GDPR準拠のプライバシーポリシーで気をつけるポイント
今日利用規約の改訂でLegalと議論したんだけどまぁーめんどくさい。GDPRの準拠が必要だからと言うことで、いくつかのポイントで議論上がったんだけど、これからのクラウド事業者は大変だなと思う内容がたくさんだった。いくつかピックアップする。
1) データポータビリティー・削除権
データを受け取りたいと言う提供者の申し出に対して、一般的に可読な形式で取得できるように準備しておく必要がある。また、もし他のデータ格納サービスがあればそこに転送する要求にも答えなければいけない。1ヶ月以内の対応
削除権は「忘れられる権利」と言われ、要求があれば完璧に削除し、その削除証明をしなければならない。
「日本企業の従来型プライバシーポリシーには、データ主体にアクセス権・訂正権があることについては記載があったかもしれませんが、消去権・ポータビリティ権といったものについては、記載がなかったのではないでしょうか。」
上記にあるように、削除した後のその証明の準備をすることが企業にとっては結構大変だと思われる。また、万一移送の要求が出た時にはどうすればいいのか、一般化された知見はない。
https://www.cloudsign.jp/media/20180523-gdpr-privacypolicy/
2) データの保管期限
GDPRにはデータの保存を目的に則った必要最低限にすることを原則とする。もちろん、プライバシーポリシーでは利用目的と利用情報を明示するには当たり前。と言うことは、例えば契約が切れたクライアント・フリーアカウント後の企業のデータは一定期間の後で削除することを宣言しなければならないと言うことだ。
この仕組みを取っている企業はどれだけいるだろうか?(と言うか日系企業でもこの原則に触れている企業ほとんどない。)
3)データの正確性に関して
データが正確性を有していない場合に、何かの役にたつかもとその情報を再利用することは許されない。目的に合わせてその都度最新の同意を得る必要が訴えられている。Eコマースはいいとして、ATSとかデータベース系は、企業の任意の情報利用に対して事前に候補者側に確認が取れないので正確性に対して担保されないまま使われる場合がある、この時ベンダー側は責任が取れないが、罰せられる可能性がある。
正直、これらについて、原則だけ先にできたから実務ではなんとかして感が強い。が、どうすれば正解なのか、ぶっちゃけ決まっていないことがビジネスモデル次第ではありすぎる気がする。実務にあたる法務の身にもなってほしいなぁ。。。
▽準拠すべき7つの原則について