Closed5
GDPR & CCPA - 1: 個人情報管理
ピン留めされたアイテム
- EU 一般データ保護規則 ( General Data Protection Regulation )
- 個人データの保護や取扱について定められた法令
- 利用者は自分の個人データの削除を要求できる
- 利用者は自分の個人データを簡単に取得でき、別のサービスに再利用できる
- 利用者は個人データの侵害を迅速に知ることができる
- 管理者は個人データ侵害を検知してから 72h 以内に当局へ通知し、利用者に報告する
- サービスやシステムはデータ保護の観点で設計される
- 法令違反時の罰則強化
- 監視・暗号化・匿名化などの要件明確化
- 適用範囲は、個人データを収集する組織・個人データを使用する組織・データの対象である個人のいずれかが EU 域内の場合となる
適用範囲
二つの基準に基づいて GDPR の適用範囲を定めている
拠点基準
- EU 域内の拠点があるか
- 加えて、個人データの取り扱いが、当該拠点の活動の過程において実施されるものか
つまり、EU 域内の拠点自体で個人データを扱っていなくても、その拠点のためにどこかで個人データを扱っていれば、GDPR は適用される
標的基準
UE 域内に拠点がなくても、次に該当する場合は GDPR の適応対象となる
- 個人情報によって特定される利用者が EU 域内か
- 居住期間や市民権についても左右されないとされ、物理的に EU 域内にいれば該当すると考える
- 加えて、物品もしくはサービスの提供で EU 域内の個人を標的としている場合
同意要件
自由に与えられたものであること ( freely given )
- 強制されておらず、他の選択肢があるということ
- 複数のサービスにおける同意を一括選択する様な場合は自由に与えられる同意と認定されない可能性がある
特定されたものであること ( specific )
- 常に明確かつ公正な目的を説明した上で、目的ごとの同意を得ること
- サービス拡張に伴い従来の同意の意味が拡大する様なことがあってはいけない
説明を受けたも上でのものであること ( informed )
同意に先立ち十分に説明できていること
- 説明の範囲
- 管理者の身元
- 収集・利用されるデータの種別
- 利用者に同意を撤回する権利があること
- 説明の方法
- データ取り扱い同意以外の項目も含む書面同意においては、記載が他の同意要求とは明確に区別されてなければならない
- 同意要求は弁護士ではなく一般的な人に理解しやすく、明確かつ平易な言葉で行うこと
明瞭であること ( unambiguous )
- 利用者が意図的に同意したことが明らかでなければならない
- 認められる例
- e.g.) 同意を示すチェックボックスにチェックをする行為
- 認められない例
- e.g.) あらかじめチェックがされているチェックボックスを送信させる行為
- e.g.) 沈黙や明確な拒否以外を同意として扱う行為
同意の撤回
- 利用者はいつでも同意を撤回することができる
- 同意は容易で撤回は複雑な方法を取らせるサービスを提供する、ということは許されない
- 同意が撤回された場合、管理者は直ちに該当データの利用を停止し、消去しなければならない
消去の権利と忘れられる権利
- 利用者が管理者に対して個人データの消去を請求する権利がある
- 制定時に「忘れられる権利」として明文化するか考えられ、結果として「消去の権利 ( 忘れられる権利 )」となった
強固なデータ消去の権利
- 次のいずれかが適用される場合、利用者は管理者から不当に遅滞することなく消去される権利がある
- 個人データがもう必要ない場合
- 同意を撤回した場合
- 取扱に対する意義を述べた場合
- 個人データが違法に扱われた場合
- 日本の個人情報保護法では同意を撤回しても削除は義務になっていない点が違う
忘れられる権利
- 新しい議論でもあり定説と呼べるものはまだないが、一般には検索エンジンの検索結果や古いニュース記事に対して削除を求めるという議論が多い
- ある氏名でのグーグル検索の結果が、その人の昔の事件の記事を表示していた
- 当初は適法な処理でも、当初の目的や状況に照らせば一定期間が経過した後では関連が薄かったり過剰な情報提供であるとして、保護法に抵触する可能性がある
このスクラップは2021/07/15にクローズされました