【World news 2018年5月25日、EU施行のGDPRとは?違反時の制裁金が超厳しい件】
あの。ワタシEU圏内在住のモノなんですがね。貴社のアプリ「ガッポリウハウハ君」の件で問い合わせなんですガ…。
GDPR調査官 Ben
あ、どーもお世話になってます、アプリ「ガッポリウハウハ君」の件でお問合せありがとうございます!当アプリは無料で登録頂き、有料課金して頂くとさらにガッポリウハウハできる素敵なアプリとなっておりまして…(おっしゃあ、またカモがひっかかったぜ!!) 怪しいアプリでボロ稼ぎ中の浅田さん
その「ガッポリウハウハ君」なんですがね、GDPRに対応していない疑いがありマス。利用者が個人情報削除を求めても削除されずに、しかも個人情報が無断で売買されているようなのですが、本当ですカ? Manager Ben
(やべっなんかエラいことになってるぞ!!)いえ、そんなことはないんですが…(汗) Sales Manager浅田さん
では、データ保護責任者は設置していますね? Manager Ben
(データ保護責任者って何だ…!?いや、適当に言ったらダイジョブやろ!)俺です、データは全部俺のパソコンに一括管理しているぜ! Sales Manager浅田さん
では、GDPRに基づく個人情報保護の指針はきちんと設定されていますネ?それを直ちに見せてくだサイ。 Manager Ben
(やべっもはやワケ分からん!!)…っていうか、GDPRって何すか…!?分かった、Great Domestic Panty Reckless (?)(国内でめっちゃ生産されている自暴自棄になったパンティー?)ですね! 意味不明にも程がある浅田さん
アナタ、まさかGDPRの意味すら知らないとは…違反金として世界年間売上高の4%又は、2千万ユーロの高い方を上限とする制裁金が科されマス。本日中に支払わないと逮捕するぞコノヤロウ Manager Ben
まじかー!!ていうかGDPRって何々だよ!! パンティー違法製造業者?の浅田さん
やってしまいましたね浅田さん!2018年5月25日から施行されるGDPRに対応できていない企業が、今後多大な制裁金を科される可能性が出てきたんですよ!これは由々しき問題です! Tak石河
・・・っていうか、何よその「ガッポリウハウハ君」っていう怪しいアプリは!個人情報を不正売買している段階で犯罪よ!Great Domestic Panty Reckless (?)(国内でめっちゃ生産されている自暴自棄になったパンティー?)って英語で意味成していないじゃない… Diana
今日は、浅田さんみたいにならないように、GDPRって何かって、詳しくみていこう! アメリカ人同僚 盟友Liam
そもそもGDPR(General Data Protection Regulation:一般データ保護規則)とは何なのか?
GDPR(General Data Protection Regulation:一般データ保護規則)とは、EUにおける個人データ保護に関する法律である。1995年に施行されたData Protection Directive 95(EUデータ保護指令)に替わる法規制として、2018年5月25日に施行された。個人データの取り扱いを最も厳しく規制するルールと言われる。米フェイスブックの個人データ不正流出問題を受け、改めて企業の関心が強まっている。
(📖出典📖 日本経済新聞(日刊) 5月24日木曜日 一部改変)
え、もう施行されてるじゃない(笑) Diana そうなんだ。でも、日本企業の8割が、その対応が完了していないとの報道がなされているんだ。 アメリカ人同僚 盟友Liam 欧州連合(EU)が25日に施行する新たな個人情報保護ルール「一般データ保護規則(GDPR)」をめぐり、日本企業の8割が対策を完全に終えていないことが日本経済新聞社の主要100社調査で分かった。(中略)25日時点で対策が完全でなくても制裁金がすぐに科される可能性は低いが、対応に手間取れば国際競争力の低下を招く。 (📖出典📖 日本経済新聞(日刊) 5月24日木曜日より) GDPRは、EUの居住者に商品やサービスを売る企業に対し、以下の対策を求めているんだ。 アメリカ人同僚 盟友Liam ポイントは下記の3つの通り。 アメリカ人同僚 盟友Liam ここで言われている個人情報とは、従業員、顧客、取引先の氏名、メールアドレス等が含まれるよ! アメリカ人同僚 盟友Liam 流出事故が起こって72時間以内にEU当局に通達って…かなり厳しい条件ね。 Diana 違反すると、最大で企業の世界年間売上高の4%又は、2千万ユーロの高い方を上限とする制裁金が科される可能性がある。 (📖出典📖 日本経済新聞(日刊) 5月24日木曜日より) え、冒頭のBenの制裁金っていつもみたいなボッタクリじゃなかったんだ…!! Diana そうなんだ、「企業の世界年間売上高の4%又は、2千万ユーロの高い方を上限とする制裁金が科される可能性」ってあるから、必ずしもこの金額になるわけではないだろうけど、高額な制裁金が課される可能性は多いにあるね。 アメリカ人同僚 盟友Liam でも、知らないうちにGDPRに違反してた…っていうことになったら、目も当てられないわね! Diana このGDPRは、とても複雑で何をすればよいかが分からない!というケースも多いみたいですね。 そこで、BBCのGDPR quiz: How will data privacy law affect you?という記事では、GDPRによってどんな影響が出るのか?をクイズ形式で紹介しているので、チャレンジしてみましょう! Tak石河 GDPR quiz: How will data privacy law affect you? The General Data Protection Regulation (GDPR) is pretty complex and it looks like many firms are still struggling to understand what it means for them, even at this late stage. Many members of the public are none the wiser. So, how well do you understand law…? GDPR法は、非常に複雑で、(GDPRが施行されようとする)この期に及んでも、多くの企業がその意味を必死になって理解しようとしているようです。では、貴方はこの法律をどの程度理解していますか…?) Q1. GDPR is designed to help people protect and control use of their “personal data” But what does that cover? (GDPRは『個人情報』の保護と管理を意図しています。では、『個人情報』を含む範囲とは?) (1) Your name, email address, date of birth and passport number-but nothing else (氏名、メールアドレス、生年月日、パスポート番号。他には無し) (2) All the above plus your bank details, social network posts, medical information and computer IP address-but nothing else (上記(1)に加えて、銀行情報、SNS投稿、医療情報、IPアドレス。他には無し) (3) All of the above and, under some circumstances, images of your face and information about your relatives among other data (上記(1)、(2)に加えて、ある状況下においては、顔写真や親戚・親族に関する情報) (4) Anything and everything you might want to define as being personal to you (『個人情報』と考えら得るありとあらゆる事項) Q2. A free app that relies on adverts to make money has gathered information about you. Under what circumstances can you forbid it to use the data? (広告収入で運営している無料アプリが、貴方の情報を収集しています。どのような状況下であれば、貴方はそのデータの使用を禁止することができるでしょうか?) (1) Only if it is attempting to target you with age-restricted products. such as alcohol and pornography (アルコールや成人向けといった、年齢制限のあるコンテンツを目的とした場合に限る) (2) Only if it is attempting to sell you products that are age-restricted and/or health-themed (年齢制限、又は健康関係の製品を販売しようとした場合に限る) (3) If your personal data is being processed for direct marketing-ie a business promoting its wares directly to you and other members of the public-you will be able to prohibit this issue (貴方の個人情報が、ダイレクトマーケティング―例えば、商品を直接、貴方や一般大衆に販売すること―に使用される場合に、個人情報の使用を禁止することができる) (4) It is no longer legal for apps to use personal data gathered before GDPR came into effect (GDPR施行前に、アプリが収集した個人情報を使用することは既に違法であった) Q3. An online chat service wants access to your location and email contacts and is relying on user consent as the legal basis for this. Can it: (オンラインのチャットサービスが、法的根拠に基づき、ユーザーの同意をもとに貴方の住所とメールアドレスを求めています。どうすればそれは可能ですか?) (1) Do this automatically the first time you open it, so long as it allows you to delete the data afterwards (後からデータを削除可能の場合に限り、貴方がサービスを使用し始めた際、自動的に行うことができる) (2) Show you a pre-ticked box saying you agree to its terms, and then access the data if you don’t deselect it before moving on (「使用前に利用規約に同意します」とチェック済みのメッセージを示せば、貴方がそのチェックを外さずに手続きを進めた場合、(住所とメールアドレスに)アクセスすることができる) (3) Explain how the data will be used, ask you to tick a box to give your consent, and then access the information if you do so (データの使用用途を説明し、ユーザーの同意を仰ぐチェックボックスを提示し、それにユーザーがチェックした場合に、(住所とメールアドレスに)アクセスすることができる) (4) Access the location data with your explicit consent, but not your email contacts as they are other people’s personal data (ユーザーの明確な同意に基づき住所のデータにアクセスできるが、メールアドレスは、他の人の個人情報であるため、アクセス不可である) Q4. Over time you have grown to dislike being part of a social network and decide to quit. Is the app: (やがて、貴方はあるSNSに嫌気がさし、退会したいと思いました。その時アプリは…) (1) Required to tell you how you can order it to delete personal information held about you (貴方に、個人情報の消去の方法を伝えるよう、要求される) (2) Required to have an opinion within its settings to hide all past posts, but can privately hold on to records of your activity up to two years (設定により、「過去の投稿を隠せるが、2年間まではSNS上の記録を個人的に所持できる」ことを伝えなければならない) (3) Compelled to provide a postal address where you can write to inform it of your wish to delete your data, and can charge you up to 100 euros to comply (「個人データ消去の希望と、その要望を無視した場合100€の罰金を科す」旨を記載した書面の送付先住所を提供しなければならない) (4) In most cases, under no obligation to let you close your account or delete any data (ほとんどの場合、貴方のアカウントや一切のデータの消去に関して通知する義務はない) Q5. You are unconscious after a car crash and require a surgery. Your GP can: (貴方は自動車事故に遭い意識不明となり、手術が必要です。貴方の診療医ができるのは:) (1) Only share details about your medical history if you have explicitly given them advance permission (貴方が明確に許可した場合、病歴を伝えることだけ) (2) Only share details if your next of kin or some other person you earlier gave authority to agrees (貴方の近親者か、貴方が認めた他の人に限り、詳細を伝えることができる) (3) Disclosure any details about your medical history they believe is necessary to save your life (救命に必要と医師が判断した場合、病歴に関する如何なる情報をも開示できる) (4) Share nothing beyond what you have already put in the public domain (貴方が公にしたもの以外は伝えることはできない) Q6. A video streaming service emailed you all the personal data it held about you last week, as requested, but you decide to ask again. Can it: (貴方の要求に応じて、動画ストリーミングサービスは、(そのサービスが)所有している貴方の個人情報をメールで先週連絡したばかりです。しかし、貴方は再度その情報を聞きました。動画ストリーミングサービスは…) (1) Refuse to respond the information (情報公開を拒否することができる) (2) Provide the data, but this time charge a fee based on its administrative costs (データを提供するが、今回は管理費に基づき、費用を請求することができる) (3) Share the data, but take up to six months to do so rather than respond within the normal one-month limit (データを示すが、通常の一ヶ月以内の期限ではなく、最高で6ヶ月までその返答を引き延ばすことができる) (4) Send the information, but say this is the last time it will comply (情報を送るが、これで最後ですよと言うことができる) Q7. You lose your wallet. Inside is a scrap of paper on which you had written down your work login and current password. Your IT department confirms that an unidentified party entered your account, giving them access to a file containing the names and addresses of 12 police informants involved in a project you are working on. Is it the case that: (貴方は財布を無くしました。財布の中には、貴方の職場のログインIDと現在のパスワードを記した紙きれが入っています。貴方の会社のIT部門は、不特定の第三者がそのアカウントを使ってログインし、貴方が今取り組んでいるプロジェクトに関わる、12人の警察情報提供者の氏名・住所を含むファイルにアクセスできる状況になっているとの事。この場合は…) (1) If you changed your login details within an hour of discovering this, you don’t need to do anything else (事態発覚後、1時間以内にログイン情報を変更すれば、他に何もすることはない) (2) If you tell your employer, who emails each of the informants that week to let them know of the mistake, the matter can rest (貴方の雇用主にその旨を告げ、また情報提供者全員に過失を連絡すれば、事態は収束する) (3) In addition to alerting informants, your employer must notify the local data protection regulator within a fortnight (情報提供者に連絡することに加え、2週間以内に、貴方の雇用主は、その地域の情報保護の担当者に、過失を通知しなければならない) (4) In addition to alerting the informants, the local data protection regulator must be notified within three days even if that’s too soon to provide all the information they will require (情報提供者に連絡することに加え、72時間以内に、その地域の情報保護の担当者に、過失を通知しなければならない―例え、要求される全情報の通知には猶予が無かったとしても―。) Q8. Your application to work at a restaurant is turned down, and you are told it was rejected by the firm’s artificial intelligence system. What are your options? (飲食店に求職した所、断られました。そしてそれは会社のAIによるシステムにより拒否されたことを告げられました。貴方の意見は?) (1) You can force the decision to be reconsidered even if you earlier gave consent to the use of an automated system (自動システムの使用に、事前に同意したとしても、再考するように強く求めることができる) (2) You can ask for details of the logic involved in the decision and ask a human to reconsider your application (その決断に至った理論的な詳細説明を求め、AIではなく人間に、貴方の応募を考え直すよう伝えることができる) (3) You can demand information about the background and qualifications of the person/people chosen over you (貴方以外に合格した人のバックグラウンドや、条件に関する情報を求めることができる) (4) You have the right to inspect the code used to vet applications (応募を検査する際に用いられた情報を調査する権利がある) Q9. You decide to quit membership of a gym chain to join a rival. Must the original gym: (あるジムを退会し、競合他社のジムに入会しました。前のジムがしなければならないことは…) (1) If you request it, give you an electronic copy of any personal data you shared with it in a form that can be entered into the new gym’s system (貴方の要求に応じて、新しジムの入会に必要な様式で、赤なる個人情報の電子媒体でのコピーを提供しなければならない) (2) If requested, give you any data it holds on you, but in a proprietary file format that can only be used its own systems in case you rejoin later (貴方の要求に応じて、如何なるデータも渡さなければならないが、再入会目的のみで用意された、ジム指定の形式でのデータ提供となる) (3) Delete any data it holds on you but is under no obligation to give you a copy (如何なるデータも消去しなければならないが、そのデータのコピーを提供する義務はない) (4) Provide a single printed copy of the processed personal data it held on you within 28 days of receiving a request but no more (貴方の要求後28日以内に、加工された個人データの、印刷されたコピーを1部提供しなければならないが、それ以上のことをする必要はない) さて、何問分かったかな? アメリカ人同僚 盟友Liam 解答編はこちらです! Tak石河
GDPRの具体的な内容とは?
GDPRの違反金がヤバすぎる
GDPRを理解するためのクイズに挑戦してみよう!
Q1. GDPRで記載されている『個人情報』の含む範囲とは?
Q2. アプリが収集している個人情報をどうやったら使わせないようにできる?
Q3. オンラインのチャットサービスが、利用者の個人情報を求める時は…
Q4. SNSを退会しようとした時に、個人情報を消したいのですが…
Q5. 緊急手術が必要です!その時個人情報は…!?
Q6. 動画ストリーミングサービスに個人情報の問い合わせが何回も…その時サービス提供元は?
Q7. 重要な情報の入った財布を無くしてしまいました!
Q8. 飲食店の仕事の応募をAIに落とされました
Q9. 退会したジムの個人情報を、新しいジムへと引き継ぎたいのですが…