初心者向け GDPRまずはこれだけ抑えるべし!
ここはとある中小企業。
今月からECサイトに携わることになった、ひらのちゃん。
WEBの知識はさっぱりな彼女がECサイトのセキュリティーに立ち向かう!ストーリーです。
気合と根性で乗り切れる…のか。
初心者の方でも簡単にわかる、かつ大事なセキュリティー知識をお届けします。
※この話はフィクションです。物語にでてくる会社はColorkrewではありません。
- GDPRってなに?
- GDPRって日本に関係あるの?
- GDPRってなにをしなくちゃいけないの?
- GDPRで定義される個人データとは?
- GDPR 違反したらどうなるの?
ひらの:いきなり菅原さんに「会議室にきてください」って言われたけど、いったい何のことだろう?
すがわら:よくきてくれたね!
実は、会社のえらい人たちからGDPRについて説明を頼まれたんだけど、上手く説明できるか自信がないんだ。
きみがわかるくらいまでかみ砕いて説明出来たら、セキュリティーに疎い彼らにも伝わるだろうということで…プレゼンの練習させてくれないかな?
実は、会社のえらい人たちからGDPRについて説明を頼まれたんだけど、上手く説明できるか自信がないんだ。
きみがわかるくらいまでかみ砕いて説明出来たら、セキュリティーに疎い彼らにも伝わるだろうということで…プレゼンの練習させてくれないかな?
ひらの:相変わらず失礼な物言いですけど、いつもお世話になっているから助けてあげますよ!
私もGDPRについて知りたいですしね。
私もGDPRについて知りたいですしね。
すがわら:おっ!それじゃ、まずはきみにGDPRについて説明してもらおうかな。
ひらの:GDPRってEUではじまった個人情報に関する法律のことですよね。
最近ネットでもよく目にします。
破るとすっごく多額の罰金を支払うとか…
でも、日本にいる私たちには関係ないんじゃないですか?
最近ネットでもよく目にします。
破るとすっごく多額の罰金を支払うとか…
でも、日本にいる私たちには関係ないんじゃないですか?
すがわら:関係…ある場合もある!一つずつ説明してあげよう。
(EUいっぱんデータほごきそく、英: General Data Protection Regulation、略してGDPR)
簡単に言うと、EU加盟28ヵ国およびアイスランド・リヒテンシュタイン・ノルウェー(=EEA)における個人データの処理と移転についてのEUの法律です。ものすごくざっくりいうとEEA内の人の個人データをEEAから外に出してはいけないし勝手に処理してはいけないという法律です。
1.GDPRってなに?
EU一般データ保護規則(EUいっぱんデータほごきそく、英: General Data Protection Regulation、略してGDPR)
簡単に言うと、EU加盟28ヵ国およびアイスランド・リヒテンシュタイン・ノルウェー(=EEA)における個人データの処理と移転についてのEUの法律です。ものすごくざっくりいうとEEA内の人の個人データをEEAから外に出してはいけないし勝手に処理してはいけないという法律です。
ひらの:このワールドワイドな時代に、それらの国だけで完結させるって難しくないですか?
すがわら:そう。経済活動的にムリがある。
だからどうしてもEEA内の人の個人データを処理したりEEAの外とやり取りが必要なら、ルールに従わなくてはいけないんだ。
もともと欧州は人権思想発祥の地域とも言われ、1948年に採択された世界人権宣言に基づいて1950年に制定された欧州人権条約が制定され、そこの中ですでに個人データ保護についても人権の一つであるという考え方が盛り込まれている。その後欧州では1995年にEUデータ保護指令が制定され、そこからさらに法的拘束力をもつ「法律」としてGDPRが制定された。
欧州では「個人データの保護に対する権利」が人権の一つと考えられているんだね。
だからどうしてもEEA内の人の個人データを処理したりEEAの外とやり取りが必要なら、ルールに従わなくてはいけないんだ。
もともと欧州は人権思想発祥の地域とも言われ、1948年に採択された世界人権宣言に基づいて1950年に制定された欧州人権条約が制定され、そこの中ですでに個人データ保護についても人権の一つであるという考え方が盛り込まれている。その後欧州では1995年にEUデータ保護指令が制定され、そこからさらに法的拘束力をもつ「法律」としてGDPRが制定された。
欧州では「個人データの保護に対する権利」が人権の一つと考えられているんだね。
ひらの:EUの法律ってことなら、やっぱり日本には関係ないんじゃないですか?
何でみんな騒いでいるんだろう?
何でみんな騒いでいるんだろう?
すがわら:2.GDPRって日本に関係あるの?
EEAにいる人の個人データを扱うならば、関係するね。ここで注意したいのが、「国籍」ではなくてそこに「居住」しているかどうかなんだ。
だからたとえ日本人でもEEAに住んでいる人の個人データなら、このGDPRに含まれてしまうんだ。
また、会社がEEAになくてもEEAの個人データを扱うなら関係あるね。
さらに、短期出張や短期旅行の日本人も対象とする解釈があるんだ。
ひらの:え~!そうなると私もヨーロッパ旅行とかするので、大いに関係ありますね。
でも、実際何をしたらいいんですか?
でも、実際何をしたらいいんですか?
すがわら:3.GDPRってなにをしなくちゃいけないの?
簡単にいうと、個人情報をいつでも削除したり、閲覧・編集可能にしておくってことだよ。具体的には
- 個人データの利用について本人の同意(どんな個人データを、どんな目的で、だれに開示して使うのか、クッキーやトラッキング情報など何をどんな目的でどこに保存しているかも明示。あらかじめチェックオンはNG。一部の利用目的に不同意も可能にする。)
- 本人の求めで、本人の情報を全部削除できること
(その場合、委託先に格納したデータも抹消すること) - 管理者による個人データの閲覧を制限できること
- 本人の求めで本人の情報をエクスポートできること
- 本人の求めで本人の情報の編集ができること
- 本人の求めで本人の情報の閲覧ができること
- 年齢確認(16歳未満は親の同意が必要。※13歳説もあり)
- 事故の通知を義務化(認識した時点から72時間以内にEU当局に連絡する)
- 体制整備
- 従業員の教育
- 委託先の管理監督責任
- アセスメント(定期的な診断や訓練)
ひらの:
…!たくさんあって頭がパンクしそうです。
そもそも個人データってどこからどこまでを指すんですか?
思い浮かぶのは、名前・住所・メールアドレス・クレジットカード情報くらいですかね。
そもそも個人データってどこからどこまでを指すんですか?
思い浮かぶのは、名前・住所・メールアドレス・クレジットカード情報くらいですかね。
すがわら:4.GDPRで定義される個人データとは?
ノンノン!それじゃ全然足りないよ。- 氏名
- 識別番号
- 住所
- メールアドレス
- IPアドレス
- クッキー
- トラッキング情報
- クレジットカード情報
- パスポート情報
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
などなど。日本の個人情報より範囲が広いから、気をつけないといけない。
ひらの:お、思っていたより全然多い。
精神的な個人データってなんなんだ!
自分では意図していなくても、違反してしまうことがあるかも…
ちなみに、これって違反したらどうなるんでしょうか?
精神的な個人データってなんなんだ!
自分では意図していなくても、違反してしまうことがあるかも…
ちなみに、これって違反したらどうなるんでしょうか?
すがわら:5.GDPR 違反したらどうなるの?
即、牢獄行きだね。ひらの:ひーーーーーーーーーーーーーーーーーーーーーーーーーー
すがわら:というのは、嘘です。
最大で2,000万ユーロ(26億円くらい)か、もしくは全会計年度の全世界年間売上高の4%のいずれか高い方を制裁金として支払わなくてはいけないんだ。
最大で2,000万ユーロ(26億円くらい)か、もしくは全会計年度の全世界年間売上高の4%のいずれか高い方を制裁金として支払わなくてはいけないんだ。
ひらの:26億…これも、嘘ですよね( ゚Д゚)
嘘って言ってください( ゚Д゚)( ゚Д゚)( ゚Д゚)
嘘って言ってください( ゚Д゚)( ゚Д゚)( ゚Д゚)
すがわら:残念ながらこれは事実です。僕はウソを言わない!(キリッ
ひらの:(さっきウソいってるやんけ)
いや~恐ろしいですね。これってEUが制裁するんですか?
いや~恐ろしいですね。これってEUが制裁するんですか?
すがわら:EU関係当局からだけでなく、一般市民や会社・市民団体や労働組合などがこの法律に基づき裁判を起こす可能性も考えられるね。
既に大手SNS企業等は訴えられているんだよ。
ちなみに、このGDPRは今のところ世界で一番厳しい個人情報のルールだ。
中国やロシア、ASEAN諸国もこれを真似しようとする動きもあり、世界中で個人情報の取り扱いについて、慎重に考える時期にきているのかもしれないね。
既に大手SNS企業等は訴えられているんだよ。
ちなみに、このGDPRは今のところ世界で一番厳しい個人情報のルールだ。
中国やロシア、ASEAN諸国もこれを真似しようとする動きもあり、世界中で個人情報の取り扱いについて、慎重に考える時期にきているのかもしれないね。
