# GDPRについて
# GDPRの概要
2018 年 5 月 25 日、EU は "一般データ保護規則" (GDPR, General Data Protection Regulation)を発表しました。. GDPRは史上、最も厳しく、個人情報を保護するための詳細なルールを定義した規則です。
日本企業の海外への事業展開のニーズがますます加速する中、日本企業はGDPRに則ったデータ収集、加工、使用などを行う必要があります。
GDPRは主にEU内のユーザーの個人データを保護しており、EU内のユーザーに提供されるアプリやサービスは、GDPRを遵守しなければなりません。
GDPRは「データ管理者(データコントローラー)」と「データ処理者(データプロセッサー)」の2種類の役割が定義されています。シンキングデータ株式会社は提供するThinkingEngine (略して TE システム) のプロバイダーとして、多くの場合、「データ処理者(データプロセッサー)」であり、お客様は「データ処理者(データコントローラー)」となります。どちらのタイプの役割も GDPR の対象です。当社の製品を使用する場合、お客様が GDPR コンプライアンスを達成し、潜在的なリスクを回避できるように最善を尽くします。
データ管理者として、お客様はGDPRに規定された6つの原則を遵守する責任があります。以下の原則を遵守しない場合、処罰の対象となります。
- 合法性、公平性、透明性: 個人データを合法的、公正かつ透明な方法で処理する必要性
- 目的の制限: 収集されたデータは、限られた目的にのみ使用できます
- データの最小化: 必要かつ意味のあるデータのみを収集する
- データの正確性 (accuracy): データは正確かつタイムリーである必要があり、不正確な情報を更新および削除する方法を採用できます
- 保管の制限: データは処理目的終了後にクリーンアップされる必要がある
- データの完全性と機密性: データストレージのセキュリティを確保し、不正なデータアクセスを防止し、データの破壊や紛失を防止する必要があります。
また、利用者の以下の権利を保証するものとします。
- 通知を受ける権利: データ管理者は、データ管理者情報、個人データの種類、データ処理の目的、法的根拠などをユーザーに提供する必要があります。
- アクセス権:ユーザーは個人データを取得し、個人データを処理できます
- 修正の権利:ユーザーは、誤った個人データを修正する権利を有します
- 消去する権利:ユーザーは個人データを削除する権利を有します
- 処理を制限する権利: 特定の状況 (データが不正確な場合など) では、ユーザーは自分の個人データの処理を制限することができます。
- データポータビリティの権利: ユーザーは個人データを別のデータ管理者に転送できます
- 異議を唱える権利:ユーザーは、個人データの処理に対する以前の同意を取り消すことができます
- 自動化された意思決定(プロファイリングを含む)の対象外(プロファイリングを含む自動化された処理のみに基づく決定の対象とならない権利):ユーザーは、個人データが自動化された意思決定(ユーザーのプロファイリングを含む)で使用されるかどうかを通知される必要があり、これらのシステムによるデータの使用を拒否する権利を有する。
また、データ収集にはユーザーの同意が必要であり、同意は明確かつ明示的である必要があり、ユーザーは「拒否」に基づいて以前の同意を撤回できることにも注意してください。
シンキングデータ株式会社はプロフェッショナル サービスプロバイダーとして日本企業の海外ビジネスの成長を支援するために、効率的でコンプライアンスに準拠したソリューションを提供することを約束します。以下は、GDPRの中核的な内容に対する弊社の対策と提案です。
# GDPR コンプライアンス対策
# データ取得のコンプライアンスを確保するためのカスタマイズ取得を完全サポート
TA システムは、データ収集側で完全にカスタマイズできるデータ収集ソリューションを提供します。つまり、顧客は、実際のニーズとビジネス範囲に従って、ユーザー情報と行動データの収集を決定できます。また、クライアント SDK、サーバー SDK、データ ドッキング ツール Logbus などを含むがこれらに限定されない、TE システムによって提供されるすべてのデータ収集ソリューションは、上記の原則を完全に準拠し、ユーザーのプライバシーに関連するデータの収集を強制しません。開発者がビジネスニーズのためにユーザークライアントに関連するデータを収集する必要がある場合、ユーザークライアントには、ユーザーの知る権利を確保するための関連プロンプトも表示されます。具体的なデータ収集ソリューションについては、アクセス ガイド (opens new window)を参照してください。
また、「最小限のデータ」の原則を遵守するため、TEシステムが提供するカスタム収集機能を使用して、収集目的が明確な場合に必要最小限のデータセットのみを収集することもお勧めします。
# ユーザーデータの更新、削除、転送をサポート
データ収集の最後に、TE システムはuser_set
、user_delete
指定されたユーザー データを更新および削除するためのその他の方法をサポートします。同時に、enableTracking
クライアントのすべてのデータ レポートを一時停止するメソッドも提供します。このインターフェイスは、ユーザーがデータ収集に同意しない場合に呼び出すことができます。
TEシステムが受信・保存したデータは、TEシステムが提供するデータ削除ツールを通じて、特定のユーザーのユーザーデータと関連するイベントデータを削除することができます.具体的な操作についてはデータ削除ツールを参照ください。
データベース内のデータについて、TEシステムはデータエクスポートAPIなど、さまざまなエクスポート方法を提供します。
まとめると、上記のカスタム収集に基づき、TEシステムは開発者の収集ニーズとユーザーの実際のニーズの変化に応じて、関連するユーザーデータの更新、削除、転送をサポートし、GDPRで規定されている「訂正権」「削除権」「転送権」をユーザーに提供することができます。
# データのライフサイクル全体を透明化、監査可能、高可用性、高信頼性へ
TEシステムは、データの収集、受信、処理、保存、計算、およびアプリケーションを統合するユーザー行動分析ツールであり、データはライフサイクル全体のすべてにおいて透過かつ監査可能です。
TEシステムはすべてのデータ構成要素へのアクセスと操作をサポートすることで、データの生成から応用までのすべてのプロセスを確実に追跡できます。
実際のデータ申請プロセスにおいて、特定の理由により、システムの特定のリンクを監査する必要がある場合、シンキングデータ株式会社は、プロセス全体の透明性を確保するために、可能な限り関連する技術サポートを提供します。
同時に、TEシステムはすべての構成要素の高い可用性と信頼性を実現し、「データの完全性と機密性」の原則に適合するデータサービスとデータ保存の完全性を保証しています。
# その他の提案
シンキングデータ株式会社は、サードパーティデータサービスプロバイダーとして、お客様が製品レベルからGDPRへ準拠できるよう、常にサポートを行っています。同時に、お客様にもユーザーのプライバシーへの配慮を高めていただくことをお勧めします。開発者レベルでは、以下のような対策が提案されています。
A. プライバシーポリシーの作成
製品のプライバシーポリシーを作成し、GDPR 準拠に関する標準条項を含めることを強くお勧めします。これにより、ユーザーは製品のプライバシー保護ポリシーをさらに理解できるようになります。
B. ユーザーの情報に対する権利を保護する
製品において、データ収集の同意を明確に申請し、ユーザーが同意した場合にのみデータ収集が許可されるようにし、ユーザーデータを収集する際に、デフォルトで収集するのではなく、ユーザーに通知することを保証する必要があります。