NHN Cloud Meetup 編集部
[TOAST Security] GDPRとは?
2020.02.26
209
「GDPR」とは?
「GDPR」とは、2018年5月25日施行のEU 一般データ保護規則(General Data Protection Regulation)の略で、28のEU加盟国に共通して適用される法律です。
以前にもEUデータ保護条令(Data Protection Directive)がありましたが、これは「ガイドライン」に過ぎず、加盟国がこれを参考に各自の法律を制定した結果、国家別の規制水準に差が生じました。このことからEU加盟国すべてに同等レベルの個人情報に対する規制を実施し、強制的拘束力が持てるように「法律」として制定したのが、GDPR制定の背景です。
GDPRは法律違反に対して強力な課徴金を規定しており、グローバル事業者らが注目しています。実際にGoogleは、2019年1月21日、フランスの個人情報保護委員会(CNIL)から情報提供に対する不透明性などを理由に、5000万ユーロ(約62億円)の課徴金処分を受けました。このように、事業者に対して直接課徴金を賦課することができる「GDPR」について説明したいと思います。
GDPR適用対象
GDPRは事業拠点がEU内に位置していなくても、EUの情報主体の個人情報を処理するすべての事業者に適用される法律です。
したがって、EUにオフィスがなくても、EUのアプリマーケットからアプリを販売していたり、EUの利用者を対象にサービスを提供し、その過程で個人情報を処理する場合は、管理業者の地位においてGDPRの適用対象となります。また、EUの利用者を対象にサービスを提供するアプリ事業者がTOAST Gamebaseのようなクラウドサービスを利用する場合にも、クラウドサービス運営業者は、アプリに代わって個人情報を処理する運用業者の地位において、GDPRの適用対象となります。
GDPRの特徴
既存の法制とTOASTの母体がある韓国の法律と比較して「GDPR」の特徴的な内容を簡単に説明します。
個人情報の定義拡大
名前、識別番号、位置情報だけでなく、IPアドレス、広告ID(広告識別子)、オンラインクッキー、MACアドレスといったオンライン識別子の場合であっても、その情報と追加情報から特定の人を識別できる場合は、個人情報に該当すると明示しています。
情報主体の権利拡大
事業者が必ず情報主体に対し、8つの権利を保障するように定めました。
8つの権利とは、情報提供を受ける権利、閲覧権、訂正権、削除権、処理に対する制限権、データポータビリティの権利、異議権、自動処理による決定に対して反対する権利を指します。このうち、私たちになじみの薄い2つの権利について調べてみました。
権利 | 内容 |
---|---|
データポータビリティの権利 | 情報主体の要請に応じて情報主体が事業者に提供した情報に対して、直接他の事業者に転送したり、情報主体に送信することを保障する権利です。個人情報移動権は自動化された手段によって情報を処理し、①同意または②契約履行のために情報を処理することを前提とする場合にのみ保証される権利である。 |
自動処理による意思決定に対して反対する権利 | プロファイリングのように個人の趣向、行動、移動経路、職場内の業務遂行、経済状況などを自動的にに分析し、予測する方法を用いて、情報主体に法的効力をもらたしたり、または類似する大きな効果を与える意思決定がなされたりする場合、これに対する最小限の人的介入を要求できるように保証する権利です。 |
また、情報主体が8つの権利を行使する場合、事業者は必ず1ヶ月以内に、これに対する対策を取る必要があります。事業者が権利保障義務に違反したり、正当な理由なく1ヶ月以内に応対していない場合は、GDPRの重要事項違反と見做され強力な課徴金賦課の対象になります。
注目すべき規定は、情報主体が自らの情報を処理する事業者Aに訂正権・削除権・処理の制限権を行使する場合、仮に事業者Aが情報主体の情報を事業者Bに提供している場合、事業者Aは情報主体が訂正権・削除権・処理の制限権を行使したので、それに対して措置を取るように事業者Bに知らせる義務があるという点です。
EU域外への個人情報の転送
一定の要件を満たす場合にのみ、EU非加盟国でEU情報主体の個人情報を処理することができます。EU以外の国でもGDPRが要求する個人情報保護水準を保障するための規定ですが、国家的レベルで「適正評価」を受けた場合や、グローバル企業のブランチオフィス間の情報移転の場合は、「拘束力のある企業規則(BCRs)」に基づいて移転ができます。また、「承認された行動規範」および「承認された認証制度」のように適切な保護措置があると認められる場合にも移転することができます。
他にも、情報主体にEU域外からの情報を処理することによって発生し得るリスクを告知して、これらの情報処理について明示的に同意が得られた場合、例外的にEU域外からの情報を処理することができます。NHN Entertainment(以下NE)のゲームアプリサービスRWBYではこのような内容を満たすため、域外の移転に対して利用者から明示的な同意を得ています。
EUにオフィスがない場合の、代理人の選任義務
GDPRは、EUにオフィスがない事業者にも、EUの情報主体の個人情報を処理することで適用されます。しかし、EUにオフィスが存在しない場合、情報主体の権利保障を疎かにする可能性があり、監督当局の調査等の要求にも応えることが難しい部分があります。情報主体と監督当局との円滑なコミュニケーションを遂行するために、EU内にオフィスがない事業者は、必ず「代理人」を選任しなければなりません。
その他の義務
他にも、個人情報処理活動について記録すべき文書化義務、技術的・組織的セキュリティ措置を取る義務、情報処理によって自然/人の権利や自由に対して高いリスクを与える可能性がある場合に個人情報の影響評価(DPIA)を実施する義務、大規模で定期的かつ体系的なモニタリングを行う場合に個人情報担当者(DPO)を選任する義務、があります。
GDPR施行に伴う対応
ゲームサービス「RWBY:Amity Arena」がEUを含めたグローバルローンチを進めたことで、NEはEU内で代理人を選任し、EU向けのプライバシーポリシーを制定しています。児童の情報収集や情報の域外移転については同意ウィンドウを実装するなどして、GDPRの規制を遵守する措置をとっています。
他社でもGDPRに合わせたサービスを提供するために積極的に対応している状況です。韓国においては、A音源ストリーミング会社はログインセキュリティポリシーを新たに導入し、B金融会社はEU市民の個人情報を大規模収集する計画を立て、計15億ウォンの予算をGDPRの準備に投入しています。Cオンラインポータルサービス事業者はDPOを選任して個人情報の影響評価の施行を準備するなど、各サービスに適合した方向でGDPR規制レベルに合わせたものを準備しています。
このように、グローバル水準の個人情報処理に適合するように様々な事業者が準備しており、コンプライアンスに向けた努力とセキュリティチェックの高度化などのコラボレーションが必要です。今後もGDPRの関連事例や世界傾向の事案などについて、紹介していきたいと思います。