ニュース

GDPR対応と個人データ:究極のガイド

2023年10月01日 トピックス ニュース

インターナショナル・データ・コーポレーション(IDC)によると、2022年だけで世界は109ゼタバイトのデータを生成し、その数は2027年には約3倍の291ゼタバイトに達する勢いだといいます。2027年には291ゼタバイトと、3倍近くまで増加する見込みです。規模としては、1兆ギガ、または1の後にゼロが21個続くバイト数となります。

そのようなデータの大部分はオンラインで生成され、そのデジタルデータを保護するための条件は、実世界に大きな結果をもたらす可能性があります。例えば、悪用されたオンライン識別子は、サイバー犯罪、個人情報の窃盗、望まない標的設定などに悪用される可能性があります。また、ユーザーはオンライン上で自分の行動がどのように追跡されるかをコントロールし、自分の情報がどのように使用されるかを透明化することを望んでいます。

したがって、ユーザーのプライバシーを尊重し、個人情報を管理するための条件を設定するために、地域的および国際的な規制が必要です。これらの法律の中で最も広く知られているのは、おそらく欧州連合の一般データ保護規則(GDPR)でしょう。

GDPRにおける個人データとは?

一般データ保護規則(GDPR)では、「個人データ」とは識別可能な自然人に関連する情報を指します。「特定可能な自然人」とは、身体的、遺伝的、経済的、文化的、雇用的、社会的詳細など、個々人に固有の記述要素によって直接的または間接的に認識できる人物を指します。

GDPRでは、個人データの定義が非常に広く、一般的に個人とみなされる情報(氏名や住所など)と、間接的に個人を特定するために使用できる、より技術的または特殊なデータ(IPアドレスやデバイスIDなど)の両方が含まれることに注意することが重要です。

個人データを取り扱う組織は、個人のプライバシー権が尊重され維持されるよう、データの処理と保護に関する厳格な規則と原則を遵守しなければなりません。

個人情報には以下のものが含まれますが、これらに限定されるものではありません。

  1. 基本的な身元情報: これには、個人の氏名、政府発行のID番号、社会的住所、電話番号、電子メールアドレス、またはその他の類似の識別子が含まれる。
  2. 略歴: 生年月日、出生地、国籍、性別など。
  3. 連絡先情報: 電話番号、電子メールアドレス、郵送先住所など、個人との連絡を可能にする情報。
  4. 財務情報: クレジットカード番号、銀行口座番号、収入記録、金融取引など、個人の財務に関するデータ。
  5. 健康・医療情報 個人の健康、病歴、医療処置に関する情報。
  6. 位置情報: GPS座標やモバイル機器から得られる情報など、人の地理的位置を特定できるデータ。
  7. オンライン識別子: IPアドレス、クッキー、その他のオンライン追跡メカニズムなど、オンラインで個人を特定または追跡するために使用できる情報。
  8. バイオメトリクスデータ: バイオメトリクスデータ:指紋、顔認識データ、声紋など、識別に使用される固有の身体的または行動的特徴。

機密データ

センシティブデータは、利用者の明示的な同意など、特定の条件が満たされない限り、処理が禁止されている特別な個人データです。また、雇用、社会的保護、法的請求に関する理由など、限定的に許可された目的の1つ以上を達成するために必要なデータでなければなりません。

センシティブ情報とは、その人の人種や民族的出身、性的指向、政治的意見、宗教、労働組合への加盟、生体情報、遺伝情報などに関する詳細情報を指します。

GDPRの7大原則とは?

GDPRの7原則は、企業がユーザーから収集した個人データを適切に取り扱うための指針となっています。

GDPRの7原則とは

1. 合法性、公正性、透明性

合法性とは、同意、正当な利益、契約、法的義務など、データ処理に法的根拠があることを意味します。個人データを処理せずに目的を達成できる場合、その根拠はもはや合法的ではありません。

公正さとは、合理的かつ利用者の最善の利益に沿ってデータを処理していることを意味し、利用者がデータの使用目的を知ったとしても、ショックを受けることはないでしょう。
透明性とは、ユーザーデータをいつ処理し、何のために使用し、誰から収集しているのかについてオープンであることを意味します。

こちらを始めるには、GDPRに準拠したプライバシーポリシーの作成に関するガイドをご利用ください。

2. 目的制限

利用者の明示的な同意を求める際に利用者に伝えた当初の目的のためにのみ、利用者データを処理する必要があります。新たな目的に着手する場合は、当初の目的と互換性がなければなりません。そうでない場合は、再度同意を求める必要があります。

3. データの最小化

特に個人を特定できるような情報(PII)を収集するべきではありません。

Matomoは、IPアドレスを匿名化する機能など、広範囲にデータを最小化するためのいくつかの機能を提供しています。

データの最小化はユーザーに好まれています。約70%の人がオンライン上で自分のアイデンティティを守るために積極的な手段を講じており、この努力に役立つ原則は高く評価されるでしょう。

4. 精度

処理するユーザーデータは正確で、必要に応じて最新であるべきです。不正確なデータを発見し、修正または削除するための合理的なシステムを持つべきです。保存する必要がある誤りがある場合は、誤りであることを明確に表示し、正確なデータとして処理されないようにする必要があります。

5. 保管制限

ユーザーデータを削除または匿名化する期限を設定する必要があります。Matomoでは、ある時間が経過するとログが自動的に削除されるようにシステムを設定できます。

6. 完全性と機密性

このため、データ処理業者は、ハッカー、紛失、破損などの脅威からデータを保護するためのセキュリティ対策を講じる必要があります。オープンソースのウェブ解析ソリューションであるMatomoは、その安全性を直接確認することができます。

7. 説明責任

アカウンタビリティとは、収集したデータの取り扱いについて責任を負うことを意味します。コンプライアンスを維持し、監査のためにすべてを文書化するのはあなたの義務です。Matomoは、アクティビティ、タスク、アプリケーションのログなど、このために必要な多くのデータを追跡します。

GDPRは誰に適用されるのか?

GDPRは、EU市民および居住者の個人データを処理するすべての企業に適用されます(企業の所在地に関係なく)。

初めて耳にされた方もご安心ください!Matomoは、あなたが収集するデータの種類と、完全なコンプライアンスのためにそれらをどのように扱わなければならないかを正確に判断できるツールを提供します。

GDPRにおける個人データ処理のベストプラクティス

GDPRの対象となる企業は、個人データを合法的かつ責任ある方法で処理するために、いくつかの主要原則とベストプラクティスに留意する必要があります。

ここでは、実践するために不可欠なプラクティスをいくつか紹介しましょう:

  1. 処理の合法的根拠:組織は、個人データを処理するための合法的根拠を持たなければなりません。一般的な合法的根拠には、法的義務の遵守のための処理の必要性、契約の履行、重要な利益の保護、公共の利益のために実施される業務などが含まれます。処理に関する組織の正当な利益は、個人の法的権利に優先してはなりません。
  2. データの最小化:収集された特定の目的に必要な個人データのみを収集し、処理します。Matomo の匿名化機能は、過剰または無関係なデータの収集を回避するのに役立ちます。
  3. 透明性:データがどのように処理されるかについて、個人に対して明確かつ簡潔な情報を提供します。プライバシー・ステートメントは、利用者が自分のデータがどのように使用されるかを容易に理解できるよう、明確でアクセスしやすいものでなければなりません。
  4. 同意:合法的根拠として同意に依拠する場合は、プライバシー・ステートメントと同意フォームを使いやすいものに設計してください。これにより、同意が自由に与えられ、具体的で、十分な情報が提供され、曖昧さがないことを保証することができます。また、個人はいつでも同意を撤回できなければなりません。
  5. データ主体の権利:アクセス権、消去権、エラー修正権、処理制限権など、データ対象者の個人の 権利を維持するための仕組みを用意しなければなりません。そのような要求に対応するための社内プロセスを確立します。
  6. データ保護影響評価(DPIA):リスクの高い処理活動、特に新技術の導入やセンシティブなデータの処理についてはDPIAを実施します。
  7. セキュリティ対策:個人データの安全性を維持するために、適切な技術的セキュリティ対策を実施しなければなりません。これには、暗号化、ファイアウォール、限定的アクセス制御などのセキュ リティツールや、定期的なセキュリティ評価などの組織的慣行が含まれます。
  8. データ侵害への対応:データ侵害対応計画を策定し、維持します。データ侵害が発生した場合、必要な期間内に関係当局および影響を受ける個人に通知します。
  9. 国際的なデータ移転:EU域外に個人データを移転する場合は、適切な保護措置が講じられていることを確認し、GDPRの規定を考慮します。これらの規定では、主に以下の3つの方法でEU域内から非EU諸国へのデータ移転が認められています:
    1. 送り先の国が欧州委員会により適切なデータ保護がなされているとみなされ、EU域内へのデータ移転と同様の扱いを受ける場合。
    2. 拘束力のある社内規則、承認された契約条項、行動規範の遵守などのセーフガードの使用を通じて。
    3. 上記のいずれにも当てはまらない特定の状況、例えば、関連するリスクを知らされた上で、本人が譲渡に明確に同意した場合。
  10. データ保護責任者(DPO): GDPRで義務付けられている場合は、データ保護責任者を任命します。DPOは組織内のデータ保護コンプライアンスを監督する責任を負います。
  11. デザインとデフォルトによるプライバシー:システムとプロセスのデザインにデータ保護を組み込みます。Matomoのファーストパーティ・クッキーのように、デフォルト設定はユーザのプライバシーを優先すべきであります。
  12. 文書化:データ保護方針、手順、契約を含むデータ処理活動の記録を維持します。Matomoは、ウェブサーバへのアクセス、アクティビティなどをログに記録し、バックアップすることで、確かな監査証跡を提供します。
  13. 従業員トレーニング:個人データを取り扱う従業員は、データ保護の原則および GDPR コンプライアンスのベストプラクティスを守るために適切な訓練を受けなければなりません。
  14. 第三者との契約:第三者とデータを共有する場合は、データ保護に関する各当事者の責任と義務を概説したデータ処理契約を締結します。
  15. 定期的な監査および評価:継続的なコンプライアンスを確保するために、データ処理活動の定期的な監査と評価を実施します。前述したように、Matomoは監査を成功させるために必要ないくつかの重要な統計や指標を追跡し、保存します。
  16. 説明責任:コンプライアンスへの取り組みを文書化し、定期的に見直すことにより、説明 責任を実証します。データ保護当局にコンプライアンスの証拠を提出できるよう準備します。
  17. データ分析とマーケティングにおけるデータ保護の影響:GDPRが、マーケティングコミュニケーションに対する有効な同意の取得など、データ分析やマーケティング活動にどのような影響を与えるかを理解します。

規制は時間の経過とともに進化する可能性があるため、組織はGDPRのアップデートに注意を払う必要があります。コンプライアンス違反は、多額の罰金、評判へのダメージ、法的結果を招く可能性があるため、疑問がある場合は、法律やプライバシーの専門家に相談し、コンプライアンスを確認することが必要です。

GDPR不遵守に対する罰金とは?

GDPR不遵守に対する罰金は、最大2000万円、または前年度の企業収益の最大4%のいずれか高い方です。このため、どんなに知名度の低い違反であっても、小規模な企業も罰金を科される可能性があります。

たとえば2022年には、ユーザーデータの不適切な取り扱いが発覚した企業に2,000ユーロの罰金が科せられ、責任者であるウェブマスターには個人的に150ユーロの罰金が科せられました。

MatomoはGDPRに対応していますか?

MatomoはGDPRに完全に準拠しており、貴社もコンプライアンスを達成することができます。その方法をご紹介します:

  • データの匿名化とIPの匿名化
  • GDPR Managerにより、コンプライアンスのギャップを特定し、効果的に対処することができます。
  • ユーザーはすべてのトラッキングをオプトアウト可能
  • デフォルトでファーストパーティCookieを使用
  • 収集したデータの閲覧が可能
  • 訪問者データの削除が可能
  • 収集されたデータはユーザー自身が所有し、他の目的(広告など)に使用されることはありません。
  • 訪問者のログとプロファイルを無効にすることができます。
  • データは EU(Matomoクラウド)または任意の国(Matomoオンプレミス)に保存されます。
  • 米国にGDPRはあるのか?

    米国全体をカバーするGDPRに相当する法律は存在しません。とはいえ、米国を拠点とする企業がEU域内の人のデータを処理する場合は、GDPRの原則を遵守する必要があります。

    連邦データ保護法はありませんが、いくつかの州は独自の法律を制定しています。カリフォルニア州消費者プライバシー法(CCPA)はその代表的な例で、Matomoはこれに完全に準拠しています。

    GDPR対応アナリティクスの準備はできていますか?

    GDPRは、EU市民および居住者からの個人データの収集と処理に関する一連の規制と罰則を定めています。GDPRに違反した場合、最高2,000万ユーロまたは企業収益の4%の罰金が科され、この罰則はあらゆる規模の企業に適用されます。

    MatomoはGDPRに完全に準拠しており、効果的な分析に必要なリソースを犠牲にすることなく、いくつかの機能と高度なプライバシー設定を提供しています。Matomoの21日間無料トライアルにご登録ください。

    免責事項

    私たちは弁護士ではありませんし、そうであると主張するものでもありません。ここで提供する情報は、GDPRの入門に役立つものです。私たちは、すべてのビジネスとウェブサイトがデータプライバシーを真剣に受け止め、懸念がある場合は弁護士にこれらの問題を相談することをお勧めします。