好奇心

直感・閃き・気になる事探究を楽しむ

知らなきゃ怖い?GDPR個人情報保護法

あらゆるソーシャル・クラウドでサービス提供している企業のプライバシーポリシーがGDPR施行に伴い新しくアップデートされたのだが、GDPRとはなんぞ?プライバシーに関する何か?大きな変化かな?と調べてびっくり・・なるほどそういう事か( ̄ー ̄)ニヤリ
GDPR

GDPR(General Data Protection Regulation)とは?

EU(欧州連合)では2018年5月25日付けで、新たなデータ保護規則(略称GDPR)が施行された。GDPRは、消費者の個人データの管理を強化することを目的にして、新たに制定された一般データ保護規則という法律で、ヨーロッパにおける守秘とされる権利なので・・
ヨーロッパ在住者のみ該当する模様(;´・ω・)

巨額な制裁金と厳しい行政罰を伴う法律

このGDPRは個人情報の取り扱いに関して、巨額な制裁金と厳しい行政罰を伴う適用を実施するという事なので、今まで、あらゆるサービスから紐づけて個人情報を収集し共有していたフェイスブックやソーシャルサービスなどのビッグデータを売買する企業も、今後は軽々しく個人データを取り扱う事が難しくなる模様
そのため、各SNSやクラウドを使って情報共有するサービスは新たにこのGDPRに準拠したプライバシーポリシーを改定して付け加えたという動きのようだ
私が利用しているサービスも結構通知がきているので今回気になって調べたという経緯
GDPR
gdpr
※ちなみに規約を読ませようとしてhttpに誘導するフィッシング詐欺メールもくるので注意(-_-;)
この新たに施行されるGDPRの対象とする「個人データ」はかなり広い
名前、写真、メールアドレス、銀行の詳細、SNSの投稿やウェブサイトの更新情報、場所の詳細、医療情報、コンピューターのIPアドレス、生体遺伝子情報、思想信条、入れ墨
これらに至るまですべて含まれ、それを悪用しようとする企業や個人がいた場合、厳しい罰則付きで制裁が加えられるという事らしいが・・その制裁金は日本円にして最大26憶円(企業の場合)とも専門家がどっかで書いてた
凄いね(;´・ω・)ただし、個人情報が守られるのはヨーロッパ在住の方に限る
(;´・ω・)IPアドレスやメルアド,WEBの更新情報も個人情報って事は・・コンテンツパクリは悪用って事に該当するかもな・・でもAI搭載の機器で個人情報を収集しているのは問題じゃないのか?と調べたら・・

ITフレームワーク事業者の強み

色んなニュースサイトや考察サイトを読み解いていくと、どうやら力関係で言えば、企業にITフレームワークを提供しているGoogleのようなIT企業ほうが優位なポジションにいる模様

  • 情報に紐づく個人である「データ主体」
  • 個人データ処理の目的や手段を決定する「管理者」
  • 管理者を代行して個人データの処理を行う「処理者」

データの扱いに関して、3つの策定がある模様
個人情報を扱ってビジネスをしたい企業「管理者」は、サービス利用者の同意を得て「データ主体」のプライバシーポリシーを準拠する・・が使うためのソフトウェア、システム環境を提供しているGoogle等のIT企業は「処理者」という形で間接的に個人情報を取り扱う可能性があるとの事
※処理者と管理者どっちかわからんけど2か所でデータ扱える模様
例えばAIを組み込んだ機器を企業が販売し、ユーザーがそれを利用する企業に対し、同意をするのだが、仮にGoogleが提供する環境・広告やネットワークシステムを利用させる条件として、Googleを個人データの利用を代行できるようにしなさい!
・・嫌ならサービスやシステムは使わせないよ?(・∀・)ニヤニヤ
というエンドユーザーライセンスでユーザーからの同意を組み込む事も可能かもしれない
(個人本人の同意があればOK)
企業はITフレームワークを利用できないとビジネス展開が難しい・・という関係性になれば・・結局一番個人情報を利用している巨大企業がGDPRをうまく回避する事ができてしまうだけという事が懸念されるので、GDPRがあまり意味がない?ような気もするが(;´・ω・)うーむ
という訳でまとめると・・

  1. GDPRという新たな法律は【ヨーロッパ在住の個人情報を守るための法律】で強い罰則付き
  2. グローバルにサービスを展開する企業はプライバシーポリシーとして盛り込む必要がある

EUという事と個人情報に生体遺伝子、医療記録、銀行の詳細って含まれている事から、マイクロチップでのキャッシュレス化に関するためのものだと思うけどね。日本が思う以上にキャッシュレス化だけでなく、セキュリティ利用等が当たり前になってるみたいだし
参照:現金が消えた国?スウェーデンで見た財布とスマホ
そう考えてみると、企業のサービスに対する支払い方法に【一元化した個人情報】を利用するため、銀行などの支払い情報だけをわけて管理する事ができないという事から、その個人のあらゆる情報(本当は必要ないんだけど・・)を管理しなければいけなくなってしまったという事なのかもしれないけどね。
日本で言えば、マイナンバーにあらゆる情報が統一された場合、同じようなスタイルのプライバシーポリシーが出来上がる可能性もあるね(マイナンバーはさすがにないだろうけど(-_-;))

もしかしてGDPRの本当の狙いは危険思想のあぶりだし?

GDPRによって情報の取り扱いのルールが変わったという事をまず前提に考えてみよう

  • 企業はGDPRに準拠しEU在住者のあらゆる個人情報の保護、情報漏えい対策をしっかりとする
  • SNSなどのITフレームワークを提供する企業(Google等)は間接的に個人情報を取り扱いできる権利を持つ可能性がある

これが大まかにおけるサービスを提供する企業に求められたGDPRで
個人情報を守りながら不正ビジネスへの抑止力として主にビジネスに対する法律
でも守る対象というのがEU在住の個人であるという事
個人は変わらず今までどおりSNSなどの情報共有サービスは利用できる
SNSやWEBサイト、ブログは世界規模で個人レベルで情報をシェア、発信できるが
そこに新たなルールとして、EUの情報については気軽に発信できなくなる可能性がある
例えば何か世界規模の事件などが起きたとしても
ニュースやWEBメディアでは、個人に関わる情報は一切取り扱われない可能性がある
しかし人の口に蓋ができない
例えば、日本でもそうだけど、近場で火事があったら、動画を撮影したり、有名人が泊まってるホテルの場所をシェアしようとする行為。GDPRに準拠した企業ではなく、その企業が提供するサービスを利用するユーザー個人が、伝えてはいけない情報などをシェアするのは防ぎようがない
個人情報の範囲が広すぎるため、名前や住所はもちろん、誰が所有するビルがどこにあって、何がどう起きたのか?という個人を特定するに至る情報をWEBで共有し探る思想、行動はすべて罰則付きの監視対象になる可能性がある
つまり、まとめるとこうなる
ヨーロッパ関連で何かが起きても気軽にSNS等に書き込まない事
Youtubeとかで動画が出回っても気軽にシェアもしないほうがいい
罰則付きで個人情報を守るという事は違反者を特定するって事
(;´・ω・)キジも鳴かずば撃たれまい・・

ソーシャルメディアの悲劇・・キジも鳴かずば撃たれまい

※あくまで考察の記事なので、ちゃんと理解したい人は自分で法律調べてください。

日本国内でも個人情報保護法改正 2017年5月30日から全面施行

詳しく見てたら頭痛くなってきたので、ざっくり

  1. 現行法では対象外だった5,000人分以下の個人情報を取り扱う小規模な事業者も改正法が適用
  2. 個人情報を取得する場合は、あらかじめ本人に、利用目的を明示する必要がある。
  3. 個人情報を、他企業などに第三者提供する場合は、あらかじめ本人から同意を得る必要がある。

小規模な事業者としてなんらかのサービスを提供している人はチェックしておいたほうがいいかも
EUのGDPRと違うのは、日本の個人情報保護法改正には罰則や罰金の抑止力が弱いという点
以下は、企業・団体が追う個人情報漏えいや第3者利用が発生した場合のケース

直接的な損害が発生した場合

  • 刑事罰:6か月以下の懲役または30万以下の罰金
  • 民事訴訟:1人あたり数千~数万円の賠償

間接的な損害が発生した場合

  • 信用低下:信用が下がり、取引停止等
  • 復旧コスト:システムの検証、社内エンジニアの工数増加、外注費発生
  • 業務効率低下:殺到する問い合わせへの対処

なんていうか・・個人情報が漏れた所で、罰則の重さがEUのGDPRと比べものにならないほど低いし・・グローバル企業が展開するITサービスを利用した場合、GDPRと同様、あらゆるデータを収集される事は一緒であっても、個人情報がどこまで守られるという明確な範囲もないのがね(;´・ω・)現行法では対象外だった小規模ビジネスが含まれるという範囲が広がった感じかな

LEAVE A REPLY

*
*
* (公開されません)

Return Top