GDPR はめんどくさい
個人情報の重要性
個人情報の漏洩が問題視される近年。 代表的なものとして Facebook の個人情報の漏洩が記憶に新しい。 政治にまで影響を与える個人情報。 非常に世界が敏感になっている。
そんな中、ネット越しの相手まで罰する法律ができた。
GDPR
General Data Protection Regulation。
EU が 2018年5月25日から設ける規則。
EUとしては各国がバラバラな基準で取り締まることが難しかった。 それをなんでもいいので無理やり統一したのがこれ。
厳罰化された個人情報保護法というとかなり雑になるがほぼそれである。 大企業でなくても個人情報の漏洩を行うと漏れなく罰せられる。 場合によっては、データ保護責任者が必要になる。 まぁいわゆる既得権益のための厳罰化である。
主な規制の対象は、日本でも個人情報として扱われる。
- 氏名
- 国家が発行した識別子
- パスポート番号
- 運転免許証
- 年金番号
- …
これに加えて、
- 所在地
- 他の識別子
- 広告ID
- 端末識別番号
- メールアドレス
- IPアドレス
- クッキー
- クレジットカード情報
- 生体認証情報
- …
本人だとわかる情報はことごとく対象となっている。 とはいえ、まだまだ調整中の段階だろう。
また、EUの外へ情報を出すことが基本的に禁止になる。 非常にめんどくさいのである。
こんなことをしていたら企業が疲弊する。
対策
シンプルな話をすると、EUにサービス提供しなければよい。
もし、やる場合は、EUの一定要件を満たす必要がある。 ルールとしては、企業の情報・利用目的、第三者提供について・保護期間等を明瞭に提示する必要がある。 また、上記の提示する必要がある情報を明確に提示してユーザーの同意を得たり、さらにそれを撤回することができるようにする必要があるのでよく調べること。 さらに、間接的に取得した情報は入手先を本人に通知する必要がある。
例
例を挙げると、
ファミリーマートでTカードを提示して買い物したら、知らないうちにCCCに情報が集約されていることがないように、CCCが何かしらの方法でユーザーの同意を得て、ファミリーマートから情報を受け取ったことを通知し、何のために情報を取得し、いつまで利用するのかを説明する必要がある。
「Tカードをファミリーマートに提示 = ユーザーの同意」が成り立たなくなる。 (明確な方法による同意ではないため。これが明確な方法になるんだったら正直なんでもありだ。)
制裁金
日本の個人情報保護法なんて比べ物にならないくらい多額になるようだ。
感想
アメリカと中国の規制合戦が起きている裏で、もっとひどい規制が施行されようとしている。 日本にしてみれば今のところEUに認められていないので害でしかない。
今からでも遅くない。 EUに所在する人の個人情報を全部捨てれば何も考えなくて済む。 収益の要でなければ撤退するのが望ましい。