news

GDPRについて、もっと調べてみました。③

GDPRについて、もっと調べてみました。③

皆様こんにちは、システムの細谷です。

 

お試しに雑談枠を作ったのですが、懸念は会社のお知らせがどんどん消えていく、、、という点ですね。

上のタブで絞り込めますので、ブログだけでなく他のおしらせも見てくださいね

 

それでは、執行されて一週間がたつGDPRですが、いろいろと阿鼻叫喚な状況のようですね。

いきなり罰金対応になるのが怖いからジオブロック(特定の区域の排除)が多いようですが、条文を見ていると「本人の意思の元、データの移動ができる」という様な事も書かれていて、これってつまり大手のデータを提供してもらうことができるという解釈もできることになりますので、うまく利用できればチャンスにもなるわけですね。

まあ、いいものが思いつかないのでそれが出てこないと、こちらもジオブロックになりかねないですが、、、

 

さて、話題の罰金の範囲ですが、あくまで私の解釈になりますが、自国内でこまごまやっている分には問題なさそうです。

よく言われる「EU外企業でもEUのデータを使う場合は本規則の対象になる」と言われている部分ですが、これには「国際法」という表記が使われていました。

私も法律面は詳しくはないのですが、これってつまり「現地の法律が適用される状況ならしたがってね」という解釈ができるのではないかなと思います。

イメージとしては「海外旅行者は現地の法律にも従ってもらう」というのが近いのではないでしょうか?

 

丁度旅行者と表現が出たのですが、「日本人がEUに旅行に行った」場合そのデータはGDPRとしてはどういう扱いになると思いますか?

私としては「GDPRが適用される」と思ってます、泊まったホテルなどの宿泊客データは「EU内企業が所持するデータ」であるためです。

逆に「EUからの旅行者が日本の旅館に泊まった場合」は宿泊客データはEUの人の個人情報ですが、旅館には「日本の法律」が適用されるため、GDPRは適用されないと考えています。

という風に私は解釈しています(詳しい方から見たら暴論かもしれませんが)

 

適用例がない以上は推測の領域は出ませんが、とりあえず日本でサービス利用者の方は安心していいかなと思ってます。

少なくともいきなり「罰金」はあり得ないと思うので、警告が来た時点で顧問弁護士か公的機関に相談するようにしましょう。

なぜ公的機関なのかというと、単純に詐欺の警戒です。公的機関に相談しておけば記録が残り、「無視をした」という扱いにはならない為、次の段階に進む可能性は低くなります。(もし私が詐欺士ならこんなおいしい情報は逃しませんので、十中八九詐欺が発生すると思ってます。)

 

さて、あともう一点触れておきたいのが、「対応が分からない」などの意見が多いようです。

完全な解決にはなりませんが、何かあったときにスムーズに対応が進められるようにまずは下記の対応を行っておくといいと思います。

1.自社の各拠点とそこで取り扱っている個人情報の種類について

2.自社のサービスの一覧と取り扱うデータの一覧

3.登録フォームがある部分の内容と情報利用確認の有無(オプトイン)について

4.自社内のセキュリティ対応のまとめ(ウィルス対策ソフトは何を使っているか、重要な書類は同保管しているかなど)

 

、、、これって当たり前の「情報保護」の対応ですね

これらの意図は次回説明するとして、これくらいならできると思いませんか?

 

また以前からお話している通り私自身は法律などの特別な技能は持っておらず、そういった人間が「勉強」している過程で知った情報を共有しています。

嘘を伝えるつもりは毛頭ありませんが「その時点で正しい」と思っている情報でしかないので、実は間違っているよという事は多々あるかと思いますが、そういった部分はご指摘いただければと思います。(※記事の内容に間違いだと判明した場合、過去記事の訂正などの対応を行っています。)

こんな記事ですが皆様にセキュリティについての啓蒙に少しでも繋がれば幸いです。

 

この記事を見て気になったのであれば「EUデータ保護規則」などで検索をしてみましょう。

それでは失礼いたします。