GDPRについて理解したこととうちの会社での対応の必要性

気になってたので調べた。会社としてのガチの対応は法務にお願いすることになると思います。 なんか長いのでスライド形式じゃなくてレポート形式で。

GDPRの概要

参考

コラム: Directive 指令と Regulation 規則はなにが違うのか

  • 指令のときは強制力もないし各国でバラバラに制定していた
  • 規則になったのでEU全域で足並みが揃えられて、罰則が厳しくなった

コラム: Blockchainとの相性の悪さ

個人情報、パーソナルデータってなんだっけ?

Yahooのガイドがわかりやすい Yahoo! JAPANプライバシーガイド

個人情報とは? 特定のどなたであるかを識別することができる情報を指します。たとえば、氏名、住所などが含まれる情報が該当します。氏名などが含まれなくても、性別、電話番号、勤務先などの情報の組み合わせによって、特定の個人を識別することができる場合は、個人情報に該当します

日本の改正個人情報保護法に則った定義

パーソナルデータとは? 個人情報のほか、特定のどなたであるかは識別できないものの、「誰かの情報ではある」という程度の識別性を有しているすべての情報が該当します

識別子からのアクセスを集計することで、ある特定のブラウザーをお使いのお客様がどのウェブページにアクセスしたかを知ることになります。このような場合、Yahoo! JAPANは、ある特定のブラウザーをお使いのお客様が特定のどなたであるかを知ることはできませんが、誰かがこのウェブページにアクセスした、といったことは分かることになります。パーソナルデータには、このような「誰かの情報ではある」ということがYahoo! JAPANにとって分かる情報が、すべて該当します。このような情報には、たとえば、上記の識別子とひもづくウェブページの閲覧履歴、検索履歴、広告クリック履歴などの情報、それらから推定されるお客様の属性情報などが該当します。

GDPRとしての定義はこっちが近い。

GDPRでいうパーソナルデータ(例) 氏名 識別番号 所在地データ メールアドレス オンライン識別子(IPアドレス、クッキー) クレジットカード情報 パスポート情報 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

IDがふられてトレースされている履歴情報とか、web広告のCookieとかもこれに含まれる。こういうのがひとつでもあれば、基本的にはパーソナルデータと考えたほうがいい。

  • Cookie上の識別子, IPアドレスもパーソナルデータ

  • 匿名化

    • 完全にどうやっても誰かわからなくすること
    • ポイントカードの購買履歴情報をカードIDを消してから提供するものは匿名化されている
    • GDPRの対象外
  • 仮名化
    • 追加情報がないと個人を特定できないものにすること
    • データのなかの名前を書き換えたとしてもIDが残ってたりしたら元データと紐付ければわかってしまう
    • ポイントカードのIDのみにするとかも仮名化

ニッポンの個人情報のいま (2/5):EnterpriseZine(エンタープライズジン)

GDPRの中身

  • EEAに住んでいるひと向けのサービスなどが対象
    • 人種、国籍、言語は関係ない
  • 日本向けなら対象にならない
  • 英語で表示可能で通貨をユーロで表示可能だったりしたら対象になるはず!
  • パーソナルデータは暗号化したりして安全に取り扱いましょう
  • EEA(欧州経済領域)の域内から域外への個人データの移転は原則として禁止
  • データ主体は閲覧、修正、削除が自分の意志でできる
  • データ主体はどのようにパーソナルデータが扱われるのか知ることができる
  • パーソナルデータを暗黙で収集、利用しない
    • わかりやすい同意をはっきりさせないといけない
  • 情報漏えいが起きたら72時間以内に関係当局に報告する
  • 大規模ならデータ保護責任者をEEA内に代理人をおきましょう
    • 監査もしよう、社員への教育もしよう

EU一般データ保護規則(GDPR)の概要(後編) | NTTデータ先端技術株式会社超訳が雰囲気つかみやすい

よそがどう対応しているか

間違った対応

  • EUIPアドレスからのアクセスをブロック
    • EU在住の人がEU外からアクセスされたら抵触するので無意味
    • そもそもEUへのサービス提供意思は確認されるからブロックしなくていい

今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた | フジイユウジ::ドットネット

うちの会社は対応する必要があるのか

  • 基本的に、EUを対象にしたサービスの提供をしてないのでとりあえずの対応は不要
  • 親告罪だし、まずは書面による警告からだし
  • ただパーソナルデータの取り扱いとしては妥当な内容だし、今後もこの流れで行くはずなので対応していくほうがいい
  • 法務にどう対応するかを考えてもらわないといけない

    • アセスメント、計画、対策実施の流れ
    • 本気でやるならPwCとかにコンサルティングと監査をお願いするとかなのか?
  • 事業別にみると

    • あれは英語でのサービス提供もない
    • マーケ事業のほうは注意すべき情報を扱う
      • Google Analyticsとかの追跡ツール上で匿名化をしっかりやったほうがいい
  • GDPRとは? Web担当者やWebアナリストはどう対処すればいい? | Web担当者Forum

GDPRのつぎにくるもの

QA

パーソナルデータという呼び方は正式なもの?

GDPRではPersonal dataと呼んでいて、日本ではメディアによって個人データと呼んだりしている。混乱しやすい。 Yahooは個人情報保護法で規定された「個人情報」と区別するために、パーソナルデータと呼んでいると思う。

GDPRの対象者は?

欧州経済領域(EEA)域内に存在する個人に関する個人データです(GDPR第2条)。国籍や居住地を問わず、EEA域内に短期滞在する出張者や旅行者の情報も対象となります 第4回 GDPRの対象となる個人データとは|GDPRコラム|EY Japan

高額商品の購買情報は匿名ではないような

そのデータ単体を眺めても個人を特定できないから、高額だったとしてもパーソナルデータではない

名刺ってどういう扱い?

名刺はもちろん個人情報。無断で第三者に渡すとかは違法。Sansanのeightに入れるとかは、それすなわち違法とかはならないけど、Sansanはしっかりした管理体制を作っていないといけない。

GPSとかの地理データはパーソナルデータ?

1地点だけのデータなら匿名のものだけど、連続したデータなら特定の個人を浮かび上がらせる。なのでパーソナルデータ