news

GDPRについての考えをまとめてみました⑥

GDPRについての考えをまとめてみました⑥

お疲れ様です、システムの知恵袋の細谷です。

 

長々とEU一般データ保護規則(以下:GDPR)について調査を続けてきましたが、ある程度全体像が見えたので最後にまとめてみましょう

参考資料:一般財団法人日本情報経済社会推進協会・GDPRの仮訳

https://www.jipdec.or.jp/library/report/20180313.html?topbnr

 

●GDPRについて

GDPRはEU加盟国内で取り扱われる、個人の特定を可能にする情報(以下:個人データ)に関する決まり事である。

どこまでが個人データになるかは、第4条に記載がありますのでご確認ください

 

●対象範囲

EU法が適用される地域を対象とする各種個人データ全般が対象となる。 大本のデータがEU加盟国内の情報であればEU外に持ち出されても、GDPRの対象となる。

 

具体的には、EU加盟国内に拠点を持ち活動する企業た収集したデータはもちろん、EU加盟国にサービスを提供する企業並びに前述の2社から個人情報の預かる企業も対象となる。また預かった企業が更に別の企業に展開した場合はその先の企業も対象となる。

また上記条件には恐らくEU加盟国への旅行者のデータも対象となる。これは個人データの条件にEU加盟国民という記載は無く、データ提供者(※正確にはデータ主体)という記載となっている為。

 

逆にEU法が適用されない範囲、例えばEU加盟国の人が日本のホテルに宿泊をした場合、この宿泊データ(個人データ)は日本の法の保護下になる為、GDPRは適用されないと思われる。

 

●準備しておくと良いと思われるもの、

※後述のDPOがいる場合はこの記載より指示に従う事

・社内やサービスで取り扱っている(保管している)個人情報の確認 (※外部に提供している場合は提供先社名も)

・社内で導入しているセキュリティソフト

・サービスごとに導入しているセキュリティ

・各種規約やプライバシーポリシー

 

●想定される影響

・サービス自体の見直し

個人データの取得には、データ主体の許可をもらう必要がある。(Cookieも対象となる)

その為、アナリティクスのように裏でデータを取得することは禁止となる。データを取得する場合は、確認画面などデータ主体に「許可する」行為を選択してもらう必要がある。

既存の分析ツールは裏で取得するものが多いため、これらはサービスの形式自体を見直す必要がある。

 

・人材の準備と社内体制の見直し

GDPRが適用される場合、保護体制が適正かどうかを判断し指示を出せる人またはチーム(以下:DPO)が存在することが推奨となっている

DPOには問題があったときに報告の義務が生じる代わりに独自の権限を持つ、業務上の対立の可能性に経理責任者や代表取締役がある事からそれが伺える。(ただしDPOの発言は絶対ではなく、相応の理由とともに書面に残すことで、対応しないという選択を取ることができる)

 

なのでDPOは誰にでも任せられるような業務ではなく、対応できる人材の捜索に時間がかかることが想定される。 ただし常勤の指定は無く、非常勤でも問題ないと思われる為、まずはその辺りから探すと良いかもしれない。(※DPOを名乗るのに必須の資格はありませんが、問題を発見したらその対応指示を出せる等、相応の能力が必要となります。)

このDPOの監査体制を用意し、会社全体で把握しておく必要がある。

 

 

以上です

要するに、「抜け道」をつぶした個人情報保護法という認識でいいと思います。

新しく出てきた技術に対応し、対象の定義等がはっきりさせたというだけで、対応などは既存の個人情報保護法の域を大きく逸脱はしていません。

海外展開を考えていなければ、GDPRを気にするより自国の個人情報の保護基準を満たすようしていれば、偶然GDPR対象データを扱ってしまい違法と判断されても「警告」で済むと思われます。

 

要するに過剰に心配する必要はありませんという事ですね。

なので次回からまたセキュリティ対策についてに戻ろうと思います。

 

それでは、本日はこの辺で、

皆様よき休日を