どのようなデータを守るべきか?

privacy.jpg
イメージ画像 / Unsplash

GDPRによれば、保護対象とされているデータは*「個人データ」「センシティブデータ」*の2種類です。

ここでいう「個人データ」とは、個人を特定できるあらゆるデータのことを言います。名前、メールアドレス、住所のほか、ウェアラブルデバイスなどで取得した生体データ、あるいはWebサービス上で取得するユーザー名も「個人データ」に含まれていることに注意する必要があります。

また、「センシティブデータ」とは、EUが名前以上にプライバシーを含むと判断しているデータです。人種や宗教、性的指向、政治的信条、犯罪歴などは、すべて「センシティブデータ」として扱われます。「センシティブデータ」はGDPRでは「個人データ」以上に重視しており、「センシティブデータ」が流出し悪用された場合には、より重い罪に問われることになります。

意外と盲点になるのが、IPアドレスCookieの利用です。例えば、IPアドレスが悪意ある主体に漏れてしまった場合、IPアドレスから個人を特定でき、最悪の場合センシティブデータを悪用される恐れがあります。そのため、「センシティブデータ」を取り扱っていない場合でも、「個人データ」の取り扱いには注意するようにしましょう。

WebマーケターがGDPRのコンプライアンスを遵守する3ステップ

1. PBDアプローチを採用する

approach.jpg
イメージ画像 / Unsplash

PBDとは、「Privacy By Design」の略で、プライバシー情報を法的なコンプライアンスとしてではなく、企業としての標準的なアプローチとして策定する態度のことです。もちろん日本でも個人情報保護法がありますが、法律があるから法律を守る手段を作るのではなく、企業として当然プライバシー保護に努める、といった態度が、PBRということになります。

PBDアプローチでは、*「透明性のあるプライバシー利用」*が前提となっているため、ユーザーの同意なしには個人情報を利用しません。例えば、Webマーケティングで登録ユーザーの属性を分析するデータサイエンスを行う場合にも、ユーザーの同意を持って行うようにします。

PBDアプローチは、マーケティングを積極的に行なっている企業には窮屈に感じるかもしれません。しかし、PBDはデータの主たる所有者であるユーザー中心でプライバシーを扱う考え方であり、企業としては率先して取り入れていきたいプライバシー保護の考え方だと言えます。

2. PIAを策定する

doc.jpg
イメージ画像 / Unsplash

プライバシーポリシーを策定している企業は多いでしょう。しかし、GDPRで求められている個人情報保護を満たすためには、さらに踏み込んでPIAを書いてみるとよいでしょう。

PIAとは、「Privacy Impact Assessment」の略で、日本語では*「プライバシー影響調査」*と訳されます。理屈上は、PIAは製品の情報が更新されたときに随時書き換えられる文書ですが、最初は既存の製品が利用している個人情報に関して振り返りながらまとめていくとよいでしょう。

PIAを書く目的は、会社のサービスで利用しているプライバシーを脅かす脅威を把握して、それに対する対処法を決定するためです。端的に言えば、ユーザーのプライバシー問題に対するチェックリストやロードマップだとも言えます。

残念ながらPIAの書き方に定型のフォーマットはありませんが、自身で情報をまとめやすいようにカスタマイズしてみるとよいでしょう。少なくとも、以下の点に関しては盛り込みましょう。

(1) 取得しているデータは何か?
(2) 個人情報利用の同意プロセスはどのようになっているか?
(3) 特定されるリスクは何か?
(4) リスクに対する解決策は何か?
(5) 現存進行しているプロジェクトに取り入れられる具体的な行動は何か?

GDPRが施行されるという点とは関係なく、PIAを書いてみるだけで大きなリスクヘッジとなるでしょう。

3. 正当なユーザーの同意を求める

meeting.jpg
イメージ画像 / Unsplash

Facebookではサードパーティー製のサービスに接続することで占いや人脈マップなどを作るサービスが流行しましたが、こうしたちょっとしたゲームから個人情報が流出します。

2018年時点の個人情報保護のスタンダードは、たとえこうしたゲームなどでユーザーの*「同意」*を得られたとしても、ユーザーが想定した個人情報利用をされていなければ、本当の意味で同意が得られたとは言えないという点です。

さまざまな悪意ある手段でユーザーの「同意」を得ようとしてはいけません。また、明確に意図が伝わらないマイクロコピーを用いるのもNGです。GDPRでは、以下の点に気をつける必要があります。

(1) 同意は明確で、確認可能で、公平に行われる必要がある
(2) 同意を得る際には「平易な言葉」を使う
(3) デジタルサービスでも16歳以下には「親権者」の同意を得る
(4) サードパーティーへのデータ提供は「都度」確認する

もし、現在自分の会社で行われている同意の取得方法が以上の4つを満たしていなければ、早急に同意の取得方法を変える必要があります。「取得するのはメールアドレスとユーザー名だけだから、親権者の同意は不要だ」と脇を甘くすると、緊急事態に陥った際に大きなリスクを背負うことになるでしょう。