GDPR 施行フェーズに入って 2 週間、次は?

公開: 2018-06-08

それはついに起こりました。 一般データ保護規則は、最終的に 2018 年 5 月 25 日、ミームなどで施行段階に入りました

GDPR 準備段階に関する漫画

多くの広告主が恐れていたことにもかかわらず、GDPR が施行段階に入った後も、世界は終焉を迎えませんでした。 しかし、それは変わりました。 イラストのクレジット: Teach Privacy

業界は準備ができていましたか? これらの土壇場でのポリシーの更新で十分でしたか? 今、何が起きた? このブログ投稿では、主要なプレーヤーがどのように期限に備えたか、GDPR の施行に伴い何が起こるか、今後コンプライアンスに向けてどのように取り組むことができるかを見ていきます。

最大のプレーヤーへの最初の攻撃

大企業が訴訟の痛みを感じるのに時間はかかりませんでした。 GDPR が施行されてからわずか数分後、プライバシー活動家の Max Schrems と彼の組織である No of Your Business は、「強制的な同意」を主張する訴訟で Google と Facebook を攻撃しました。 訴訟は、特定の同意に関する GDPR 規則の違反を主張しています。これらの企業は、ユーザーが一部の条件に同意して他の条件に同意することを許可するのではなく、全か無かのオプション (このサービスにアクセスするためにこれらの条件に同意する) をユーザーに与えるためです。

これに対し、Google と Facebook は、GDPR に準拠するための適切な措置を講じていると主張しました。

その後、フランスのデジタル著作権グループLa Quadrature du Net がこれに続き、Google、Facebook、Apple、Amazon、LinkedIn に対して追加の苦情を申し立てました。 苦情は Schrems によってなされたものと類似しており、強制的な同意の使用による違反を主張しています。 La Quadrature は、Android、WhatsApp、Instagram、Skype、Outlook に対しても正式な苦情を申し立てる予定ですが、この記事の執筆時点ではまだ正式な措置を講じていません.

Apple、Facebook、Google がどのように準備したか

苦情がこれらの企業のいずれかを本当に驚かせたかどうかを言うのは難しいですが、それらの多くは、施行に至るまでの数日間、一般的な準備の感覚を伝えていました.

たとえば、 Appleは、2018 年 5 月下旬に、保持している個人データを顧客に示す新しい Web サイトを導入しました。 EU の Apple のお客様は、サインイン履歴から連絡先、カレンダー、メモ、写真、ドキュメントまで、このデータの表示を要求できるようになりました。 顧客は、データの修正、アカウントの無効化、およびすべての情報の削除も行うことができます。 (Apple は現在、このサービスを EU 加盟国、アイスランド、リヒテンシュタイン、ノルウェー、スイスでのみ提供しているが、今年後半には他の国にも拡大する予定だと述べている。)

2018 年 4 月、 Facebookはウェブサイトを更新し、利用規約データ ポリシーより明確なバージョン追加しました。これにより、ユーザーは新しい言語に関するフィードバックを提供するための 7 日間の猶予を与えられた後、最終的にユーザーに同意を求めることができました。 Facebook はまた、アプリのコントロールを見直して合理化して設定を見つけやすくすることを明らかにし、「設定を 20 近くの異なる画面に分散させる代わりに、1 つの場所からアクセスできるようになりました」と述べています。

Google、GDPR の期限の 6 か月以上前に GDPR関連の更新を行い、ユーザーに通知したため、最も初期のアクターの 1 つでした。 最も重要な更新は、G Suite と Google Cloud のデータ処理の修正条項とセキュリティ条項に加えられました。これにより、データの使用方法に関する「明確で透明性のある通知」の要件に準拠するために、理解しやすくなりました。 その他の更新には、データをエクスポートするための新しいオプションと機能が含まれます。

今後の予定

GDPR の完全な影響はまだ決定されておらず、部分的には、顧客や活動家グループが新しい権利をどの程度行使するかにかかっています。 2017 年 8 月に英国の消費者を対象に実施されたForrester の調査では、回答者の 51% が、GDPR の下で新しい権利を行使する可能性が少なくともいくらかあると述べています。 ただし、最も一般的な例はデータの削除であり、本格的な訴訟には程遠いものでした。

しかし、この新しい規制の最大のポイントは、より多くの消費者が企業を精査しているということではなく、より多くの企業が他の企業を精査しているということです. GDPR は、個人データに触れるすべての関係者に責任の共有を義務付けているため、企業はビジネス パートナーのプロセスと行動をより深く精査しています。 これこそが GDPR の真の天才であり、データ コンプライアンス ヨーロッパのディレクターである Simon McGarr 氏は最近の Quartz の記事で次のように説明しています

「ヨーロッパには多くのデータ保護機関がありますが、すべてのドアをノックするほど十分ではありません。 そのため、彼らは法律に組み込まれた複数レベルのコンプライアンス構造を持っており、最終的には大企業が小規模企業にコンプライアンスを強制することになり、その後も同様です。」

5 月 25 日以降、期待していたよりも準備が整っていない企業は、すでにビジネス パートナーからのプレッシャーを感じている可能性があります。 このような状況にある人にとって、最優先事項は、機密情報を扱うリスクの高い領域に対処することです。 企業は、機密データを保護し、データがどこに保存されているか、誰がアクセスできるかを調べることに集中する必要があります。 重要なことは、計画を立てて、できるだけ早く (そして正確に) 実行することです。

準備を整える

最終的に、GDPR は、プライバシーと透明性に関しては競争の場にも役立ち、以前は閉ざされていたコミュニケーションへの扉を開きます。 企業として、会話を続けるためにできるいくつかのステップを以下に示します。

データが法的にどのように処理されるかを評価する

エンドユーザーの同意を得ていますか? それは具体的で、明確で、自由に与えられていますか? あなたのエンドユーザー体験はこれを明確にしていますか? データを収集、処理、保存する正当な利益がありますか? それぞれの質問に「はい」と答えられない場合は、一歩下がってください。

必要なすべての通知を更新する

現在のプライバシー ポリシー、通知、またはエンド ユーザーに提供するその他の情報を確認しましたか? これらは収集時点での重要な通知ですか? データの収集、使用、および保管をエンド ユーザーに対して透過的に保つために、すべてのプライバシー通知の見直しが必要になる場合があります。

データ アクセス、修正の権利、忘れられる権利のプロトコルを採用する

これらの原則により、エンド ユーザーは古いまたは不正確な個人データを修正し、処理から完全に削除することができます。 そのような要求に適切に対応するために、内部ポリシーと手順を実装および維持する必要があります。

仮名または匿名データを使用する

データの匿名化または仮名化により、一意の識別子を削除または制限することを検討してください。 一部の手法には、ハッシュ、ソルティング、暗号化、およびトークンの使用が含まれます。 これにより、エンド ユーザーが将来特定される可能性を最小限に抑えることができ、コンプライアンスの義務を最小限に抑えることにも役立ちます。

TUNE と GDPR の詳細については、こちらのページをご覧ください