欧州GDPR実装実例【半蔵門ビジネス雑談】20180719
欧州のGDPRが5月25日に施行されたのと前後して、関連する欧州企業や米国企業から改めてあるいは新たに個人情報利用の許認可をとる通知がやってきた。実装されたポリシーに基づく設定案内が具体的にデータ主体の利用者に届き始めたのだ。
以下、事例。
Hill Inovating Justice(法律事務所)オランダ
1)名前、電子メールアドレス、企業名の再登録
2)メールによる情報提供に第三者のサービスを使っているので、第三者企業への個人情報を渡すという許可を再取得
Twitter アメリカ
プライバシーとセキュリティの設定で、データの扱いがカスタマイズできる。
- 広告をカスタマイズ
- 端末間でのカスタマイズ
- 位置情報によるカスタマイズ
これらは、興味などに応じて適した広告が表示されるためのデータについての扱いだ。つまり、検索などで使用した言葉などに応じて関連の広告が表示されることになる。それが、他の端末でサイトを使用した結果も反映されてきたり、アクセス場所によっても反映されてくる。つまり、どこで、どの端末で、何を見ているのかを「見られている」ことを許可するかどうかだ。
- 閲覧場所の追跡
他のサイトでTwitterのコンテンツがあった場合、そのサイトの内容に応じて、Twitterの関連アカウントを勧めるための情報取得をする。
- パートナーとのデータ共有
Twitter 上でのアクセスデータをGoogleなどの他のパートナーと共有する。つまりここでの興味がGoogleアクセス時にも広告などで表示されるようになる。
Paper.il スイス
新しいプライバシーポリシーと利用規約を発行。既にデータ収集についてはいろいろやっているが、どのように集めていて、どのように保護しているかを、より明確にしたという通知。
主な更新内容としては、
- 個人情報の集め方、理由、保持期間
- 用語の明確化
- タイトルとリンクをわかりやすく設定
- 個人情報の修正方法と削除方法
また、クッキーを利用してGoogleアナリスティクスやアドセンスなどで利用されたくない場合は、それらをオプトアウトする必要があるので、それらへのアドオン機能をインストールする必要がある。
ちなみにまだ自分ではインストールしていない。。。
はてな(ブログサービス)
(変更プレビュー)
変更内容は、以下2点。(はてなの案内より)
- 未成年ユーザーの登録時に保護者の同意を要することを「利用規約」に明記
- GDPRの適用対象ユーザーが権利行使する際の問い合わせ先を明記=>プライバシーポリシー
GDPRへの対応については、同じ宛先だが、その対応も行うことを明記している。
この欧州GDPRは、欧州住民を対象とした規制であるので、企業が欧州住民を対象にしていれば規制対象となる。もし日本にしか会社がなくても、インターネットで欧州市民を対象にしていればもちろん、旅行者として欧州にいる日本人がアクセスするのであれば、規制対象になりうる。英語でサイトが作成されていれば、準備したほうがよい。
すぐに最大の罰則が適用されることはないだろうが、個人情報保護委員会の公表指針をベースに国として十分性認定を受ければいずれは日本の規制も欧州に近づいていく可能性がある。