データ保護を行った上での企業活動
なんか最近データ活用とかデータ保護とかやたら耳にする。特に気になるのはEUで施行されているデータ保護の為の規制のGDPRである。
EU内の個人情報を厳密に管理せよという内容の法規制だったと思うが、詳細は全然わかってない。
GDPRとは
そもそもGDPR(General Data Protection Regulation)は、欧州議会が裁定したEU圏内在住者の個人情報保護を目的とした条例である。
これより前にも「EUデータ保護条例」というのがあったようだが、GDPRに置き換わった模様。
なお、GDPRは移行期間があったが、2018年の5月から本格的に適用開始となったようである(Wiki情報)。だから最近よく耳にするんだな。
また、厄介なことに、EU内だけの話ではなく、データがEU圏外に出ることもしっかり想定してあるので、EU外の国も注意が必要な条例になっている。
適用対象
団体
適用範囲は個人情報に関わる全ての個人、企業、団体と考えるのがよさそうである。
メインは、EU内に拠点を置いてデータ収集やデータ処理を行う企業が対象。しかし、EU外の拠点でデータ収集や処理をする企業も含まれるので、結局は全部である。
- EU在住者のデータを扱う団体
対象データ
- 住所
- 氏名
- 年齢
- IPアドレス
GDPRの管理体制(マネジメントシステム)
データ保護最高責任者
GDPRでは、企業内にデータ保護最高責任者を設置するように要求される。データ保護最高責任者は、データ管理者(実働の担当者?)が保護規制に遵守した行動をしていることを監督しなければならない。
ISOみたいなものか。
データの記録義務
あらたな個人データを取扱いを開始する場合、事前に管理部門でリスク評価を行い、定期的にチェックを行う必要がある。
同意
データを利用する場合、収集と利用目的を明確に示して同意を求める必要がある。
システムの一部になってしまっているようなものは、どの段階で同意を得るのか難しそうである。
制裁金
データ保護に違反すると巨額な制裁金が科される可能性がある。
センサーデータは?
2018年11月にGoogleがGDPRに違反しているという事ですでに訴えを起こされている。
スマホ経由でユーザの行動履歴が位置情報から分かる。そしてこれがGoogleへ送られて利用されているというものである。ユーザがどこにいたかが分かる情報のため、センサ情報も個人情報ということになる。
EUでは、センサーデータであっても、個人との関係性が強いデータであれば、個人情報と認識されるようである。
GDPRの大切なPOINT
GDPRは結局とういうことを注意しないといけないのか、下記のガートナーの記事が大変参考になった。
IT部門だけの話じゃない。
「個人情報の体系的かつ広範なプロファイリングを実施したり、データを大規模に処理したりする場合には、個人のプライバシー保護に向けた影響評価プロセスを実施すること」
管理体制
問題が発生した時のことも考慮すれば、企業内にはさまざまな管理体制が必要になることが想像できる。
下記サイトにかなり細かくまとめられていた。めちゃくちゃ大変そうだ。
business.bengo4.com
