※この記事は、2016 年 7 月 27 日に 米国 AvePoint のブログに掲載された“Proper Notice, Choice, and Purpose Limitation: Keeping it Clear and Simple within GDPR Obligations” の編訳となります。
企業は、EU の一般データ保護規則 (GDPR) で定められた義務として、顧客に対し、データ収集の目的に関する明確な通知を行うことを求められています。また、与えられる顧客の合意は 「自由な意思に基づき、特定のものであり、情報に基づき、かつ不明確でない (freely given, specific, informed and unambiguous)」 必要があるとしています。
企業・組織が正確に理解しておくことがきわめて重要なこの要求は、「通知」 と 「オプトイン」(選択) の二要素に大別することができます。
「明確で簡潔、理解可能」 な通知の重要性
プライバシー通知とは、データの所有者に対し、企業・組織がどのように個人情報を収集・使用・保存・公開を実行するかを定義した声明を意味します。
しかし残念なことに企業・組織のプライバシー通知は、法的義務を果たすためだけに法務関係者によって書かれた、何ページにもわたる長々とした文章で、ほとんど誰にも理解できないようなものであることがほとんどです。
ほとんどの人は、 「最後にきちんとプライバシー ポリシーを読み、内容を理解してから 「承認する」 ボタンをクリックしたのがいつだったのか、さっぱり思い出せない」 のが実情ではないでしょうか (私も同罪ですが)。これでは、プライバシー ポリシーのせいで、地球上に大量の嘘つきが溢れることになってしまいかねません。
しかし、プライバシー ポリシーは 「明確で簡潔、理解可能」 である必要があると定めている GDPR の導入で、この状況も変化を迫られています。
プライバシー通知は、最低限の教育しか受けていないかもしれない利用者にも、明確かつ効果的に、複雑で重要な情報を伝えるものである必要があります。顧客にしっかりと内容を理解してもらうことで、企業・組織は時間・出費を節約することが可能になるという追加効果も期待できます。
GDPR の文脈で 「オプトイン」 とは何を意味するのか
オプトインとオプトアウト
「オプトイン」 とは、「顧客が積極的に許可するか、要求するかした際にのみ、情報の共有が実行可能となる」 という考え方です。
これに対し、「オプトアウト」 とは、「企業・組織が顧客に対し、顧客が情報を共有することを選ぶと仮定したうえで、自分自身に関する情報の開示を拒否する機会を与える」 ことを指します。この場合、顧客は選択を変更するためのアクションを取る必要があります。
言葉を変えて言えば、「オプトアウト」 のシナリオでは、顧客が自分の情報のすべてを共有することに合意することが既定となります。もし情報共有をしたくない場合は、積極的に 「情報を共有しないでほしい」 と企業・組織に伝えるという行動を起こす必要があります。
組織・企業がすべきこと
この要求について企業・組織がしっかりと理解することは非常に重要です。どのように情報を収集するか、どのように情報を収集する目的について記録するか、どのように情報を保存・使用・共有するかなどについて、直接影響してくるからです。
例えば、企業が顧客に対して技術的サポートを提供する目的で顧客データを収集する場合は、収集の理由を明確に示す必要があります。
データの持ち主である個人などの主体が、自分自身のデータをその目的のために使用することに積極的に同意する必要があります。
収集されたデータの使い道と 「目的の限定」
企業・組織がデータを取得しても、使用に関して顧客から明示的な許可を限られた対象に関して付与されている場合を除き、データを使用できるのは、限定的な目的に限られます。
情報システムに顧客のデータを保存する場合は、例えばメタタグなどを使用して、その事実を明確にしておく必要があります。これは、他のデータと混在してしまい、定められていない目的のために使用されてしまうことを防ぐためです。
これは、サードパーティー (第三者機関) と顧客データを繰り返し共有する企業・組織にとって特に重要です。中でも、共有が元来のデータ収集の目的と異なる場合は最大限の注意を払う必要があります。
また、一定期間以上データを収集し、その後買収や合併などの対象となる企業・組織にも、対応が要求される可能性があります。
オプトイン要求の存在は、例えば 「特定の個人がサード パーティーへの情報共有に同意した」「個別の目的のためにデータが使用されることに同意した」 など、数層にわたる同意のメカニズムを多くの企業・組織が作成する必要があるということをも意味します。
多くの企業・組織が、Web サイトやインターネット ポータルを使用してデータを収集している (そして同意を得ている) ため、オプトイン・オプトアウトを導入するためには、現在使用されているメカニズムの大幅な見直しが必要となることが予想されます。もちろん、対面をはじめとする Web ベース以外の方法で情報収集・同意の確認をする場合も同様です。
GDPR に備えるためにやっておくべきこととは
既存のプライバシー ポリシーを見直す
GDPR では、要求事項に合致するポリシーを作成することだけでなく、作成したポリシーを運用可能にすること、これらの準備を行ったことを証明することも求められています。
顧客が実際に読んで理解できるような、明確なプライバシー ポリシーを作成しましょう。
データを提供するかどうかの選択肢を顧客に与える
自社が顧客からどのような情報を要求/収集しているのかについて明確に示し、収集したデータについては、その目的のためだけに使用することを明示しておく必要があります。
また、情報を提供するかしないかの選択を顧客に与えることも重要です。以上のことから、情報取り扱いに関するセキュリティ ポリシーを、単なる運や偶然に影響されるようなものではなく、しっかりと管理のできるものにしていくことが必要です。
AvePoint Compliance Guardian
AvePoint Compliance Guardian は、コンプライアンスに対応した移行、SharePoint および Office 365 での権限管理自動化・レコード保持自動化などが可能になる情報管理・保護ツールです。
AvePoint Compliance Guardian で実行可能なデータ分類機能の詳細については、こちらでご確認ください。
