GDPRに関するQ&A
GDPRに関するQ&Aをご案内いたします。
Q1.SPIRAL ver.2 は、GDPRに対応していますか?
A1.GDPRにおける個人データを扱う立場について、スパイラルを利用した場合、以下のような立ち位置になると考えております。
データ主体:エンドユーザ / 管理者:スパイラルユーザ / 処理者:当社(スパイラル株式会社)
※1:スパイラルユーザー自身が処理を行う場合は、管理者だけでなく処理者としての役割を担います。
当社では「処理者」として、管理者(スパイラルユーザー)にスパイラルを提供するにあたって、国内諸法令および利用規約に基づいてシステムを厳格に管理し、不正なアクセスおよびコンピュータープログラムの紛失、破壊、改ざん、漏洩等の危険に対して、技術面および組織面において合理的な安全対策を講じています。
また当社では、SPIRAL ver.2 ユーザー「管理者」として、GDPRの要求事項に対応する場合において必要となる機能を提供し、その対応を支援しております。
Q2.GDPRの施行により、何か対応する必要はありますか?
A2.まず、GDPRの適用の対象となるのかを確認します。
GDPRはEEA(※2)(以下「EEA域内」と記す)における個人データ保護に関わる規則ですが、以下のような場合、日本国内企業であってもGDPRの適用対象になる可能性があります。
(1) EEA域内に子会社、支店、営業所を有している企業
(2) 日本からEEA域内に商品やサービスを提供している企業
(3) EEA域内から個人データの処理について委託を受けている企業
※2:EEA(欧州経済領域)…EU加盟国 27か国 + 3か国(ノルウェー、アイルランド、リヒテンシュタイン)が加盟する、欧州における共同市場およびその枠組み。上記に当てはまる、または当てはまる可能性がある場合はGDPRの要求事項を満たす対応が必要となります。
個人データを扱う管理者として、データ主体の権利を確保するために必要な対策や、体制の整備をすることが望ましいと考えます。
GDPRの要求事項について詳しくはこちらをご覧ください。
Q3.英語版の問合せフォームを運用していますが、GDPRの対象となりますか?
A3.EEA域内における個人データが登録される可能性がある場合は、GDPRの適用対象になる可能性があります。
Q4.日本とEEA域内と両方に拠点があり、EEA域内で取得した個人データを日本側で閲覧することはGDPRの適用対象になりますでしょうか?
A4.EEA域内で取得した個人データを日本で閲覧するだけであっても域外移転にあたるため、GDPRの適用対象となりますので、EEA域内で個人データを取得する際に、明示的な同意を取得すれば日本でも閲覧ができます。
Q5.自社のホームページで個人データを取得する場合、具体的にどのようにデータ収集をすればよいのでしょうか?
A5.お問い合わせフォームなどで、個人データの収集をしている場合は、チェックボックスを設置し収集した個人データの利用目的やプライバシーポリシーを記載の上、事前に同意を得ることが望ましいと考えます。その際にプライバシーポリシーを見直すことを推奨いたします。
Q6.メールマガジンやキャンペーン登録フォームでシステムを利用していますが、登録フォームに使えるような規約のひな形はありますか?
A6.規約のひな形となるものはございません。
当社でも日本貿易振興機構(ジェトロ)が発表している「EU一般データ保護規則(GDPR」に関わる実務ハンドブックを参考にし、見直しを行っております。
【参考URL】
https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf
※注意:あくまでも参考情報としてください。
最終的には貴社法務部と規約の見直しをしていただくことを推奨いたします。
Q7.「個人データ侵害時の監督機関への通知」は具体的にどこへ通知したらよいのでしょうか?
A7.EEA域内に拠点が存在する場合はその拠点が所在している国の監督期間への通知が必要となります。EEA域内に拠点がない場合は、取り扱う個人データが最も多い国のデータ保護機関が窓口となります。連絡先の詳細は以下をご確認ください。
【データ保護機関一覧】
http://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
Q8.日本国内で取得した名刺の記載の住所情報がEEA域内の場合は、GDPRの対象となるのでしょうか?
A8.名刺交換で取得した情報であってもEEA域内の居住者であれば「個人データの取得」にあたるためGDPRの対象になります。
Q9.メルマガ配信やDM発送などを業務で行っている明示的な同意の取得は必要なのでしょうか?
A9.個人データの「域外移転」に関しては同意を取得する必要はありませんが、メール配信やDM発送などの「処理」を行う場合は、明示的な同意を取得する必要があります。
Q10.メルマガ会員から電話でメルマガ会員を退会したい連絡がありましたが、運営側で会員削除をしてもよいのでしょうか?それとも削除方法の提示をするだけでよいのでしょうか?
A10.現状されている運用にもよりますが、削除の場合は本人確認を実施する必要がありますので、本人にご対応いただくことを推奨しております。
Q11.名前や電話番号・住所などの情報は削除し、会員IDのみを扱う場合は匿名データとして扱うのでしょうか?また、匿名データはGDPRの対象でしょうか?
A11.いいえ、上記の場合は匿名データではなく、仮名化データです。匿名データはGDPRの対象外ですが、仮名化データはGDPRの対象です。
Q12.日本に本社がありEEA域内に支社ある場合は、支社の従業員データはどのように扱えばよいでしょうか?
A12.支社の従業員に対して、明示的な同意を取得していただくのが望ましいです。
Q13.顔写真は個人データですか?
A13. 顔写真も個人データです。
Q14.EEA域内に旅行中の日本人がECサイトの問い合わせフォーム(全て日本語)から日本の住所情報を登録した場合はGDPRの対象になりますか?
A14. 現在在住している場所がEEA域内である場合は、GDPRの対象となる可能性があります。
Q15.SPIRAL ver.2 に不正アクセスが発生した場合、スパイラル株式会社は処理者としてどこまで対応していただけるのでしょうか?
A15. 障害により情報が漏洩した場合は、当社利用規約の第25条および第31条に従い対応いたします。但し、当社から管理当局へ通知することはございません。
Q16. 英国はGDPRの対象になりますか?
A16. 2020年2月1日(英国時間1月31日)に英国はEUを離脱しましたが、英国の法律に沿った対応が必要です。日本側においては、EUに対して行った個人情報保護法第24条に基づく指定をEU離脱後においても英国に対して継続されます。英国においても個人情報の取り扱いについて慎重に対応する必要があります。個人情報の取り扱いについては各国の取扱いルールが優先されます。
詳細は、「英国のEU離脱について|個人情報保護委員会」をご覧ください。
【参考URL】
個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール