目次


GDPR 準拠のアプリケーションを開発する, 第 1 回

開発者向け GDPR ガイド

GDPR が開発者に与える影響を理解する

Comments

コンテンツシリーズ

このコンテンツは全#シリーズのパート#です: GDPR 準拠のアプリケーションを開発する, 第 1 回

このシリーズの続きに乞うご期待。

このコンテンツはシリーズの一部分です:GDPR 準拠のアプリケーションを開発する, 第 1 回

このシリーズの続きに乞うご期待。

欧州理事会および欧州委員会は、欧州のデータ保護法を強化しながら統一することを目的に、1995 年に採択された欧州データ保護指令の後継として EU 一般データ保護規則 (GDPR) を策定しました。GDPR は欧州連合 (EU) の規制ですが、欧州域外に拠点を置く組織であっても、EU 市民のデータを扱う場合には、この規制が適用されます。さらに、EU 市民の個人情報を取り扱うように意図されたアプリケーションを開発する組織も適用対象になります。したがって、EU 市民の個人データを間接的に扱う可能性があるか、EU 市民がサインインできる Web アプリケーション、モバイル・アプリ、あるいは従来型のデスクトップ・アプリケーションを提供する組織には、GDPR によって課されているプライバシー保護の義務が適用されます。アプリケーションが GDPR に準拠していない場合、組織は非常に厳しい制裁を受ける可能性があります。

全 3 回からなるシリーズの第 1 回となるこの記事では、GDPR の要点を解説し、このプライバシー保護規則が、EU 市民によって使用されることを意図したアプリケーションの開発とサポートにどのような影響を与え、どのように適用されるのかを説明します。第 2 回では、ソフトウェア開発ライフサイクルの中に、プライバシー・リスクの評価とリスク軽減措置を統合する方法を説明します。第 3 回では、アプリケーションのプライバシー・リスクを軽減する実用的なアプリケーション開発手法を紹介します。

GDPR に準拠していない場合の影響

GDPR では、組織に EU 市民のプライバシー権のそれぞれを順守させることを目的に、各 EU 加盟国のデータ・プライバシー規制機関 (監督機関) に是正権限と金融制裁の執行権限を与えています。違反者に対する制裁には、2000 万ユーロ以下または組織の全売上高の 4 パーセント以下の罰金が含まれます。さらに、EU 市民には、集団訴訟を通して損害賠償金を請求する法的権利が与えられます。また、GDPR では個人データ侵害の判明から 72 時間以内に監督機関に報告することも義務付けています。個人データ侵害の開示によってメディアの注目が集まると、組織の評判が傷付き、顧客の信用を失うことにもなり兼ねません。

GDPR の目的と概要

1995 年に採択された欧州データ保護指令 (95/46/EC) では、要件の解釈が EU 各加盟国の政府機関に任されていました。けれども GDPR の場合、EU 市民の個人情報を扱う世界中のあらゆる組織に、その条文が言葉通りに適用されます。規則自体は 99 の条項と 173 の備考から構成されています。条項は義務 (要件) であり、備考は条項の補足として、その条項をどのように考慮して適用するべきかを説明するものです。

GDPR の条項と備考のすべてはこのリンク先のページで参照できますが、法律またはデータ・プライバシーの専門家でなければ、その内容を理解するのは難しいかもしれません。

このシリーズ全体を通して、GDPR の条項と備考をそれぞれの GDPR 参照番号で参照し、その後に条項の項目番号を括弧で囲んで続けます。

GDPR の重要な用語と定義

GDPR に確実に準拠したアプリケーションを開発し、プライバシー・リスクを軽減するためには、個人のプライバシー権、GDPR の要件、データ・プライバシーに関する主要な用語を十分に理解しておく必要があります。この知識が、開発プロジェクトのスポンサー、データ保護責任者、そしてアプリケーションのユーザーからのプライバシーに関する問い合わせに対処する助けとなります。

プライバシーに関する基本的権利

プライバシーは、国連でも、国際条例および 150 か国を超える国の憲法でも認められている、基本的人権です。プライバシー権は、広い意味では、個人が他者から不要に干渉されたり、観察されたりしない権利を意味します。この権利には、私的事実を、その個人の許可なく第三者や一般に公開させないことも含まれます。

デジタル機器を通じた世界では、おそらくソーシャル・メディア上で個人データを共有することが当たり前のようになっていることから、プライバシーに対する個人の権利が誤解または無視されることがよくあります。また、マスコミも大規模な個人データ漏洩を繰り返し報道しています。そうとは言え、デジタルのコンテキスト内であっても、物理的な世界と同じくプライバシーに関する基本的人権は適用されます。

組織による一般的なプライバシーの侵害には、以下が挙げられます。

  • 個人情報 (つまり、私的事実) を収集して処理する前に、その個人の同意を得ない
  • 個人情報がどのように使用されたり他者と共有されたりするかについて、その個人に明確に伝えない
  • 理由もなく、個人から必要以上の個人情報を収集する
  • 個人に自分の個人情報に対する可視性を与えず、個人情報を管理できるようにもしない
  • 個人にプライバシー権の行使を許可しない
  • 個人情報を十分に保護していない (例えば、セキュリティーが不十分であるなど)
  • 個人情報の漏洩が発生したときに、その個人情報が帰属する個人に知らせない

GDPR が考案された目的は、上記のようなデジタル・プライバシーの不備に対処し、組織が個人のデジタル・プライバシー権を完全に順守するよう、組織が従わなければならない一連のプライバシー保護義務を具体的に規定するためです。

データ主体

データ主体とは、特定の個人データに関連付けられた個人のことを意味します。

個人データ

個人データは、個人を特定するために使用できるあらゆる情報として定義されています。これには、ニックネームや参照番号で間接的に個人を特定できる情報も含まれます。

個人データとして扱われる個人情報の例としては、以下が挙げられます。

  • 氏名
  • アプリケーション・ユーザー ID
  • e-メール・アドレス (名前が含まれていないアドレスも含む)
  • アカウント番号
  • フォーラムおよびオンラインでのハンドル
  • 個人を特定するためにデータベース内で検索できる、その他すべての ID
  • 生体データ (遺伝学的データを含む)
  • 位置データ

位置データ

GDPR では、位置データも個人データと見なされます。したがって、個人が住んでいる場所、働いている場所、遊んでいる場所を特定するために使用できるあらゆるデータが GDPR の適用対象となります。Cookie 文字列、IP アドレス、地理位置情報でタグ付けされたデータ、モバイル・デバイスの ID はすべて、個人の位置を割り出して個人を特定するために使用できることから、開発者はこれらのデータが個人データと見なされることを認識していなければなりません。

アプリケーション内の潜在的個人データ

開発者が認識しておかなければならないのは、それ自体は個人データとして分類されない情報フィールドも、レコード内の他のフィールドと組み合わせると個人データになる可能性があることです。フリー・テキスト・フィールドのすべてについて、それがどのように使用される可能性があるのかを調べてください。テキスト・フィールドに (例えばユーザー入力によって) 個人データが格納される可能性が十分に見込まれるとしたら、そのようなテキスト・フィールドは個人データと見なす必要があります。

第 4 条 (1) - 「個人データ」とは、特定された、または特定され得る自然人 (「データ主体」) に関するあらゆる情報を意味する。特定され得る自然人は、特に、氏名、識別番号、位置データ、オンラインでの ID といった識別子、または当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティーに特有の 1 つ以上の要素を参照することによって、直接または間接的に特定され得る者をいう。

仮名化 (つまり、トークン化や暗号化などの鍵を使用したコーディング手法) が適用された個人データも、その仮名を使用して個人を特定するのがどれくらい難しいかによっては、個人データと見なされることがあります。仮名化の詳細については、シリーズの第 3 回を参照してください。

レコードに含まれる 1 つ以上のフィールドによって個人を特定できる場合、特定された個人に関する私的事実を格納する、同じレコード内の他のフィールドも個人データと見なされます。

第 6 条 (1) の規定により、法的な根拠なくしてアプリケーションで個人データを取り扱うことはできません。法的な根拠には、ユーザーから同意を得ることも含まれます。

第 6 条 (1) - 個人データを取り扱うことが合法とされるのは、以下の項目のうち、少なくとも 1 つ以上の項目に該当する場合に限る。

(a) データ主体が 1 つ以上の具体的な目的のために自分の個人データを取り扱うことに同意した場合 (第 7 条、第 8 条、第 9 条および備考 32、42、43、171 を参照)

(b) データ主体が当事者となっている契約を履行するために個人データを取り扱う必要がある場合。または、契約を締結する前に、データ主体の依頼によって対策を講じるために個人データを取り扱う必要がある場合 (第 20 条を参照)

(c) 管理者に適用される法的義務を果たすために個人データを取り扱う必要がある場合

(d) データ主体または他の自然人の重大な利益を守るために個人データを取り扱う必要がある場合

(e) 公共の利益のために遂行される業務、または管理者に与えられた職権の行使のために個人データを取り扱う必要がある場合

(f) 管理者または第三者が追求する正当な利益のために個人データを取り扱う必要がある場合。ただし、特にデータ主体が子供の場合、個人データの保護を必要とするデータ主体の利益または基本的権利や自由が、上記の管理者の利益に優先される場合を除く (第 13 条、第 21 条および備考 113、47、48 を参照)

特別カテゴリーの個人データ

特別カテゴリーの個人データとは、個人の権利と自由にとりわけ重大なリスクを伴うと見なされる個人データのことです。第 9 条 (1) で規定している特別カテゴリーの個人データには、以下が含まれます。

  • 人種または民族的素性
  • 政治的思想
  • 宗教または哲学上の信念
  • 労働組合員資格
  • 健康、性生活、性的嗜好
  • 遺伝学的データ
  • 生体データ

特別カテゴリーの個人データの取り扱いは、第 6 条および第 9 条で挙げられている法的根拠がある場合に限り許可されます。法的根拠を確保するのに最も一般的な方法は、第 9 条 (2a) で述べているように、当該個人から明示的に同意を得ることです。

特別カテゴリーの個人データを取り扱う必要がある場合は、最も厳重なセキュリティー対策 (データベース暗号化を適用するなど) によってデータを保護しなければなりません。特別カテゴリーの個人データが漏洩した場合、監督機関により、最も厳しい強制措置が取られる可能性があります。

特別カテゴリーの個人データを使用する場合は、セキュリティーのオーバーヘッドもリスクも増えます。したがって、開発チームのリーダーは必ず、プロジェクトのスポンサーから提案されたあらゆる使用法について、その正当性に疑いを持って検証し、アプリケーションでそのようなデータを使用する明確かつ合法的な目的があることを確実にしてください。

データ保護責任者

ほとんどの組織は、データ保護責任者 (DPO) の役割として、適格なデータ保護専門家を任命する必要があります。第 39 条では、DPO の役割は、GDPR によって課されている義務について組織に情報とアドバイスを提供すること、ならびに GDPR への準拠を監視することであると規定しています。これには、アプリケーションの開発およびサポート・プロセスにおける GDPR 準拠の監視も含まれます。また、DPO は、データ主体と監督機関の主な連絡先にもなります。

個人データ保護責任の役割の定義

以前の EU データ保護指令と同じく、GDPR では組織の個人データ保護責任の役割タイプとして、データ管理者とデータ処理者の 2 つを定義しています。ただし、データ保護指令とは異なり、GDPR でのデータ処理者の責務と義務は拡大されていて、他の組織で使用するアプリケーションをホストする組織にも、処理者としての責務と義務が適用されます。一方、GDPR による個人のプライバシー権は、その大部分を支援する責任が、データ管理者としての組織にあります。したがって、開発およびサポートするアプリケーションのそれぞれについて、組織はデータ管理者とデータ処理者のどちらの立場にあるのかを明確に理解する必要があります。

管理者

管理者とは、個人データを取り扱う目的と手段を決定する組織のことです。組織が社内専用のアプリケーションを開発する場合、通常はその組織の役割は管理者となります。

GDPR 第 4 条 (7) - 「管理者」とは、個人データを取り扱う目的とその手段を単独または共同で決定する、自然人または法人、公的機関、代理人もしくはその他の団体を意味する。

処理者

処理者とは、管理者の指示に従って、または管理者の代理として、個人データを処理する組織のことです。他の組織による再販または使用のために、アプリケーションを開発およびデプロイする場合 (アプリケーション・ホスティングのプロビジョニングを含む)、通常はそのアプリケーションを提供する組織の役割は処理者となります。処理者としての組織にアプリケーションを提供する場合でも、管理者としての組織がそのアプリケーションを通して GDPR プライバシー権を支援できるようにするために必要な機能を備えたアプリケーションを開発し、提供するようにしてください。

GDPR 第 4 条 (8) - 「処理者」とは、管理者に代わって個人データを処理する自然人または法人、公的機関、代理人もしくはその他の団体を意味する。

同意の取得

GDPR では、組織が個人データにアクセスして処理する前に、その個人データが帰属するデータ主体から同意を得ることを極めて重要視しています。通常、アプリケーションで最初に個人データを収集するのは、ユーザーのアカウントをセットアップする時点です。したがって、アプリケーションにおける同意とは、一般に、アカウントのセットアップ・プロセスを完了する前に、そのユーザーの許可を得ることを意味します。同意を得るためには、アプリケーションでどのように個人データを処理して保管するかについて、サード・パーティーによるアクセスやデータ共有を含め、明確にデータ主体に知らせた上でユーザーの許可を求めなければなりません。また、ユーザーから許可された場合は、そのことを記録する必要もあります。

GDPR 第 4 条 (11) では、データ主体の積極的な行動によって同意を得ることを要件としています。つまり、アプリケーションで個人データの使用の許可と同意を求めるチェック・ボックスを表示する場合、そのチェック・ボックスはデフォルトで空にして、ユーザーが同意することを意思表示するために自らチェック・ボックスにチェック・マークを付けるようにします。このようにしてユーザーが同意のチェック・マークを付けた場合は、明確かつ積極的なユーザー・アクションによって同意を得たと見なされます。

第 4 条 (11) - データ主体の「同意」とは、強制を受けず、特定的に、情報を提供された上で、かつ曖昧でないデータ主体の意思表示を意味する。その意思は、当該データ主体が、宣言または明らかな積極的行為によって、自己に関わる個人データの取り扱いに合意して表すものとする。

アプリケーションでは、ユーザーから同意を得た日時、または少なくとも日付を記録する必要があります。アプリーションで同意を記録することで、第 7 条 (1) で要件とされているユーザーの同意の証拠を示すことができます。

第 7 条 (1) - 同意に基づいて個人データが取り扱われる場合、管理者は、データ主体が自己の個人データが取り扱われることに同意したことを証明できなければならない。

アプリケーションでは、他のライセンスやサービスの利用条件の声明とは別に、プライバシーに関する同意の声明を独立した形で用意する必要があります。プライバシーに関する同意の声明は、明確かつ簡潔に作成し、アプリケーションでどのようにユーザーの個人データを処理するかを説明するものでなければなりません。この要件は、第 7 条 (2) で規定されています。

第 7 条 (2) - データ主体の同意を書面による宣言というコンテキストで得る場合、その書面に他の案件も含まれているとしたら、個人データの取り扱いに対する同意は他の案件とは明確に区別できるようにし、明瞭な形式に基づき、明確かつ簡単な言葉を使用して同意を求めるものとする。この規制に違反するような文は、声明に含めてはならない。

第 7 条 (3) で規定されているように、データ主体には随時、同意を取り下げる権限があります。アプリケーションでこの要件に準拠するためには、ユーザーが簡単に同意を取り下げられるようにする機能をアプリケーションに備える必要があります。ユーザーによる同意の取り下げが成立した場合、アプリケーションがそのユーザーのアカウントと個人データのインスタンスをすべて完全に削除するようにしてください。これには、バックアップ・システムに保管されている個人データを削除することも含まれます。

第 7 条 (3) - データ主体は、自分の同意を随時取り下げる権利を有するものとする。同意の取り下げは、取り下げ前の同意に基づく個人データの取り扱いの合法性に何ら影響を与えないものとする。取り下げに同意する前に、データ主体にその旨を報告するものとする。同意の取り下げは、同意を与える場合と同じく簡単に行えなければならない。

備考 (43) で補足された第 7 条 (4) では、ユーザーが自由意志で同意することを要件としています。この要件は、サービスを受ける前提条件として、アプリケーションにサインアップして、その使用に同意することをデータ主体に強制してはならないことを意味します。

GDPR 第 7 条 (4) - 自由意志でユーザーが同意したかどうかを評価する際に、とりわけ考慮しなければならないのは、サービスのプロビジョニングを含む契約の履行が、その契約の履行には必要ではない個人データの取り扱いに対する同意を条件としているかどうかである。

子供の同意

子供向けのアプリケーション、あるいは子供が使用する可能性のあるアプリケーションの場合、データ主体が 16 歳未満 (子供) であれば、その子供の親としての責任を持つ個人から、個人データの使用に対する同意を得る必要があります。この要件は、第 8 条 (1 および 2) で規定されています。したがって、アカウントを持つ子供の親として同意する個人が、実在する親権者であることを確認するための十分な取り組みが必要になります。アプリケーションでこの要件ならびに年齢の確認に対応するためのソリューションは、子供のアカウントにリンクされた親のアカウントを使用して同意を求めることです。このようにすれば、アプリケーションで親のアカウントに関連付けられている e-メール・アドレスがアクティブであること、その e-メール・アドレスが子供のアカウントに関連付けられている e-メール・アドレスとは異なることを確認できます。子供のアカウントを作成するプロセスで、単に親の同意を求めるチェック・ボックスを追加するのとは異なり、このような確認プロセスを設ければ、十分な取り組みを行っていると見なされます。

第 8 条 (1) - 情報化社会のサービスを子供に直接提供する上で、第 6 条 (1) の項目 (a) に該当する場合、子供が 16 歳以上であれば、個人データの取り扱いは合法とされる。子供が 16 歳未満の場合は、その子供の親としての責任を持つ個人が同意または許可した場合に限り、合法とされる。加盟国は、低年齢者が 13 歳未満ではないことを条件に、これら目的に関して当該低年齢者のための法を規定することができる。

第 8 条 (2) - 子供の親としての責任を持つ個人が同意または許可する場合に限り子供の個人データを取り扱うことが合法とされる場合、管理者は、利用可能なテクノロジーを考慮に入れて、確認のための十分な取り組みを行うものとする。

GDPR におけるプライバシー権

EU 市民の個人情報を処理するアプリケーションは、多数の具体的な GDPR プライバシー権の適用対象となります。開発者は、アプリケーション・ユーザーの以下の GDPR プライバシー権を支援するよう、適切な対策と機能を用いてアプリケーションを開発、保守する必要があります。

  • 知らされる権利
  • アクセスする権利
  • 訂正する権利
  • 消去する権利
  • 処理を制限する権利
  • データ・ポータビリティーの権利
  • 異議を唱える権利
  • プロファイリングを含む自動判断の適用対象外となる権利

知らされる権利

個人情報を処理するアプリケーションは、ユーザーに対し、自分の個人データがどのように処理されるかを完全に公開しなければなりません。このような透明性を確保するためには、プライバシー保護に関する声明または特記に個人データの処理方法を明記する必要があります。プライバシー保護声明を作成する際によくある過ちは、アプリケーション開発に固有の言葉や用語を使用することです。プライバシー保護声明は、技術系ではないユーザーやデータ・プライバシーの専門家ではないユーザーにも理解できるよう、一般的な用語を使用して作成する必要があります。理解を促すために、声明の中でグラフやフローチャートを使って、アプリケーションが個人情報を処理する方法を視覚的に表すことを検討してください。

子供向けのアプリケーションの場合、プライバシー保護声明は、子供が理解できる言葉を使って記述する必要があります。

プライバシー保護声明には、そのアプリケーションが収集して処理する個人情報を明記してください。さらに、アプリケーションによる個人データの使用を完全に正当化するために、声明には、アプリケーションがデータを収集して処理する具体的な理由を記載する必要があります。また、アプリケーションによる個人データの処理に他のサード・パーティー組織が関与する場合は、それらすべての組織もプライバシー保護声明に明記する必要があります。このことは、サード・パーティーによるホスティング (バックアップを含むデータ・ストレージなど)、アクセシビリティー (サード・パーティーによるリモート・サポートなど)、他のサード・パーティー組織とのデータの転送または共有にも適用されます。

第 12 条 (1) - 管理者はデータ主体に対し、第 13 条および第 14 条に示された情報と、第 15 条から第 22 条および第 34 条が適用される、データ処理に関連する連絡を、簡潔で透明性のあるわかりやすい形で提供するために、適切な措置を取るものとする。特に、子供を対象とした情報については、明瞭でわかりやすい言葉を使用するものとする (備考 58 および 59 を参照)。

アクセスする権利

アプリケーション・ユーザーとしての EU 市民には、アプリケーションによって保持および処理される自分の個人データのすべてにアクセスする権利があります。アプリケーションを運用している組織には、データ管理者としてアプリケーション・ユーザーのこの権利を支援する責任があります。組織の GDPR 準拠を促進するためには、アプリケーションによって保持されている、ユーザーのすべての個人データを返すユーザー関数を組み込んで、ユーザーのアクセス権利を支援するアプリケーションを開発する必要があります。

データ主体アクセス要求

データ主体に、自分の個人データにアクセスする権利があるということは、アプリケーションのユーザーには、アプリケーションおよび管理者としての組織によって保持されている自分の個人情報のすべて、あるいは特定の部分を提供するよう、書面で要求する資格もあることを意味します。このプロセスは、データ主体アクセス要求と呼ばれています。GDPR では、データ主体アクセス要求に対し、無料で応じること、そして要求されてから 1 か月以内に対応することを要件としています。データ管理者となっている組織は、アプリケーションのユーザーに、データ主体アクセス要求を行う際の連絡先情報を提供し、これらの要求をタイムリーに管理するための公式のプロセスを用意する必要があります。

第 15 条 (1) - データ主体は、自己に関する個人データの取り扱いに関して管理者から確認を取り、該当する場合はその個人データにアクセスする権利を有するものとする。

訂正する権利

アプリケーションのユーザーには、アプリケーションによって保持されている自分の個人データが正確でない場合、または不完全な場合に、第 16 条に従って、これを訂正させる権利があります。管理者がこの要件に準拠できるよう、アプリケーションには、ユーザーが自分の個人データ・レコードを編集するための機能を用意する必要があります。誤ったデータを入力してしまった場合や、ユーザーの住所が変わったり、婚姻状況によって姓が変わったりするなどして個人データが古くなった場合に備え、個人データのすべてのフィールドを編集可能にしてください。また、ユーザーに自分の個人データが正確かつ完全であることを確認するよう、アプリケーションが定期的に促す必要もあります。

アプリケーションでは、個人データに加えられたすべての変更を記録し、あらゆる変更を公式にデータ主体に通知する必要があります。この通知は、ほとんどの場合、e-メール通知によって実施できます。個人データの変更を連絡することは、第 19 条で要件とされているというだけでなく、ユーザーが知らないうちに他者が不法にその個人データを変更した場合、そのことがすぐにわかるため、セキュリティー対策としても効果があります。一般に、ハッカーはアプリケーション・ユーザーのアカウントに不正にアクセスした後、不正な行為を行えるように、アカウントのパスワード、e-メール・アドレス、住所などを変更するためです。

第 16 条 - データ主体は、自己に関する不正確な個人データを、管理者に不当な遅延なく訂正させる権利を有するものとする。データ主体は個人データの取り扱いの目的を考慮した上で、補足的な説明を提供するという手段を含め、不完全な個人データを完全にさせる権利を有するものとする。

第 19 条 - 管理者は、個人データの訂正または消去、あるいは処理実行の制限について連絡するものとする。

消去する権利

「忘れてもらう権利」として知られる、消去する権利により、アプリケーションのユーザーは、管理者に指示して自分の個人情報のすべてを消去させる権利を行使できます。このことは、個人データがデータベースのバックアップ上に保持されていたり、プロセッサーによって使用されていたりする場合にも当てはまります。第 17 条の適用対象とならない法的状況があるため、犯罪者がその犯罪に関するレコードの削除を要求しても、その要求がそのまま受け入れられるとは限りません。ただし通常は、営利目的のアプリケーションのほとんどに、ユーザーが自分のアカウントとこのアカウントに付随して保持されているすべての個人データの削除を命令できるユーザー機能を組み込む必要があります。アカウントの消去プロセスには、バックアップ・システム上に保持されているアカウントと個人データのすべてを削除するという処理も含めなければなりません。さらに、第 19 条の要件として、アプリケーションではすべての個人データを削除した後に、個人データが削除されたことをユーザーに通知する必要もあります。


第 17 条 (1) - データ主体は、管理者に自己に関する個人データを不当な遅延なく消去させる権利を有するものとする。管理者は不当な遅延なく個人データを消去する義務を負うものとする。

第 19 条 - 管理者は、個人データの訂正または消去、あるいは処理実行の制限について連絡するものとする。

処理を制限する権利

第 18 条の規定により、EU 市民には自分の個人データの処理をブロックする権利があります。データ主体がこの権利を管理者に対して行使する場合、アプリケーションがデータ主体の個人情報を引き続き保持することは許可されるものの、アプリケーションによって個人情報を処理することは禁止されます。アプリケーションでこの権利を支援するには、ユーザーのアカウントを非アクティブまたは休止状態に設定できるようにするという方法があります。ユーザーのアカウントを非アクティブにしてこの権利を支援する場合、第 19 条により、アプリケーションのユーザーに (例えば、e-メールで) 公式に通知することが要件となります。

第 18 条 (1) - データ主体は、管理者に個人データの処理を制限させる権利を有するものとする。

第 19 条 - 管理者は、個人データの訂正または消去、あるいは処理実行の制限について連絡するものとする。

データ・ポータビリティーの権利

データ・ポータビリティーの権利により、アプリケーションのユーザーには自分の個人データを、管理者としての組織間で移行またはコピーすることを要求する権利があります。データ転送は、許容されるデータ形式を使用してセキュアに行う必要があります。データの移行要求が行われた際は、1 か月以内に対応して完了する必要があります。また、組織がこの要求に対して料金を請求することは許可されません。

第 20 条に従い、アプリケーションのデータ・エクスポート機能を使用してデータ主体の個人データ・レコードを CSV 形式のファイルにエクスポートすることで、データの移行要求を迅速に処理できます。CSV 形式は、オープンかつ一般に受け入れられた「機械可読」データ形式として見なされています。管理者としての組織は、CSV 形式を使用することで、アプリケーションやシステムへのデータ主体の個人データの入力を自動化する際の障害を排除できます。

管理者組織間での個人データの転送は、十分なセキュリティーを確保した方法で行わなければなりません。信頼されていない、または一般公開されているメディアや環境を経由して個人データを転送する場合は、データの暗号化が必須となります。

第 20 条 (1) - データ主体は、管理者に提供した自己に関する個人データを、構造化された一般的に使用されている機械可読形式で受け取る権利を有し、それらのデータのプロバイダーとなっている管理者から妨害を受けることなく、別の管理者にデータを転送する権利を有するものとする (備考 68 を参照)。

異議を唱える権利

EU のアプリケーション・ユーザーには、自分の個人データがプロファイリング、ダイレクト・マーケティング、科学的または歴史的調査に使用されることに対して異議を唱える権利があります。この権利は、第 21 条で規定されています。

プロファイリングに対する異議

GDPR では、第 4 条 (4) でプロファイリングについて定義しています。簡単に言えば、プロファイリングとは、個人情報と統計データを使用して、その個人のタイプ、行動パターン、健康、財政状態、または所在地などに関するプロファイルを作成することを意味します。アプリケーションでユーザー・プロファイリングを行う予定の場合、プライバシー保護声明にそのアクティビティーについて明記し、ユーザーから同意を得る必要があります。ユーザーには、プロファイリングに対して異議を唱え、アプリケーションのプロファイリング・プロセスを無効にする選択肢を与えてください。ユーザーのアカウント管理に、プロファイリング・プロセスを無効にできる機能を含めることが理想的です。

第 4 条 (4) - プロファイリングとは、個人データを使用して自然人のある個人的側面を評価するため、特にその自然人の職務実績、経済状態、健康、個人的嗜好、興味、信頼性、行動、位置、または移動に関する分析または予測をするために行われる、自動化された処理を意味する。

ダイレクト・マーケティングに対する異議

マーケティング・メッセージを e-メール、テキスト・メッセージ、ソーシャル・メディア投稿、郵便などでユーザーに送信できるアプリケーションは、最初にユーザーからこうしたメッセージを送信することに対する同意を得る必要があります。マーケティングに対する同意は、アプリケーションから送信されることになるマーケティング・メッセージのタイプ、使用する通信チャネルについて明確に記述し、同意のチェック・ボックスを用意した専用のオプトインによってプロビジョニングしてください。同意のチェック・ボックスは、ユーザーに表示される時点で、デフォルトでチェック・マークが付いていない状態にする必要があります。アプリケーションでは、ユーザーが随時、マーケティング・メッセージをオプトアウトできるようにすることも必要です。

第 21 条 (2) - ダイレクト・マーケティングを目的に個人データが処理される場合、データ主体は、そのようなダイレクト・マーケティングに関連するプロファイリングを含め、マーケティング目的で個人データが処理されることに対して随時、異議を唱える権利を有するものとする。

科学的または歴史的調査に対する異議

アプリケーションによって処理された個人データを調査目的で使用することが意図されている場合、第 21 条 (6) の規定により、ユーザーがそのような使用に対して異議を唱えられるようにする必要があります。ただし、調査の目的が公衆の利益である場合は、その限りではありません。

第 21 条 (6) - 個人データが、科学的または歴史的調査を目的に取り扱われる場合、または第 89 条 (1) に従った統計目的で取り扱われる場合、データ主体は、自己の特定の状況を根拠に、自己の個人データに関する処理に対して異議を唱える権限を有するものとする。ただし、公衆の利益を理由に実施されるタスクの遂行に必要な場合は、その限りではない。

(第 12 条、第 89 条、および備考 156、157、158、159、160、161、162、163 を参照)。

プロファイリングを含む自動処理による決定の適用対象外となる権利

第 22 条では、アプリケーションがユーザーの行動や特徴に関する洞察を得る目的でユーザーの個人情報を分析またはプロファイリングする場合、ユーザーにその旨を明確に知らせ、異議を唱えられるようにすることを要件としています。これには、アプリケーションが個人データのアナリティクスに基づき、そのユーザーやユーザーの個人データに影響する可能性のある判断を自動的に適用する場合も含まれます。このようなアクティビティーを実行するのは、正当な要件がある場合に限る必要があります。

第 22 条 (1) - データ主体は、データ主体に関する法的効力または同様の影響を生じさせる、プロファイリングを含む自動処理だけに基づく判断が適用されないようにする権利を有するものとする。

まとめ

GDPR に準拠したアプリケーションを開発するには、データ・プライバシーに関する重要な用語と定義についての実用的知識が必要です。そのような知識があれば、アプリケーションの開発およびサポートの一環としてプライバシー・リスクを軽減するためのソリューションを開発する上で、データ・プライバシー分野の専門家に問題を説明するときや、専門家からのアドバイスを理解するときに、より有意義な話し合いを行うことができます。

また、GDPR によってアプリケーションのユーザーに与えられる個々のプライバシー権のすべてについても十分に理解する必要があります。そうすることで、アプリケーション・ユーザーに対して GDPR のプライバシー権を支援するように、アプリケーションのプロセスとユーザー機能のすべてを設計してコーディングできるようになります。


ダウンロード可能なリソース


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=セキュリティ
ArticleID=1062188
ArticleTitle=GDPR 準拠のアプリケーションを開発する, 第 1 回: 開発者向け GDPR ガイド
publish-date=08092018