気になってたので調べた。会社としてのガチの対応は法務にお願いすることになると思います。 なんか長いのでスライド形式じゃなくてレポート形式で。

GDPRの概要

• General Data Protection Regulation 一般データ保護規則
• 個人の情報はその主体となる各個人が管理、制御できるようにするべきというもの
• 対象はEAAに住居があるひと
  • 人種、国籍は関係ない
• 95年に施行されたEU データ保護指令 (Data Protection Directive) から継続してるもの
• EU各国はデータ保護指令が施行された95年から着々と準備してきた
• EU一般データ保護規則 - Wikipedia
• EU一般データ保護規則（GDPR）の概要（前編） | NTTデータ先端技術株式会社
• 原文 EUR-Lex - 32016R0679 - EN - EUR-Lex
  • PDFで156ページ
• JETROが和訳をだしてくれている
  • EU 一般データ保護規則（GDPR）について | EU - 欧州 - 国・地域別に見る - ジェトロ
  • https://www.jipdec.or.jp/archives/publications/J0005075
• 処罰
  • 書面による警告から
  • 企業の場合、20,000,000ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方
• 施行の影響
  • GDPR施行で一部米メディアがEUで閲覧不能に　Instapaperも停止中 - ITmedia NEWS
    • あとで説明しますが、USのメディアは英語だからUKが読めちゃうから大変
  • GDPR施行、“同意の強制”でさっそくFacebookとGoogleに対し初の提訴 | TechCrunch Japan
    • デジタル人権保護のNPO
    • パーソナルデータの利用をユーザーに強制的に同意させている、というのが主張の骨子

参考

• GDPRとは？ Web担当者やWebアナリストはどう対処すればいい？ | Web担当者Forum
• General data protection regulation, GDPR | Adobe Privacy Center
• EU一般データ保護規則（GDPR）の概要と企業が対応すべき事項｜情報センサー2017年2月号　EY Advisory｜EY Japan

コラム: Directive 指令と Regulation 規則はなにが違うのか

• 指令のときは強制力もないし各国でバラバラに制定していた
• 規則になったのでEU全域で足並みが揃えられて、罰則が厳しくなった

コラム: Blockchainとの相性の悪さ

• The Blockchain-GDPR Paradox – wearetheledger – Medium
• パーソナルデータをそのままブロックチェーンのなかに入れたら最悪だよね
  • 丸見えだし、修正も削除もできない
• ブロックチェーンなんだから取引（トランザクション）台帳としてだけ使っておこう

個人情報、パーソナルデータってなんだっけ？

Yahooのガイドがわかりやすい Yahoo! JAPANプライバシーガイド

個人情報とは？ 特定のどなたであるかを識別することができる情報を指します。たとえば、氏名、住所などが含まれる情報が該当します。氏名などが含まれなくても、性別、電話番号、勤務先などの情報の組み合わせによって、特定の個人を識別することができる場合は、個人情報に該当します

日本の改正個人情報保護法に則った定義

パーソナルデータとは？ 個人情報のほか、特定のどなたであるかは識別できないものの、「誰かの情報ではある」という程度の識別性を有しているすべての情報が該当します

識別子からのアクセスを集計することで、ある特定のブラウザーをお使いのお客様がどのウェブページにアクセスしたかを知ることになります。このような場合、Yahoo! JAPANは、ある特定のブラウザーをお使いのお客様が特定のどなたであるかを知ることはできませんが、誰かがこのウェブページにアクセスした、といったことは分かることになります。パーソナルデータには、このような「誰かの情報ではある」ということがYahoo! JAPANにとって分かる情報が、すべて該当します。このような情報には、たとえば、上記の識別子とひもづくウェブページの閲覧履歴、検索履歴、広告クリック履歴などの情報、それらから推定されるお客様の属性情報などが該当します。

GDPRとしての定義はこっちが近い。

GDPRでいうパーソナルデータ（例） 氏名 識別番号 所在地データ メールアドレス オンライン識別子（IPアドレス、クッキー） クレジットカード情報 パスポート情報 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

IDがふられてトレースされている履歴情報とか、web広告のCookieとかもこれに含まれる。こういうのがひとつでもあれば、基本的にはパーソナルデータと考えたほうがいい。

• Cookie上の識別子, IPアドレスもパーソナルデータ

  • なので、IPアドレスが残るアクセスログもパーソナルデータ
  • つまりGoogle Analyticsとかのトラッキング全般がやばいぞ

• 匿名化

  • 完全にどうやっても誰かわからなくすること
  • ポイントカードの購買履歴情報をカードIDを消してから提供するものは匿名化されている
  • GDPRの対象外
• 仮名化
  • 追加情報がないと個人を特定できないものにすること
  • データのなかの名前を書き換えたとしてもIDが残ってたりしたら元データと紐付ければわかってしまう
  • ポイントカードのIDのみにするとかも仮名化

ニッポンの個人情報のいま (2/5)：EnterpriseZine（エンタープライズジン）

GDPRの中身

• EEAに住んでいるひと向けのサービスなどが対象
  • 人種、国籍、言語は関係ない
• 日本向けなら対象にならない
• 英語で表示可能で通貨をユーロで表示可能だったりしたら対象になるはず！
• パーソナルデータは暗号化したりして安全に取り扱いましょう
• EEA（欧州経済領域）の域内から域外への個人データの移転は原則として禁止
• データ主体は閲覧、修正、削除が自分の意志でできる
• データ主体はどのようにパーソナルデータが扱われるのか知ることができる
• パーソナルデータを暗黙で収集、利用しない
  • わかりやすい同意をはっきりさせないといけない
• 情報漏えいが起きたら72時間以内に関係当局に報告する
• 大規模ならデータ保護責任者をEEA内に代理人をおきましょう
  • 監査もしよう、社員への教育もしよう

EU一般データ保護規則（GDPR）の概要（後編） | NTTデータ先端技術株式会社 の超訳が雰囲気つかみやすい

よそがどう対応しているか

• GDPRへのコンプライアンスについてのSlackの計画 | Slack
  • わかりやすい
• GDPR – アマゾン ウェブ サービス (AWS)
  • かなりの情報量を提供している
  • それだけリスクとみててコストをかけているということ
• DigitalOcean: Cloud computing designed for developers
  • 海外のIaaS業者
  • 小さいところ
    • リスクに合わせた対応をしている
  • agreementの整備
  • データの可搬性の提供
• EU一般データ保護規則(GDPR)への対応に向けたやるべき事まとめ – 週休７日で働きたい
  • Inkdrop作ってる個人開発者
  • 収集する情報を明確にした
  • GDPR - A Practical Guide For Developers - Bozho’s tech blog

間違った対応

• EUのIPアドレスからのアクセスをブロック
  • EU在住の人がEU外からアクセスされたら抵触するので無意味
  • そもそもEUへのサービス提供意思は確認されるからブロックしなくていい

今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた | フジイユウジ::ドットネット

うちの会社は対応する必要があるのか

• 基本的に、EUを対象にしたサービスの提供をしてないのでとりあえずの対応は不要
• 親告罪だし、まずは書面による警告からだし
• ただパーソナルデータの取り扱いとしては妥当な内容だし、今後もこの流れで行くはずなので対応していくほうがいい

• 法務にどう対応するかを考えてもらわないといけない

  • アセスメント、計画、対策実施の流れ
  • 本気でやるならPwCとかにコンサルティングと監査をお願いするとかなのか？

• 事業別にみると

  • あれは英語でのサービス提供もない
  • マーケ事業のほうは注意すべき情報を扱う
    • Google Analyticsとかの追跡ツール上で匿名化をしっかりやったほうがいい

• GDPRとは？ Web担当者やWebアナリストはどう対処すればいい？ | Web担当者Forum

GDPRのつぎにくるもの

• データ移行が容易になる
  • 日欧、個人データの相互移転で合意　今秋にも発効　（写真＝共同）　：日本経済新聞
• eプライバシー規則 ePrivacy Regulation
  • Cookie法って呼ばれるやつ
  • よくわかんないけどみんなビビってる
  • Cookie取得がオプトイン方式
    • Financial Times
  • 2018年に施工予定だったがまだProposal
    • 2019年に有効になる？
  • ePrivacy Regulation (European Union) - Wikipedia)
  • Proposal for an ePrivacy Regulation | Digital Single Market
  • What does the ePrivacy Regulation mean for the online industry? - ePrivacy
  • eプライバシーの規制をめぐる戦い – カスペルスキー公式ブログ
  • クッキーまでも利用制限される、欧州パブリッシャーの憂鬱：「eプライバシー規則」の要点 | DIGIDAY［日本版］

QA

パーソナルデータという呼び方は正式なもの？

GDPRではPersonal dataと呼んでいて、日本ではメディアによって個人データと呼んだりしている。混乱しやすい。 Yahooは個人情報保護法で規定された「個人情報」と区別するために、パーソナルデータと呼んでいると思う。

GDPRの対象者は？

欧州経済領域（EEA）域内に存在する個人に関する個人データです（GDPR第２条）。国籍や居住地を問わず、EEA域内に短期滞在する出張者や旅行者の情報も対象となります 第4回　GDPRの対象となる個人データとは｜GDPRコラム｜EY Japan

高額商品の購買情報は匿名ではないような

そのデータ単体を眺めても個人を特定できないから、高額だったとしてもパーソナルデータではない

名刺ってどういう扱い？

名刺はもちろん個人情報。無断で第三者に渡すとかは違法。Sansanのeightに入れるとかは、それすなわち違法とかはならないけど、Sansanはしっかりした管理体制を作っていないといけない。

GPSとかの地理データはパーソナルデータ？

1地点だけのデータなら匿名のものだけど、連続したデータなら特定の個人を浮かび上がらせる。なのでパーソナルデータ