートナーとしてお取り組みをさせていただけそうだという想いの方が強かったです。今の時代、WEB広告では特にPDCAの改善サイクルの速さが重要ですが、それを実現するためにしっかりとした体制を自分達で構築して広告を回す……というのは中々難しく・・・。 ピアラさんの中でうちのために大きな体制を組んで実直に取り組んでいただく中で、その部分を一点に引き受けていただき、実際に形にしていただいているのを目の当たりにし、大変感動しました。 しかも、ピアラさんのパートナー様ともお会いする機会を作っていただいたのですが、非常に意識とスキルの高い方で、「絶対大きくするから」と社長自ら広告運用されているのを目の前で見せて頂き、さらに感動しました。 大熊: 実際に、弊社に協力していただいているパートナーとも積極的にコミュニケーションを図って下さり、成果を出すために最新情報の提供など、惜しみなく協力していただいています。より結果を出すことができているパートナーが増えてきているのは、山下様のおかげでもありますから、非常に感謝しています。 通常フローだと取り残されるという危機感 […]
GDPRについて、もっと調べてみました。③
皆様こんにちは、システムの細谷です。 お試しに雑談枠を作ったのですが、懸念は会社のお知らせがどんどん消えていく、、、という点ですね。 上のタブで絞り込めますので、ブログだけでなく他のおしらせも見てくださいね それでは、執行されて一週間がたつGDPRですが、いろいろと阿鼻叫喚な状況のようですね。 いきなり罰金対応になるのが怖いからジオブロック(特定の区域の排除)が多いようですが、条文を見ていると「本人の意思の元、データの移動ができる」という様な事も書かれていて、これってつまり大手のデータを提供してもらうことができるという解釈もできることになりますので、うまく利用できればチャンスにもなるわけですね。 まあ、いいものが思いつかないのでそれが出てこないと、こちらもジオブロックになりかねないですが、、、 さて、話題の罰金の範囲ですが、あくまで私の解釈になりますが、自国内でこまごまやっている分には問題なさそうです。 よく言われる「EU外企業でもEUのデータを使う場合は本規則の対象になる」と言われている部分ですが、これには「国際法」という表記が使われていました。 私も法律面は詳しくはないのですが、これってつまり「現地の法律が適用される状況ならしたがってね」という解釈ができるのではないかなと思います。 イメージとしては「海外旅行者は現地の法律にも従ってもらう」というのが近いのではないでしょうか? 丁度旅行者と表現が出たのですが、「日本人がEUに旅行に行った」場合そのデータはGDPRとしてはどういう扱いになると思いますか? 私としては「GDPRが適用される」と思ってます、泊まったホテルなどの宿泊客データは「EU内企業が所持するデータ」であるためです。 逆に「EUからの旅行者が日本の旅館に泊まった場合」は宿泊客データはEUの人の個人情報ですが、旅館には「日本の法律」が適用されるため、GDPRは適用されないと考えています。 という風に私は解釈しています(詳しい方から見たら暴論かもしれませんが) 適用例がない以上は推測の領域は出ませんが、とりあえず日本でサービス利用者の方は安心していいかなと思ってます。 少なくともいきなり「罰金」はあり得ないと思うので、警告が来た時点で顧問弁護士か公的機関に相談するようにしましょう。 なぜ公的機関なのかというと、単純に詐欺の警戒です。公的機関に相談しておけば記録が残り、「無視をした」という扱いにはならない為、次の段階に進む可能性は低くなります。(もし私が詐欺士ならこんなおいしい情報は逃しませんので、十中八九詐欺が発生すると思ってます。) さて、あともう一点触れておきたいのが、「対応が分からない」などの意見が多いようです。 完全な解決にはなりませんが、何かあったときにスムーズに対応が進められるようにまずは下記の対応を行っておくといいと思います。 1.自社の各拠点とそこで取り扱っている個人情報の種類について 2.自社のサービスの一覧と取り扱うデータの一覧 3.登録フォームがある部分の内容と情報利用確認の有無(オプトイン)について 4.自社内のセキュリティ対応のまとめ(ウィルス対策ソフトは何を使っているか、重要な書類は同保管しているかなど) 、、、これって当たり前の「情報保護」の対応ですね これらの意図は次回説明するとして、これくらいならできると思いませんか? また以前からお話している通り私自身は法律などの特別な技能は持っておらず、そういった人間が「勉強」している過程で知った情報を共有しています。 嘘を伝えるつもりは毛頭ありませんが「その時点で正しい」と思っている情報でしかないので、実は間違っているよという事は多々あるかと思いますが、そういった部分はご指摘いただければと思います。(※記事の内容に間違いだと判明した場合、過去記事の訂正などの対応を行っています。) こんな記事ですが皆様にセキュリティについての啓蒙に少しでも繋がれば幸いです。 この記事を見て気になったのであれば「EUデータ保護規則」などで検索をしてみましょう。 それでは失礼いたします。
雑談枠:ショートカットキーを使おう
こんばんは、細谷です。 先週の金曜日に書いているのですが、雑談枠を用意しようかなと思います。 こっちではセキュリティとかそんなことは無く適当な事をだらだらーっと書いていこうと思います。 パソコンに詳しい方がレビューをしているときに、マウスを使わずにパパっとウィンドウを操作しているのを見たことは無いでしょうか? パソコンには特定のボタンを同時に押すと特定の動作を行える「ショートカットキー」というのが存在します。 今日はレビューなどで使えるウィンドウの操作が出来るショートカットキーを紹介します。。 ●ALTキーを押しながら、TABキーでウィンドウ選択 適当にいくつかファイルを開いてみてください。(2つあれば十分なので、メモ帳とブラウザぐらいで大丈夫です。) 次にALTキーを押しながらTABキーを押すと、、、今開いているアプリの一覧とが開くと思います、 後は開きたいアプリに合うまでTABキーを押すだけ、マウスでいちいちやらなくていいのは簡単ですね ●ウィンドウズキーと矢印キーの上下左右でウィンドウサイズの調整 (使用するキーボードに寄りますが)次にALTに横にあるWindowsのロゴのボタンを押しながら、矢印キーの→を押してみてください。 開いていたウィンドウが右半分にきれいにそろいましたね、 次に↑キーを押すと、今度はクオーター表示に、更に↑キーを押すと、全画面表示になります。 逆に↓キーをを押すと、全画面から通常サイズに、もう一度押すと最小化されます。 このハーフ表示とクオーター表示は開発時のチェックなどで使いやすいのでお勧めです。 ●ウィンドウズキーとDキーでデスクトップ表示 同じくWindowsのロゴを押しながら、Dのキーを押すと開いているアプリが全部最小化されデスクトップが表示されます、 もう一度押すと、先ほどまで開いていたウィンドウが返ってきます。(※何かのウィンドウを開くとそっちでウィンドウが保存されるので、デスクトップのファイルを開くときは注意してください。) ファイルを開きすぎてごちゃごちゃしたら、デスクトップ表示とALT+TABで一気に整理!(※本当に整理するなら使わなくなったウィンドウはちゃんと閉じましょうね。) ●ウィンドウズキーとF4キーで、アプリを閉じる いちいち×ボタンを押さなくてもこれで不要になったウィンドウが消えてくれます。 以上4つがウィンドウの操作で使えるショートカットキーですね。 ウィンドウの右上の最小化、全画面、閉じるボタンが不要になりました。 他にもたくさんありますが、とりあえずこの4つが私のおすすめという事でご紹介です。 使い方の例としては「動画ファイルを再生して、Winキー+↑2つで全画面にして見せる」 「今のサイトと、新しいデザインの画像を開いて左右にそろえて見比べてもらう」 とかですね これをぱぱぱっと行えると、カッコよく見えると思います。 カーソル操作がいらないので、もたつきにくく営業の方にもおすすめです。 必須ではない技術ですが、カッコよく見せたいときにはいい演出になるかと思います。 私はWindowsなのでそれで紹介しましたが、MACにも同じ様にショートカットキーがあって、 Windowsロゴキーの部分をcommandキーに置き換えれば使えたと思うのでお試しください。 それでは、お試し雑談枠これで終了です。 不定期に行おうと思うのでまた機会があればー それでは失礼します。
GDPRについて、さらに調べてみました。②
こんばんは、システムの知恵袋の細谷です。 ついに施行という事で、弊社でも利用しているサービスのプライバシーポリシーの変更のお知らせなどが届いております。 翻訳の方も、翻訳者が翻訳したものも出てきて、私が翻訳していたものよりも(当たり前ですが)精度が高くわかりやすかったのでそちらで読み込んでいこうと思ってます。 それでまずは前回の記事についていくつか訂正を行います、主に「やらなくてはいけない事」の部分ですね ●個人データ取得時に必要な作業(※個人データ提供者に事前に渡さないといけない情報) ————————————————————– 1.個人データの管理者の詳細な連絡先 2.データ保護オフィサー(以下:DPO)の詳細な連絡先 (※DPOがいないなら、無視する) 3.想定している、取得した個人データの利用目的と法的根拠 4.データ提供者が受け取る利益 (※データ提供者が利益を受け取るサービスでないなら無視する) 5.誰に開示されるか、またはどのようなグループに開示されるか(※いるならという記載だが) 6.第三国または、国際組織に提供する場合には、個人データの保護措置と利用条件 (※外国に提供しないなら無視する) ————————————————————– 必須は1と3なので、「管理者の連絡先と、個人情報の利用目的」を提示したうえで、チェックを貰えばいいという事ですね。 また、1の管理者が使うのであればいいのですがそれ以外の人が関わるなら5も必須です。 データ保護オフィサー(data protection officer)と管理者は同じ人じゃないかと思われるかもしれませんが、きちんと規約上きちんと分けられている役職ですので注意(※詳細は後述) ●個人データを取得後に行う保護内容の提示(※個人データ提供者にもらった後はこう管理するよというルール) ————————————————————– a.個人データの保管期間、またはその期間を決める基準 b.管理者に対して要請できる権利の内容 c.個人データ取り扱いの同意の撤回の権利濃霧 d.監督機関に不服を言う権利 e.個人データの提供が契約に必要な要件かどうかと、その義務並びに提供しない場合の結果 f.自動化された意思決定の存在とその意義 ————————————————————– 1つ目はそのままなので「1年以内」とか「サービスを解約するかサービスが終了するまで」などですね。 2つ目は管理者に対して何をしてもらえるかという事で「データを見せて」「修正や削除がしたい」「データの管理に関するクレーム」「データポータビリティの有無」等ですね。 データポータビリティが分からないと思いますが、ざっくり言うと「他のサービスで利用するために、データを提供してもらう事」のようなので、「○○アカウントでログインする」などのサービスなどが該当しそうです。 3つ目は個人データを使うには「使っていいよ」という同意が必要ですが、それを「ごめんやっぱり使わないで」とお願いできる権利ですね。 4つ目はそのまま且つストレートに書かれていて、管理者を見ている第三者機関にもクレームを入れられる権利の事です。 5つ目はは例えばECサイトなら「配送するから住所必要だよ」というのと「教えてもらえないなら購入はできないよ」という感じでなぜ必要で、ないとどういうことになるのかですね。 6つ目は要するに自動の契約更新の事だと思います。自動更新ならその旨を書いて、なんでそれを行うのかという理由の記載が必要です。 他は概ね前回の説明で問題なさそうです。(※EUとかかわりない企業でもGDPRが適用される条件が「国際法に該当するサービスを提供している場合」等大分明文化している点がありますが) また定義の方はGDPRとは関係なくとも、結構参考になりました。 データ主体→個人情報提供者 管理者→個人データをどう使うかを決める人または団体 取扱者→管理者の為に個人情報を使う人または団体 取得者→データの開示を受ける個人または団体、ただし調査を行う公共機関の場合は取得者に当たらない 第三者→管理者または取扱者の下でデータを使う許可をもらった人または団体 データ主体の「同意」→強制ではなく、なぜ提供するのかという説明を受けたうえで、個人情報提供者が宣言または操作によって、合意(agreement)すること data protection officer(DPO)→データ保護の監督官ですね、セキュリティ責任者とは別で違反時の責任というよりは活動に辺り、保護の問題点の指摘や公的機関への報告などを行う人で、専門知識や多言語会話などの技術が必須とされる役割です。(前回の記事で外部機関としての権限を持つといった人ですね。そしてこの人の連絡先の明記は不要でした。。。) […]
