明日からいよいよGDPRが施行されますね。
結果として、なかなか思い入れが強いルールになったのでこのタイミングで記念に記事を書いておくことにしました。前日のこの段階で、ブログを書いていられるだけの余裕があることに感謝しながら。
GDPRとは
EU(EEA)の個人情報に関する新しいルールです。バカ高い制裁金を背景に一気に有名になりました。「手頃」かつ「ある程度しっかり」理解するには、JETROのハンドブックを読むのが良いと思います。
もう一歩踏み込むのであれば、GDPR本体と合わせて29条作業部会というオフィシャルな団体が出しているガイドラインを読むといいと思います。ガイドラインは沢山あるのでまずは
- 同意に関するガイドライン(wp259rev.01)
- 制裁金に関するガイドライン(wp253)
辺りから始めるのがおすすめです。
実際皆守ってるの?
これは私も知りたい所です。手探りで必死に守ろうとはしている、という感じでなのでしょうか。
- 影響範囲が広い(規定をちょっと直すとかだけじゃなくて、そもそもシステム改修が必要とか)
- ガイドラインの要求水準が結構高い
みたいな所もあり、100%対応できていると宣言できる企業は少数なんでしょうね。そもそも「100%対応」の定義を「GDPR本体だけでなく、ガイドラインの要求・推奨事項までフルで満たした状態」とした場合、そんな企業出てきうるのかという疑問もあります。
どっかのコンサルとか、匿名で業界横断的にベンチマーク調査してくれないかな。
今後注目したい領域
- 適法な取扱い(6条)
- 制裁金(83条)
の二つが、(DPIAとかDPOまではしていない)多くの企業に関係してくるので楽しみですね。
適法な取扱い(6条)
個人データを適法に取り扱うための根拠が6条1項に列挙されています。
その中でも特に「(a) データ主体が、一つ又は複数の特定の目的のために自己の個人データの取扱いに同意を 与えた場合。」と「(f) 管理者又は第三者によって追求される正当な利益のために取扱いが必要な場合。」の行方に注目しています。
同意(a)
ガイドラインを文面通りに適用しようとすると、(GDPR対応済みと宣言している所でも)無効な同意が大量に出てくると思います。それ位同意が有効と認められる要件は厳しくなっていますが、同意以外に適用できそうな根拠が無いという状況はすごく多いですよねきっと。
なお、同意が有効と認められる要件の詳細はガイドラインに整理されています。
正当な利益(f)
同意の取得が面倒だからとの理由で採用されがちなのが正当な利益です。正当な利益を根拠とする場合、バランシングテストと言われる比較考量が必要なのですが、ここのロジックをしっかり作り込んでいる企業がどれだけあるのかが気になっています。「お前らロジックも準備せず「正当」「正当」言ってるだけじゃ無いのか」と監督機関に言われたら、吹き飛んでしまう企業は一定数いるのでは。
この点、後述するSpotifyは「お問い合わせ」をすればバランシングテストの詳細を教えてくれるそうなので気になっています。
私見
個人的には「(a)(f)以外にひっかからなかったものは、原則同意(a)で対応して、同意が適切では無い場合は正当な利益(f)で対応する」というのがデータ主体の保護という意味で理想だと思うんですけどね。GDPRが同意を厳しく絞りすぎたせいで、正当な利益というばくっとした方に多くの企業が流れてしまっている現状は皮肉な気もします。
制裁金(83条)
GDPRといえばやはり制裁金です。
- 満額取る事案とか実際出てくるのか
- 83条2項における考慮要素の軽重は
- 政治的な思惑が加味される度合いは
なんかは運用が始まらないと見えてこない部分なので楽しみです。
各社のプライバシーポリシー簡易調査(2018/5/24)
やりたいやりたいと思いつつ、仕事と同じ緊張感でやる気にはならないし…と躊躇していたのですが、ブログを書くついでにざっと調べてみました。
対象企業
私のメールボックスに「GDPR踏まえてプラポリ変えました」みたいなメールを送ってくれた企業をベースに、個人的に差し支えがある企業を除いて対象としました。
前提
- 「確認対象URL」行記載の規程のみを対象にしています。別手続や別規程でGDPRの要件を満たしている可能性は当然あります
- 規程は数バージョン用意されていて、日本国民の自分に表示される規程はフルバージョンでないという可能性はあります
- 旧法下で有効な同意を取得済みのため今回改めて取らない、というパターンもあるかもしれません
- ◯△×で評価していますが、当然結果を保証するものではありません
- 修正点のご指摘等あれば真摯に対応する所存です
調査内容
プライバシーポリシーに紐付きやすい条文というと
- 7条2項(他文書紐付けによる同意)
- 13条1項2項(情報提供・直接取得)
- 14条1項2項(情報提供・間接取得)
辺りかなと思うので、これらの項目を重複排除して「要求事項」列に設定します。
結果
こちらです。(googleスプレッドシートで作ったのですが、公開すると表示が崩れるのでxlsx形式に置き換えました。googleスプレッドシートのまま上手く公開する方法はないものか。。。)
GDPRに対応させるためにしっかり作り直した所と、既存のプライバシーポリシーの修正でなんとか対応する所で差が出るのかなという感じですね。記載の丁寧さという意味では、やはりSpotifyが頭一つ抜けている気がします。
★★★
以上です。
個人情報領域の諸先輩方は対面で話してみるととても紳士が多いのですが、ネットだと皆ことごとくヤ◯ザなので内心ドキドキしています。。。それでは。