価値を増す個人データとそのデータを守るGDPRとは?

価値を増す個人データとそのデータを守るGDPRとは?

本のまとめ

▼読んだ本は?
■GDPRガイドブック
■足立 照嘉さん, ヘルマン・グンプさん
http://amzn.asia/d/aEDwIL4
▼個人データの価値の高まりって?
【1】Google/Facebook/Amazonなどが、日々膨大なデータを蓄積し、独占的なエコシステムを構築
【2】企業に蓄積される膨大なデータが、新たな価値の源泉となってる
【3】だからこそ、「データ保護」がとっても重要
【4】なぜなら、保護されず流出したデータは「ダークウェブ」というGoogleの検索にも引っかからない裏側でやり取りされてしまうから
▼個人データの流出事件って?
■ベネッセ
└3504万件の個人情報が流出し、時価総額として1260億円下がった

■アメリカ:ターゲット
└7,000万人分の住所や電話番号を含む個人情報の流出があり、CEOが辞任に追い込まれた

■米ヤフー
└過去に10億人以上の情報漏えいをしていた可能性が発覚し、3,500万ドルの制裁金を求められた

▼GDPRって何?
■「General Data Protection Regulation」(EU一般データ保護規則)のこと
■2018年5月25日に施行
■「個人データの保護」に関する権利を中心にまとめられた規則
■具体的には「個人データの処理(登録や削除)」と「個人データの移転(移動)」に関する規則
▼GDPRが適用されるのは誰?
【1】GDPRの「個人」はEU圏内を中心としたヨーロッパ31ヶ国に住んでいる人のこと
【2】この人たちを「EEA所在者」と呼ぶ
【3】このEEA所在者があなたの取引やサービスを使っている場合、GDPRが適用される
【4】つまり、サービスを日本で運営していても、EEA所在者にサービス提供していれば、GDPRの対象となる

※サービスにおいて顧客の名前や連絡先を知らず、全ての取引が匿名で行われていればGDPR対象外

▼「個人データ」ってなんのこと?
【1】直接的に個人を特定できる情報
■氏名
■マイナンバー
■クレジットカード情報

【2】間接的に個人を特定できる情報
■住所
■ウェブサービスのユーザー名
■ログイン状態を表すCookie情報など識別子

▼GDPRの登場人物は?
【1】データ主体
└その個人データに紐づく「個人ユーザー」のこと
└たとえば、ウェブサービスの登録者

【2】管理者
└個人データ取得目的や、データ処理手法を決め、管理する人
└たとえば、法人や行政機関、団体など

【3】処理者
└管理者の決定したデータ管理手法に基づいて、データ処理を実際に行う人

▼管理者の義務は?
【1】個人情報漏洩など個人データ侵害が発生したときには、72時間以内に管轄監督機関へ通知
【2】個人データ保護を適切に行っていて、問い合わせがあったらその内容を証明できること
【3】データ侵害が発生したら、その事実を検知して適切な対応ができること
【4】個人データ処理に関して、本人からの同意を得て適切な範囲で最小化して処理すること
【5】個人データ処理が不要になった場合には、削除すること
【6】個人データの保護に関して組織としてセキュリティが確保されていること
▼データ主体がもつ権利って何?
【1】自分が同意した範囲外のデータ処理を制限する権利
【2】自分に関する全てのデータの訂正/消去を要求する権利
【3】個人データの保管や処理がGDPRの規則に反している企業に異議を唱え、民事訴訟を起こせる権利
【4】個人データの処理方法について、問い合わせて聞くことができる権利
【5】自分の個人データを、他の管理者や場所に移転できる権利
▼GDPRに対応してないと判断されてしまうウェブサービスって?
■お問い合わせフォームで必要以上の情報を取得している
■お問い合わせフォームから安全な方法で送信されていない
■脆弱性のある暗号化が行われている
■送信された情報が、どのような目的で使用されるか説明していない
■提供情報の使用に同意を得ていない
■クッキーやウェブサイトでの行動履歴を行っていることを知らせていない
■メールマガジンの登録チェックボックスに、はじめからチェックが入っている
■16歳未満の子どもに、保護者からの同意を得ていない
▼ウェブサービスがGDPRに対応するには?
【1】「評価」を行う
└何を「個人データとするか?」、また社内にどのような個人データを保持しているかを評価する
└これをデータマッピングという

【2】「方針」を決める
└「クッキー取得には同意を求める」「商品注文リストには個人情報を含まない」など対応方針を決める

【3】ガイドラインとしてまとめる
└評価と方針を踏まえ、GDPRに対して企業として対応すべき内容をガイドラインとしてまとめる

【4】ウェブサービスの機能として実装する
└ウェブサービス上などで、ガイドラインを守れるようにするための機能を実装する

思ったこと

2018年5月から施行され、EU圏内を含むヨーロッパ31カ国に住む人に対して「個人データの保護」を明確に規定するGDPR(EU一般データ保護規則)についてまとめられた本でした。

GDPR施行の背景には、GoogleやAmazonをはじめとした世界的な大企業が個人に紐づく莫大なデータを取得し、それらをビジネス価値として利用していることへの、EU圏の強い危機感が発端となっているようです。

確かに、ウェブ上でさまざまなサービスが展開されるようになった結果、cookieをはじめとして取得できる情報量は爆発的に増えたし、さらに今後さまざまな製品がIoTを通してインターネット上につながっていくことで、実生活のデータもすべて取得できるようになっていきます。

その結果、名前など本人を特定できるデータのみではなく、その周辺の行動データを集めるだけでも、その個人がどんな好き嫌いがあって、どんなことを今までしてきて、どんな人生を歩んでいるかすら、包み隠さずばれていく形になってくんだろうな。

でも、個人的には「インターネット上で個人のデータが収集されていくこと」というテクノロジー上の流れを止めるのは多分難しい気がしていて、大事なのは収集されたデータを企業が大切に保管し悪用できないこと、そして個人が収集されたくない情報はそもそも収集されず、そして削除を要求できることがより重要になるんでしょうね。

ありがとうございました!

関連する記事