news

GDPRについて、少し調べてみました。①

GDPRについて、少し調べてみました。①

こんばんは、システムの知恵袋の細谷です。

4月5月と多くの方が入社し、多くの方が新しいキャリアを求め巣立っていきました。

私の所属する部署も大分様変わり致し、寂しいと思う反面、巣立っていったメンバーがどのように活躍するのかが気になります。

というより、何か作ったら教えてほしいですね、私の趣味は「作ったものに触れること」なので。

 

それでは、今回は先週軽く触れたGDPR、、、EUでーた保護規則についてです。

ざっくり言うと新しい個人情報保護規則ですが、かなりのルール改変と罰則が入っています。

また適用範囲が広いため「日本だから大丈夫ー」と油断していると「約25億円」の罰金が発生するかもしれませんよ(会社の規模が大きいともっと大きく。。。)

 

という事でそういうことにならないように調べてみたのですが、何せ英語、、

解説サイトも多々出てきておりますが、「恐らくないだろう」と解説されていない部分で引っかかる可能性があるので、大本の規則を知る為にも翻訳ツールを使って頑張って読んでみました。

解説サイトと自分の翻訳を元に大体この辺かなというのを並べますが、私も意訳になるので、できたら専門家の方に一度相談することをお勧め致します。

※原文サイトはこちら

 

●最初に

適用は2018年5月25日です、つまり来週の金曜から施行ですね。

外国だから関係ないねと思っている方、この施策がうまく機能した場合「日本にも来る可能性」がありますので注意はしておきましょう。

 

また企業の大小は問わないようなので注意しましょう

●適用される範囲

 

・EUの中に拠点を持っている企業

 

まあ、EUの規則なので当たり前ですね、

本社だけではなく、支社や事務所がEU内あれば対象となります。

 

 

・EUの個人データの委託を受けている企業

これはデータ分析の会社や、メルマガなどの販促を行うためにデータを受け取る企業も対象になります。

これは拠点がEU内に無くてもGDPRの対象者となります。

また、EUの個人データであれば、EU外の企業から委託されても対象になるので注意しましょう。

 

 

・EUにサービスを展開する企業

これが多くの企業が懸念されている部分です。

多くのWebサイトはどの国でも閲覧できるように作られていますので、例えば「ピアラのHPにEU国内の人が問い合わせをしてきたらGDPRの適用になってしまうのでは」という懸念を持たれているようです。

調べた範囲では上記のようなケースは対象外となるようです。ピアラのHPは全世界から見ることができますが、ピアラのHPは「日本国内」がターゲットになっています。(もう少し厳密に言うなら「中国」「タイ」「ベトナム」もですね)

なのでターゲット外からの問い合わせ程度では即時違反とはなりませんが、その問い合わせから「依頼を受ける」事になったり、「EU参加国から問い合わせを受ける体制を整えれば」GDPRの対象となります。

「英語はEU国内で使われているから、英語サイトを用意したらターゲットとみなされるのでは」という心配もあるようですが、対象はサービスなので、「サイトが英語(EUの人が理解できる)」程度では適用にはならないようです。

 

●必要な対応

では次に何を行わなければいけないのかですが、これは保護としては参考になるので今のうちに導入しておいてもいいと思います。

 

・データを利用する場合はいかなる場合でも、提供者の許可をもらう必要がある

最初からピークです、Cookieなどの裏のデータも含め、データを取る場合はすべて提供者が明示的に許可をする必要があります。

これには提供者に明示される必要があり、且つ提供者自身の手で許可をするようにする必要があります。

つまり、「データを取りますね」と画面を表示し、且つチェックボックスなどでチェックを入れてもらう作業が必要です(最初からチェックは×、必ず提供者がその部分をチェックさせる必要がある。)

 

裏でデータを集めて分析は主流なので、かなりクリティカルな内容ですね。

行動データも含まれるので、ピアラのサービスもそのままEUに展開はできないですね。

EU国内でも阿鼻叫喚の状態のようです。

 

・提供した個人情報はすべて提供者が修正を行えるようにする。

これは登録型のサービスのが対象ですね、

簡単に言えば、「データの修正が企業側しかできないのは禁止」という事です。

「修正をするには下記に連絡を」という形を取っている場合はNGなので、マイページなどから編集できるようにしましょうという事です。

 

ResultECは自分の情報はマイページから編集可能なのでクリアしています。

 

・データの忘れる権利を持つ

こちらは、簡単に言えば削除の権利ですね。

提供者が「削除してください」と依頼を行った場合、企業は「物理削除」を行う必要があります。

 

サービスのデータの削除は検索などの対象外にする「論理削除」と、データベースから完全に削除する「物理削除」の2つがあります。

違いとしては「復元できるかできないか」ですね、前者は削除フラグなどを立てることで、管理機能の検索の対象外にしているので、フラグを折ればまた再開することができます。

それに対して、物理削除は「データ自体を抹消」します、そのため、復元しようにも「無いものを取り出す」事はできませんので、復元はできません。

「ポイントサービス」などのお得な情報も一緒に消えますので、ユーザーの方は削除前にそういったものは全部利用するようにしましょう

 

規約内に「即時」という条件は無いようなので、削除依頼時には「論理削除」を行い、1か月後や月末月初などの決められたタイミングで「物理削除」を行うように組んでも問題無いようです。(何日までにはという条件については、また見つけられてないので解読はお待ちください。)

 

・データの暗号化

簡単に言えば、不正アクセスされてもそのまま見えないようにしましょうという事です。

複合化のツールは別のサーバーか端末に置くようにという指示もありますので、単純に管理コストが増えますし、確認にかかる手間も増えます。

 

●罰則

状況により3段階の様です。

・書面による警告

・監査官による、定期的な監査指令

・罰金

罰金は違反内容によって変わりますが、1000万から2000万ユーロ、または企業の総売り上げの2%~4%の大きいほうが適用されます。

1ユーロ125円程度だったはずなので、12億円から25億円の罰金が科せられるようです。

小規模な企業では一発でアウトですね。

 

●まとめると

規則を見ていると、「規則をかいくぐれない様に」というのが主眼のようで。

EU外の国をつるし上げるというよりは「きちんとデータを守ろうね」というのが大きいようですね。

そのため誠実に対応していれば罰金にまでなるというケースは少ないと思います。

 

サービスフローを全面的に見直す必要があるケースがあり、場合によってはサービスの終了にもつながるでしょう。

私も自社のサービスでどう変えるべきかわからないものが多いので、しばらくは様子を見て、現地の対応に合わせて提案の準備を進めていこうと思います。

 

余談ですが私はまたそんなに読めてないです、、、

スプレッドシートに章ごとにまとめたのですが、それでも900行ほどありました(笑)

また、別の視点や誤読が見つかればブログで紹介・訂正しようと思いますので、気になる点などあればお問い合わせください。

 

それでは失礼いたします。

 

※罰金の方ですが、標準ではなく最大のようですので該当部分修正しました。MAXなどなかったので基本と誤解したのですが、罰金の表示は最大で等って法律では当たり前の書き方なんですかね?