GDPRって何?とりあえず制作会社が知ってたほうがいいと思うこと

GDPRって何?とりあえず制作会社が知ってたほうがいいと思うこと

GW繋げた方も繋げてない方も年度末の疲れ、解消できたでしょうか?
yanagimachiは毎年恒例の地元の友人とその子供たちとのピクニックや大好きな蕎麦屋に行けて最高のGWでした。


さて、今回は「【MT東京−46】GDPR(EU一般データ保護規則)についてWeb制作会社の人が知っておくといいこと」に参加して、「これは対応はもとより基礎知識をつけねば!!」と思い立って、MT東京で紹介してもらった資料や自分で調べたものをもとに、GDPRについて我々制作会社がとりあえず知っておいたほうが良さそうなことをまとめてみました。
なお、まとめただけですので、詳しくは資料を確認したり、ヨーロッパに詳しい弁護士さんにご相談ください。

ちなみにクライアントに丸投げされたら?

法律の専門家ではない制作会社がやれることは少ないので、ヨーロッパに詳しい弁護士さんなどをご紹介するのが関の山かと思います。
yanagimachiもぜひ詳しい弁護士さんとお知り合いになりたいです。

GDPRとは?

2018/5/25から施行の欧州経済領域(EEA)の新しい個人データ保護法です。
基本的人権になるので、かなり根本的な法律と言えます。
そのため罰則がかなり厳しいです。

名前や住所だけではない個人データ

個人データというと名前や住所などが思い浮かびますが、私たちに馴染み深いSNSのアカウントや投稿、オンライン識別子(IPアドレスやクッキー、マーケティングなどの目的で個人に付与するユニークなidなど)もこれにあたるようです。

つい先日Googleアナリティクスの保持期間の変更が話題になりましたが、それも個人データに当たるオンライン識別子(Googleのヘルプではユーザー識別子)に関係するようです。

また、4月末にインスタグラムに追加されたデータダウンロード機能(ウェブでログインして設定>プライバシーとセキュリティ>データのダウンロードの「ダウンロードをリクエスト」から行うことができる)もGDPRの関係のようで、ますますこういったサービスがユーザを囲い込むのが難しい環境になったように感じます。

対象の企業はEEAに事業所がある企業だけではない

EEA内に居住する人のデータを取り扱う(処理や移転)政府機関や企業が対象です。

つまり我々のように日本に会社があって、たとえ支店がEEAになくとも、取引先やユーザにEEAに住む人のデータを取り扱う政府や法人が対象ということのようです。
弊社には翻訳部門もありますし、大いに関係がありそうです。

また中小企業や零細企業など事業規模に関係なく対応しなければなりません。

処理とは

クレジットカード情報の保存や顧客情報の変更、顧客の氏名の開示、上司の業務評価の閲覧、オンライン識別子の削除、従業員の氏名や職務などのリストの作成などが含まれます。

ECサイトなどでクレジットカード情報の保存させていたり、オンラインでお問い合わせしてきた方のリストの作成なんかしていたらGDPRの対象と言えそうです。

移転とは

データを電子メールなどでEEA外などに出すことです。

EEA内の方と名刺交換をして、電子データ化して保存・管理していても対象となります。
yanagimachiは直接ヨーロッパの方と交換したことはない。。。と思うのですが、セミナーや異業種交流会なんかの名刺交換でもそういうことはありそうですね。

自分たち・クライアントが対象となるか知りたい!

EU:一般データ保護規則、十分性認定等の動きを踏まえた産業界の取り組みと課題のp4「I. 個人データ移転規制:概要」にあるYes/Noチャートが参考になります。
ただ弁護士の方が書いているのもあって、硬めの文章です。

クライアントには、直接チャートを確認してもらう方が良さそうです。
もしかしたらウェブ担当の方以外の(クライアントの会社についての)知識がないと回答できない質問もあるかもしれません。

主な企業の取り組み

主な政府機関の取り組み

この記事の作成にあたり参考にしたもの(順不同)


MT東京に登壇された川竹さんお疲れ様でした。ほとんど1h喋りっぱなしなの、正直真似できないです。すごすぎる。

私がよく案件を担当するWordPressでも対応したプラグインがたくさん出ていますし、コアのアップデートについても議論が活発なようです。
これからも動向を見守りたいですし、対応について勉強したいと思います。

  • このエントリーをはてなブックマークに追加

この記事を読んだ人にオススメ