「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- 欧州では2018年5月に「GDPR」が施行される。
- GDPRは「General Data Protection Regulation」の略。
- 現行法であるデータ保護指令(Directive 95/46/EC)のルールの統一
- 「一般データ保護規則」とも呼ばれる個人情報保護の法律。
- 内容は、端的に言えば「個人データ」の「処理」と「移転」に関する法律。
対象 †
対象データ †
具体的なガイドラインは第29条作業部会(Article 29 Working Party)が作成中であり、
定義の詳細や業種業態ごとの管理手法について不明点がまだ多い段階
個人データ †
自然人(データ主体)に関するあらゆる情報
もしくは複数の要素を参照することによって、
直接的にまたは間接的に、識別され得る者
- 識別番号
- クレジットカード番号
- メールアドレス
- オンライン識別子
- 固有性に関する要因
当該自然人に関する、社会的アイデンティティに特有な情報
法人データ †
企業などの法人データ
死者のデータ †
・・・
対象外 †
完全に匿名化されたデータは対象外。
適用対象 †
組織の規模、公的機関、非営利団体等関係なく対象となる
(中小零細企業でも対象だが一部例外措置あり)
域内 †
EU内(欧州経済領域EAA)に拠点を置く、
- データの主体(個人)
- データ管理者(EU居住者からデータを収集する組織)
- データ処理者(データ管理者の委託先としてデータを処理する組織)
域外 †
EU内(欧州経済領域EAA)に
- データ管理者(EU居住者からデータを収集する組織)
- データ処理者(データ管理者の委託先としてデータを処理する組織)
がなくても、
- EU居住者に商品やサービスを提供する場合
- 個人データを処理、または監視する管理者(Controller)、処理者(Processor)する場合
には適用される。
域外でも適用されるケース †
域外でも、以下のようなケースには適用される。
- 短期出張や短期旅行でEEA内に所在する日本人の個人データを日本に移転する場合
- 日本企業から EEA内に出向した従業員の個人データ(元は日本から EEA内に移転した情報)
- 日本から EEA 内に個人データを送付する場合(基準に沿って EEA内において処理されなければならない)
- 日本から EEA 内に個人データが送付され、EEA内で処理された個人データを日本へ移転する場合
義務 †
処理 †
処理には、収集・保管・変更・開示・閲覧・削除など、
個人データに対して行われるほぼすべての行為が該当する
処理過程の特定 †
処理対象の個人データおよびその処理過程を特定しなければならない
- 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
- 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない
- 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない
- 個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し、
72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
データ主体の権利の尊重 †
(第13条~22条)
管理者は次のデータ主体の権利を尊重しその行使を円滑にする必要がある。
- 情報権(情報の通知を受ける権利)(第13条、14条)
管理者はデータ主体から個人データを収集する場合、
個人データ入手時に、データ主体に一定の情報を提供しなければならない。
- アクセス権(第15条)
管理者はデータ主体から個人データへのアクセスの請求があればそのコピーを提供しなければならない。
- 訂正権(第16条)
不正確な自己の個人データに関する訂正を管理者に求める権利を有する。
- 削除権(忘れられる権利)(第17条)
一定の場合、データ主体は自分に関する個人データの削除を遅滞なく管理者から得る権利を有する。
データ保護責任者 †
定期的に大量の個人データを取扱う組織は、
データ保護責任者や欧州における代理人を任命しなければならない。
移転 †
個人情報の移転
- EU(欧州経済領域EAA)から域外(第三国)への個人データの移転は原則として禁止。
- 域外移転が可能なのは、データの保護措置が「十分なレベル」にあると認められる国のみ。
- 例えば、日本のように欧州委員会によって、適切な個人情報保護制度を有している
と認められていない国への情報移転は、以下のいずれかの要件を満たしに行く必要がある。
- 本人同意を得る
- 拘束的企業準則(binding corporate rules)を策定する
- 標準契約条項(SCC:Standard Contractual Clauses)を締結する
制裁 †
- 違反行為の種類
- 管理者および処理者の義務違反
- 認証機関の義務違反
- 監視機関の義務違反
- 以下の高い方が制裁金として課される。
- 企業の全世界年間売上高(グループ連結)の2%以下
- または1000万ユーロ(1ユーロ125円とすると25億円)
- 違反行為の種類
- 処理の基本原理の違反
- データ主体の権利の侵害
- 個人データの移転に関する違反
- 構成国法に基づく義務の違反
- 監督機関の命令または制限の不遵守
- 監督機関の命令の不遵守
- 以下の高い方が制裁金として課される。
- 企業の全世界年間売上高(グループ連結)の4%以下、
- または2000万ユーロ(1ユーロ125円とすると25億円)
参考 †
@IT †
InfoQ †
理解すべき重要点 †
- データ主体に対する透明性
- プライバシ・バイ・デザイン、プライバシ・バイ・デフォルト
個人識別情報(PII)を認識する †
- 個人を一意的に識別するために使われるデータ
- 別々であれば固有情報でなくても、組み合わせることで、個人を識別できるデータ
プライバシのための設計 †
- GDPRに準拠させるもっとも安価な方法は、要求を正しく実装すること。
- 徹底の度合いはシステムのリスクの程度による。
- 監査証跡
- 最小の要求(データ保護機関に報告する必要がある)
- 管理だけでなく侵害の被害を抑える(デジタル・フォレンジック)。
- システム・アドミニストレータの否認防止の特徴
- データ露出の制限
最善の方法は、収集するデータと保存する期間を制限
- 本当に必要なデータだけ収集・アクセスするように制限
- データのライフサイクルを明確に定義し、それを記述する
(ある種のアーカイブと削除の仕組みを導入する。)
- 匿名化と仮名化
- 匿名化
フィールドを削除するか、隠すことで、識別可能な情報を取り除く。
- 仮名化
識別可能な情報を仮名で置き換え、データ内で識別情報を分離。
- ロギングの規格・ガイドライン
ログにPIIが含まれていないことを確認する。
システムをチェックする †
簡単なチェックリスト。
- データの保存期間
収集したデータのライフサイクルを記録する。
- データを処理する基準
データを収集する基準を記録する。
- ユーザの権利
データ主体に権利を知らせ、その権利をどのように行使するか説明する。
拡大したユーザの権利をサポートする †
- 自動化したリアルタイムの運用を必要としない。
(実際に必要なのは、30日以内に要求に回答するだけ)
- しかし、セルフサービスのユーザインタフェースを実装したほうが安価になる。
- 情報を削除することで、削除は達成できますが、
部分的にそれを上書きして、事実上、それを匿名化した方が簡単です。
データ処理者かどうか? †
- 責任を避けるには、単にどのような状況下でも、
- PIIデータにアクセスしない、
- また、できないようにすること。
- そのことがどの契約にも明確に述べられているようにする。
- PIIデータの処理を避けるのは難しい場合、
- ログファイル、テスト環境、製品環境への緊急パッチに潜む注意。
- PIIデータベースに絶対にアクセスする必要がある場合、データ処理者であると認める。
GDPRの神話を壊す †
- ユーザのデータを収集して処理することを止めるものではない。
- 「クラウドサービスをやってはいけない。」ということではない。
- エクスポート時に、
- 身元と結びつく全てを手に入れる訳ではない。
- 直接収集された情報のみ含まれているべき。
- 対策
- データ保護
停止中や転送中に2048ビットキーですべてを暗号化することを必要としない。
- 監査ログ、侵入検出など。
すべて監査ログをとり、侵入検出とテストデータ管理のツールを持つことを必要としない。
- 制裁(罰金)
- 制裁は、データプライバシについて何かし始めるための主な理由ではない。
- その時が来たら、罰金の範囲を決めるために使う多数の質問を一覧表にしている。
- ユーザの権利
- 必ずしも、自動的に行使する必要はない。
- ユーザの身元と要求の正当性を確認することが重要。
結論 †
Information Law 情報法 > EUデータ保護規則(GDPR) †
http://informationlaw.jp/category/world-data-protection/eu-data-protection/
個人データの処理に関する7つの原則 †
http://informationlaw.jp/2016/09/28/eugdpr-principles/
- 合法性、公正性および透明性
- 目的制限
- データ最小限性
- 正確性
- 保管制限
- 完全性および機密性保持
- 責任
EU域外への個人データ移転 †
データ主体の8つの権利 †
管理者 †
処理者 †
データ保護担当者 †
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
