いよいよ2018年05月25日GDPR(EU一般データ保護規則)が始まります。
このところ、25日(本日)から施工され
ペナルティの金額に戦々恐々としている、企業は多いのではないでしょうか
私も、業務上で最近ではEU一般データ保護規則対策に、かかりきりだったので
折角なので、誰でもわかるように簡単に説明してみました。
データ保護規則解説
私の会社の記事
starting-business-netherlands.com
先ず下記の図用意したので、ご覧下さい。
上記の図に添って説明します。
1.データ主体について
簡単に説明すると、個人情報を持っている人です
例
採用:応募者がデーター主体
雇用:従業員がデーター主体
このように、社内でも個人の情報を持つとデーター保護法に従う必要があります。
よく、個人情報=外部の情報と勘違いされる場合もありますが、社内でも対象になります。
また、オンライン識別子というのまで対象になるため
運営サイトにクッキーを使っていた場合、クッキーからいろいろな情報を
取得しているため、申し込み,会員登録,お問い合わせなど
データー主体が何かアクションをおこさずとも、データーの保護に値することになります。
ざっくり言うと、個人情報を持たないことがないと思ったほうが間違いありません。
2.通知、同意の義務
上部の図2に該当するのですが
データー主体へ事前に
・何のために(法的根拠に紐づいた)
・どのような情報を取得しているか
・取得した情報はどのように管理されており
・どのように処理されているか
・どの様な対策で、管理しているか
・EEA域外や、第三者への転移があるか
・個人情報の保管期限
・削除依頼先
ざっと最低でも上記事項を、事前の同意、通知を行う必要があります。
3.管理者とは
管理者とは、データー主体から個人情報得る側の事になります。
例、通信販売で例えると
お客様(データ主体)が
A社が運営するECサイトで商品を購入しました
A社は注文が入ったので
B社物流会社へ、依頼しお客様への配送を手配します。
上記アマゾンでものを購入し、クロネコヤマトが配達してくれる
という図を思い浮かべていただけたら、わかりやすいですね。
この場合はA社サービスで取得した、個人情報を
B社へ転移しているので
データ主体はお客様
A社が管理者、B社は処理者という関係になります。
管理者は、GDPRで定められた法令のものとに
管理する必要が発生します。
また、お客様のみならず、雇用している従業員のデータも保護の対象になります。
注意、サービスの利用や、契約などは分かりやすいですが
サービス利用、契約はないものの、サイト訪問だけでも
クッキーを利用している場合は、個人情報を取得しているため
通知、もしくは同意が必要という解釈になります。
注意:管理者がEEA域外でも、EEA内の個人情報を取得する場合には
対策が必要です。
FBのザッカーバーグ氏が欧州議会で謝罪しているのを、考えると
決して他人事ではありません。実際にこのFBの件がGDPR開始後だったとしたら
ペナルティの20万ユーロもしくは年間売り上げの4%をとられていたのではないかと
推測できます。
4.処理者とは
管理者に依頼され処理する法人や受託もとなどが該当します。
例としては
データ主体が従業員
管理者は雇用さきであるA社
A社は給与計算のため、会計士へ個人情報を共有した場合
会計士が処理者となります。
つまり、管理者から依頼されて(もともと個人情報を取得している先が管理者)
処理をしていることになります。
個人情報をクラウドストレージ(DropboxやGoogle Drive)に保管している場合は
ストレージの運営している法人のデーターベースで
保管されていることになりますので
ストレージの運営会社は処理者になります。
5.まとめと対策
GDPRには明確にこれをしなさい、ということよりも
これをしてはいけません。
という解釈が難しい条項が多いのが現状です。
対策の方法としては
・取り扱う個人情報の把握(社内外含め)
・把握した、個人情報について適切な対応の実施
・データ主体への通知、同意
・管理場所、管理体制の見直し
・実施
というステップを繰り返す必要があります。
実際に取り扱う個人情報の種類、量によって
管理方法など異なり、かなりのコストと工数が発生するのが現状です。
先ずは、管理者であれば自分たちがどの様な
個人情報を、何処で保管し、どの様に処理され
誰が閲覧できる状況か
というのを把握し、それをデータ主体にきちんと説明しておくことが重要です。
個人情報ポリシーをしっかり見直す、良い機会ととらえ
これを機会に、より良いサービスを安心して提供できると
ポジティブに私は考えてます。
