- 最初に
- 自分なりの解釈が加わっています、この資料の内容の正しさは保証しません
- 内容は「Q&Aで学ぶGDPRのリスクと対応策」(中崎 尚) に基づいています
- https://amzn.to/2sqe6if
- 2018-05時点では弁護士さんが書いている唯一の本だと思う
- 詳細まで知りたい場合にオススメ
- この内容の対象者
- webサービスやアプリを運営している
- EU圏にも自分たちでサービスしていきたい
- GDPRとは?
- 欧州市民の個人データの処理に対するルール
- 個人データを個人がコントロールできるようにする権利が定められている
- 国外へのデータ持出しの規制など
- 対象はEEA(欧州経済領域)。EUに加え、アイスランド、リヒテンシュタイン、ノルウェー
- 2018-05-25から適用
- どういう場合にGDPR対象となるか?
- EEA域内のデータ主体に対して、商品又はサービスを提供する場合
- EEA域内のデータ主体の行動のモニタリング(例 閲覧履歴からのレコメンド等)をする場合
- 対象となる個人データの定義
- 個人を直接的,間接的に識別することに使用できるあらゆる情報
- 氏名、メールアドレス、識別番号、身体的文化的などの情報、オンライン識別子
- オンライン識別子
- IPアドレス、Cookieを通じて集めた情報も入ると資料にはよく書いてあるが、原則は「個人を識別できるかどうか」
- ただのIPアドレスなら対象外だとしても、問い合わせのログと合わせると対象になると考えられる
- オンライン識別子
- 対象となる商品又はサービス
- 有償,無償は問わない
- EEA向けであるかは以下の要素から判断
- EEA域内からアクセスされる可能性の有無
- 使用言語
- 決済に使える通貨
- サイト上の表記
- つまり、例えば日本語のみで提供のサイトは対象外
- 日本語と英語で提供しているサイトはきちんと判断が必要
- アプリをストアから出すときEEA向けにも設定したら対象となりそう?
- 検討すること
- (上から順番に。本のp57を参考に)
- GDPR対象か考える
- さきほど検討した
- 十分性認定があるか考える
- 国単位での認証のようなもの
- 日本はまだない
- 保護措置(SDPC, BCR, 行動規範,認証)を実施できるか
- 企業間、もしくは世界中に支店があるならこれを検討。
- 現地法人がデータを取得、それを日本法人で処理する場合などが該当
- 今回は個人のデータ主体とやりとりするので該当しない。なので深掘りしない
- 概要はこの図がわかりやすい https://www.adobe.com/jp/insights/180501-gdpr-privacy-basic.html
- ちなみにBCR(グループ内のデータ移転に関するもの)を取得したのは2018-05現在楽天のみ。取得に1-2年かかるかも。
- 例外事由(同意など)で実施するか
- ここを後で深掘りします
- 例外事由(限定されたデータ主体かつ正当な利益かつ反復的でない処理であるかなど)に該当するか
- ウェブサービスなどでは大抵は関係しなさそう
- ※全部NOだと違反
- 例外事由について
- 越境移転が例外的に可能になるケース(代表的なもの)
- データ主体との契約履行に必要
- ビジネスではこれを適用しそう
- システム的に繰り返す場合、これは適用できない
- データ主体から明示的な同意が得られた場合
- ここを掘り下げていく
- 限定されたデータ主体、正当な利益、反復的でないという場合
- かなり限定的だと思う
- データ主体との契約履行に必要
- 越境移転が例外的に可能になるケース(代表的なもの)
- 同意と認められるには
- ここ長いです
- かなり厳格なガイドラインがある
- 任意で、特定の情報に対し、情報提供を受け、かつ不明瞭でない意思表示があった場合、に有効
- 任意性
- 「選択の余地がない場合」「コントールできていない場合」は、任意性が無かったと判断される
- 詳細
- データ主体と管理者の間で、管理者側にパワーバランスが偏っている場合はNG
- 管理者側が公共機関
- 管理者が使用者で、データ主体が従業員
- 同意することが、サービス提供等の条件とされている場合
- データ主体がデータ処理に同意しない限り、サービス提供を受けられない場合
- (もっと言うと)契約の履行やサービスの提供のために、個人データの処理に関する同意の必要がないにも関わらず、当該個人データの処理に同意しない限り、サービスを提供しない場合
- 例 金融機関がマーケ目的のデータ処理に合意しないときに、口座開設を拒否したり、手数料を取ったりする場合
- 同意の粒度が粗い
- 複数のデータ処理に関して、まとめて同意を取得する場合
- 個別のデータ処理ごとにYesNoを選択できる必要がある
- 不利益を伴う場合
- 同意の撤回によってデータ主体にコストが発生したり脅したりする場合
- データ主体と管理者の間で、管理者側にパワーバランスが偏っている場合はNG
- 特定性
- 同意のリクエストが適切な粒度で行われ、同意取得に関連する情報と他の情報が明確に分離されていることが必要
- 情報提供済みであること
- 以下の情報を提供していなければならない
- 管理者の身元
- 同意をリクエストしている対象データ処理の目的
- など p97
- 未成年が主な対象である場合は、未成年でも理解可能な情報提供が必要
- 以下の情報を提供していなければならない
- 明確性
- 明確で積極的な同意と認められるためには、意図的にアクションすることが必要
- 契約に合意、利用条件にの受諾のアクションと、個人データ処理についての合意アクションは、区別されている必要がある。まとめて1つのアクションにすることはできない。
- 明確性が認められる場合
- チェックボックスにチェックする行為
- 同意しますボタン
- ブラウザ設定(Do Not Trackのこと?)
- 明確性が認められない場合
- あらかじめチェックボックスにチェックが入っている
- チェックボックでなくてスワイプとかでもいい
- 同意に関するルール Conditions for consent
- 証明責任
- 同意があったことを立証する責任は管理者側が負っている
- 例 電話での同意なら録音
- 同意の方法
- 明確かつ平易な文言を使い理解しやすく用意にアクセスし得る形で明示
- 同意を撤回する権利
- データ主体はいつでも同意を撤回する権利がある
- 撤回は同意と同程度に容易にできなければならない
- オンラインで申し込みできるのに日中に電話しなければならない、などはNG
- 同意によってGDPRを処理しようとする場合、ここに注意が必要
- 後から同意が撤回された場合を考えておく必要がある
- 児童の保護
- これに当てはまる場合は適法
- 個人データの処理がデータ主体の合意に基づく場合かつ
- オンラインで利用者の要求を受けるサービスの場合(情報社会サービスと定義される)かつ
- データ主体が16歳未満であるときは、当該データ主体の保護責任を負う者から同意又は許可を受けている場合
- 基準年齢は加盟国毎に13歳まで引き下げることができる
- 保護者によって同意または許可されたことは「相当の努力」をする必要がある
- 年齢の確認は、データ主体に誕生年を入力してもらったり、基準年齢以上であることを陳述してもらう方法で適切らしい
- リスクが低い場合はメールによる確認で十分、リスクが高い場合は少額送金など、より慎重に行う
- オンラインゲームの場合 p102
- 基準年齢未満と申告したユーザーに、保護者のメアドの提出を求め、保護者に許可を求める
- 苦情を受けた場合は、追加の確認措置をとる
- これに当てはまる場合は適法
- 証明責任
- GDPRの様々な義務p86
- データ収集時から設計する必要があり、かつシステムでの対応が必要
- 適法性、透明性 … 分かりやすく情報提供する
- 目的の制限の原則 … 目的を特定し明確にする
- データ最小化の原則 … 目的のための最小のデータを取得する
- 正確性の原則 … 不正確なデータは訂正する
- 保存期間の原則 … 不必要に保存し続けない
- 完全性及び機密性の原則 … セキュリティを確保する
- データ収集時から設計する必要があり、かつシステムでの対応が必要
- GDPRの様々な権利
- 日本法には定義されていない権利がある
- 透明性
- 明確かつ平易な情報提供
- アクセス権
- データ処理しているかの確認、データへのアクセス(写しの取得)
- 訂正権
- 訂正を求める権利
- 消去権(忘れられる権利)
- 必要なくなったら消去、同意を撤回しかつ他の法的根拠もないなら消去、など。処理者の国内法で必要なら持っていていい。
- 処理を制限する権利
- 不服申し立て中は消されない権利?
- 訂正,消去,処理の制限に関する通知義務
- 実施時には通知する
- データ・ポータビリティ権
- ブログ等が引っ越しできない状態では、利用者は自身のデータをコントロールできていない、という状況を踏まえたもの。データを受け取れる権利。直接ダウンロードさせたりする。
- プロファイリング等の自動化された処理にのみ基づいた意思決定の適用を拒否する権利
- プロファイリングとは、自然人を評価する目的で、個人データを自動的に処理するあらゆる方法のこと。完全に自動化された決定とは、人間の関与なしに技術的手段により決定を行うことを広く含む。
- 例 自動車のスピード違反を自動測定し罰金を科す。これに異議を唱えられるらしい。
- 透明性
- 日本法には定義されていない権利がある
その他、知っておくべきこと
- データを処理して良いケースは限定されている
- 同意が得られた場合(上に書いた)
- 管理者または第三者によって追及される正当な利益のために処理が必要な場合
- 正当な利益が認められやすい例
- 企業グループの内部管理目的で行う、企業グループ内における送信
- 電子通信ネットワークへの不正アクセス及び悪質なコードの流布の防止、DDoS攻撃ほかコンピュータに対するダメージの阻止
- 個人データが侵害されたとき
- 意図せずアクセスできてしまった、アクセスできなくなってしまった、違法に閲覧されてしまった、不正アクセスで書き換えられてしまったなど
- 72時間以内に監督当局に通知義務がある
- 代理人の選定が必要
- 域内に事業所とか無い場合
- 域外の事業者にGDPRが適用されると、域内に代理人を置く必要がある
- GDPRのための業務を行う p203
- 処理が不定期であり、かつ大規模でないなら置かなくてもいい?
結局サーバーはどこに置くか?
- GDPRやるやらないを含めてサーバーをどこに置くか問題
- 日本に置く
- 近いうちに十分性認定を取れそうで、むしろ楽そう
- しかしEUからはレイテンシが大きいので現実的ではない
- USに置く
- 仮に将来USが十分性認定をとったとしても、実務上EU->US->JPのデータ転送することになる
- 3国間のデータ転送なんて可能なのか?
- そもそも十分性認定取るかもわからないので、普通のGDPR対応をすることになる
- EUに置く
- 日本からそのサーバー内のデータを見に行くときに域外移転が発生する
- 普通のGDPR対応が必要になる
- 日本に置く
今後
- 今後どうなる?
- 日本が十分性認定を取れるかもしれない
- 認定されると個人データを日本に持ってきてもよくなる
- 秋に取れるかも?という話がある
- ただし、認定の途中の取り消しもありえる(例 アメリカのプライバシーシールド)
- そのため、どのみちGDPRの検討は必要(というかもう開始されている)
- 次のイベントは、2019年3月29日にイギリスがEUから抜けるとき
- イギリスがGDPR対象外になると思われる
- イギリスにサービス提供している場合はどうなるか見守りましょう
- 日本が十分性認定を取れるかもしれない
- 最後に
- 内容的には幅広くユーザーの権利を実現しようとしている
- しかし対応コストは大きい
- その場しのぎの対応ではなく意味をよく考えて対応すれば、サービス全体の在り方を向上できるチャンスになるはず
- 解釈を頑張る部分もあるので、法務の人とよく話しましょう
- 付記
- この資料の内容の正しさは保証しません
おまけのメモ
- eプライバシー規則
- GDPRを補間する位置づけ
- Cookie規制と呼ばれる?
- 先に同意が必要
- あらゆるサイトで対応が必要になるかも
- まだ成立していないので、この点は今後。
- 越境移転規制
- 日本にもあるし他国にも結構ある(日本 = 改正個人情報保護法)
- 本来はその国ごとに検討が必要
- 香港、オーストラリア、韓国、インド、台湾、マレーシア、ベトナム、シンガポール、ブラジル、インドネシア、日本、EU
- 日本との違い
- 要配慮個人情報
- 定義が違う
- 労働組合や宗教関係の情報が入る
- アプリが扱う情報によっては注意
- 要配慮個人情報