GDPR:複雑な顧客データの管理

Lifesize 企業法務ディレクター、マーシー・ダーシー
日付:2018 年 2 月 15 日

皆さんこんにちは、Lifesize ライブへようこそ!このライブは Lifesize のプラットフォームにて制作されています。

私はホストのジュリアン・フィールズです。本日は Lifesize の法律顧問、マーシー・ダーシーさんをお迎えしました。GDRP についてお話しようと思います。

はい。最近皆さんがよく耳にする話題ですね。

ええ、私たちは GDPR について知っていますが、皆さんは GDPR についてご存知でしょうか?今日は GDPR の意味や実際には何を表しているかなどについてお話ししましょう。

ジュリアンさん、まずは Lifesize ライブにご招待いただきありがとうございます。Lifesize がプロデュースしている Web キャストのスタジオに来ることができて嬉しいです。私は弁護士ですので、GDPR について話す前に、これから10分の間に話すことは法的助言を構成するものではないということを前もって言わせていただきます。

なるほど。

本当にこのトピックに関心のある方や、GDPR や法律に関する質問がある方は、適格な法律の専門家に相談する必要があります。ですが、今ある質問は、GDPR とは何か、なんの略なのか、ということです。GDPR とは、General Data Protection Regulation(一般データ保護規則)の略であり、欧州議会で発行された新しい法律です。これは、EU のすべての住民のデータセキュリティおよびプライバシーに関連するものです。

ありがとうございます。オプトインしていないユーザーにメールを送信できないなど、マーケティング分野での GDPR の一部の要素については知っていました。

そうですね。実際は 20 年以上、EU にはデータセキュリティとプライバシーの法律がありました。ですが、GDPR 自体はできてから 2 年ほどです。当局は 5 月 25 日にこの法律を実施する予定です。当局は違反の問題に対応し始めており、企業が GDPR に対応していないことが発覚した場合は罰金が課される可能性があります。罰金は非常に重大です。

簡単な注意ではないのですね。

ええ、簡単な注意ではありません。罰金は最大 2,000 万ユーロとなる可能性があります。

ドルに換算すると約 2,000 万ドルですね。

ええ、非常に膨大です。企業は 2,000 万ドルを支払うか、欧州事業だけでなく全世界の事業からの収入を含むグローバルな年間売上の 4 % を支払うかを選択することができます。

非常に高額な罰金ですね。

ええ、罰金には意味があります。EU はすべての個人がプライバシーに対する基本的な権利を持っていると認識しているためです。過去数十年に起きた技術革新を基に世界について考えてみると、人々の識別情報や個人情報が多数のプラットフォームで共有され、企業は個人から収集したデータから莫大な利益を得ています。

ええ、私が持っているアプリケーションでも、名前やパスワード、電話番号、住所などが登録されていますね。

そうです。あなたがオンラインでやり取りするすべての企業と、それらの企業があなたの個人情報をどれだけもっているかを考えてみましょう。

クレジットカードはただの物体ですが、実際には私の詳細な情報が含まれていますね。

はい、ID、データ、あなたが誰なのか、名前など、プライベートな情報です。この情報を企業と共有している場合、その企業は、データをどのように収集しているか、どのように使用しているかをあなたに明かし、適切な技術的・運用的安全策を実装して、あなたの個人情報を保護し、ハッキングされないということを保証する必要があります。EU の政府は企業がその義務に真剣に取り組むようにしたいため、企業がそれらの法律に準拠していない場合、罰則を厳しくしています。

なるほど。GDPR の重要な要素は何ですか?

GDPR の英語版を印刷すると、88 ページもあります。これは長い法律であり、多くのトピックをカバーしています。実際に GDPR には 99 の条項があります。

準拠が必要になるまで 99 日残っているので、1 日 1 条項を確認すれば可能ですね。

ええ、誰でも可能です。今日はたまたま GDPR の実施の 99 日前でしたね。GDPR では多くの事項がカバーされていますが、重要なトピックの 1 つは先程述べた透明性です。個人には収集されているデータ、データを収集している企業、それを他のサードパーティベンダーやプロセッサーに渡しているかどうかを知る権利があります。透明性も、データがどうやって、どこに保存されているかを知ることに関係しています。

Web サイト上で「このサイトでは cookie を収集しています」というようなポップアップなどもそれに関係していますね。

ええ、バナーなどもですね。これは顧客に対する透明性の一部です。プライバシー ポリシーやプライバシーに関する声明を適切に開示することは非常に重要です。ほとんどの企業は、透明性の義務を果たすため、顧客へのプライバシーに関する声明を更新しています。GDPR の他の原則の1つである説明責任も非常に重要です。説明責任とは、企業が顧客に、規制に準拠していることを実証できる必要があることを意味しており、コンプライアンスを実証するため、企業はポリシーと手順を明文化する必要があります。また、データ処理アクティビティを文書化する必要もあります。企業は何を行っているかを記録し続ける必要があります。

「はい、私は GDPR を遵守しています」というだけでは不十分なのですね。

「遵守しています、信じてください」というだけでは不十分ですね。規制に準拠していることを実証するための文書を用意する必要があります。そして、GDPR の3つ目の重要な原則は、プライバシー バイ デザインのコンセプトというもので、企業が個人情報を収集、処理、保存に関わる製品を開発している場合に必要なものです。

先程話したアプリのようなものですね。

その通りです。個人情報を収集する企業やアプリは、製品開発にプライバシー バイ デザインのアプローチを適用する必要があります。

後からでは駄目なんですね。

そうです。これはソリューションやサービスを開発しているときに、あらゆるステップでプライバシーとセキュリティについて考慮することを意味しています。開発中、最初からプライバシーのことを考え、それをどのように製品アーキテクチャに組み込むかを考えます。先程おっしゃったとおり、後から付け足すものではありません。

「最後に暗号化しよう」ではいけないのですね。

ええ、それはあまり良くありません。製品開発のライフサイクル全体でプライバシーを考える必要があります。また、説明責任として、その取り組みを文書化する必要があります。

なるほど。それらを鍵として、企業が本当に考えるべきことを要約しましょう。企業が取り組む必要がある最初のステップはなんですか?

企業にとっての最初のステップは、データの評価と、企業が所有するデータの把握です。企業は企業が持つ顧客のデータを整理し、そのデータとデータフローを理解する必要があります。これはデータ マップやデータ インベントリの実施とも呼ばれます。コンプライアンスに準拠していることを確実にするために果たす必要がある義務があるかどうかにかかわらず、収集、処理、保存、削除または保持の各ステップで見ていく必要があります。最初のステップはデータの評価とデータのマッピングです。2 つ目のステップは、適切な技術的・運用的手法を開発し、個人データがそのデータマップ全体で保護されていることを確認することです。

ありがとうございます。ここで質問が来ています。データ保護担当者関係の要件についてですが、これは企業がデータ保護担当者を用意する必要があるということでしょうか。

ケース バイ ケースです。すべての企業で必要なわけではありませんが、処理しているデータの種類によって異なります。多数の機密データを処理している場合は、データ保護担当者が必要となるでしょう。たとえば、監視カメラで常に人々を監視してるような、継続的な常時監視を行っているのであれば、データ保護担当者を任命する必要があります。これは典型的な法律的回答ですが、ケース バイ ケースです。この法律に関する考慮すべき意見だと思います。すべての場合に適用される法律ではありません。すべての企業が、独自のコンプライアンスについてカスタム プログラムを開発すべきです。そしてこれは、データの種類とデータ処理アクティビティによって異なります。すべての企業に適用される単純な解決策はありません。すべてをカスタマイズし、慎重に検討する必要があります。

なるほどなるほど。マーシーさん、ありがとうございます。1 つの質問で時間を使い果たしてしまいましたが、まだ質問がありますね。あとでブログで詳細について答えていただいてよろしいですか?

もちろんです。このトピックについてまだ言いたいことがたくさんあります。今日ご参加いただいた皆さんに感謝いたします。そしてお招きいただきありがとうございました。

こちらこそありがとうございました。またのご参加をお待ちしています。皆さんもありがとうございました。それではまた来週お会いしましょう。さようなら。