おはようございます!マネジメントオフィスいまむらの今村敦剛です。
5月25日から施行された、GDPR(General Data Protection Regulation: EU一般データ保護規則)に、当社ホームページも対応したいと思っています。先日はお問い合わせフォームに同意チェック欄を設けましたので、今回は情報セキュリティ方針・個人情報保護方針の更新をしたいと思います。
GDPRとは?
EUが定めた個人情報保護のための規則です。EU内の全ての個人のために保護を強化し統合することを目的としています。もともとEUでは、データ保護指令という個人情報保護のための指令がありました。これが日本の個人情報保護法のベースにもなっているのですが、2018年5月25日からは、強固な罰則規定のある規則(≒法律)が施行され、より一層の個人情報保護が図られることになりました。
当社(マネジメントオフィスいまむら)はどうGDPRに関係するの?
当社はEU域内の個人・法人向けのサービスを行っているわけではありません。しかし、EU域内に短期出張中、または出向した日本人からの問い合わせの可能性はゼロではありません。このようなケースも、GDPRに基づく個人情報保護の対象となります。JETROのハンドブックの記述を見てみましょう。
GDPRの保護対象となる「個人データ」とは、EEA域内に所在する個人(国籍や居住地などを問わない)の個人データをいう。短期出張や短期旅行で EEA 域内に所在する日本人の個人データや、日本企業から EEA域内に出向した従業員の情報(元は日本から EEA域内に移転した情報)も、処理および第三国への移転の制限を受ける個人データに含まれる。
また、当Webでは、マーケティング目的としてGoogle AnalyticsやGoogle Adsense、Amazon.co.jpアソシエイトといったCookie使用サービスを利用しています。Cookie情報もGDPRで保護される個人情報のひとつであり、GDPRではWebサイトで使用されている Cookie についての情報を、EU からの訪問者に対して提供することを義務付けています。ですので「Cookie使ってますよ」という通知や同意を得る仕組みを構築しないといけないわけです。
免責事項
当ページの内容は、情報提供のみを目的として提供されており、GDPRがどのようにあなたおよびあなたの組織に適用されるかについて、法的な助言として提供するものではありません。したがって、当ページの記載事項に基づいて判断してはなりません。あなたの弁護士等と協力して、GDPRがあなたの組織に具体的にどのように適用されるのかを、話し合うことをお勧めします。
したがって当社は、このページの情報について、法的な保証を行いません。このページに記載されている情報や見解は、予告なしに変更することがあります。
個人情報保護方針の変更
色々調べてみると、GDPR第24条で方針を明確にすることが要求されている……と解釈できるようです。(個人情報保護委員会のページにGDPRの日本語訳があります)
取扱活動と関連して比例的である場合、第1 項に規定する措置は、管理者による適切なデータ保護方針の実装を含むものとする。(第24条第2項)
方針における重要な要素
これも手探りで情報を収集したのですが、GDPRに準拠するには、次の要素を方針に入れることが一般的のようです。
※いろいろ調べても、参考にする資料によって解釈が異なるんですよね。まあ、施行されたばかりの指令なので仕方ないですが……というわけで、僕の情報もいい加減なものだと思ってご覧くださいね(うのみにしないで?)
個人情報保護方針の目的
なぜこの個人情報保護方針が使用されているのか、なぜそれが会社にとって重要なのかを説明します。
重要な用語の定義
会社が収集する個人データについての重要な用語を定義しています。
処理の原則と目的
個人データの処理のための原則と、個人データを処理する当社の活動を定義します。
主な要件またはコントロール
方針に準拠するために満たされなければならない重要な要件を記載します。たとえば、合法な処理の要件を満たすには、すべての処理作業がリスト化され、方針で定義されている正当な目的の1つにマッピングされるようにコントロールを実装する必要があります。
重要な役割と責任
この個人情報保護方針の遵守を確実にするための主要な責任と役割を定義します。
主たる監督者の任命
主たる監督者が誰であるかを述べています。
こういう風に更新しました
上記の要求事項を踏まえて、当社の「情報セキュリティ・個人情報保護方針」を次の通り更新しました。
https://imamura-net.com/privacypolicy/
このように更新したのはいいんですが、これでGDPRの要求事項をすべて満たしたか……と言われると、確信が持てないんですよね。。例えばDPO(データ保護責任者)については、当社は僕一人の個人商店なので、僕の氏名を書いたんですが……独立性の観点から、経営者が兼務することはできないというような解説もあり、いったいどうしたものかと悩んでいます。とりあえず僕のままにしてますが……。
余談ですが、個人情報保護方針ひとつをつくるにしても情報が少なく、しかも原文は幅広く解釈できる文章になっているので、具体的に何をすればいいのかの見当をつけるのが難しいんですよね。。
はやりのテーマだからと(ブログのネタにも困っていたので)GDPRに手を出しましたが、これは素人が手を付けるには重すぎるテーマであったのかもしれません……(今さら言うなって?)