基本的に識別しうる個人のあらゆる情報です。名前、住所、メールアドレスは個人の識別子そのものですから、個人データに該当するのは当然ですね。「IPアドレスは個人データか?」という質問を受けますが、個別に考えるより、ある人が特定・識別されるかという観点から考えるべきです。
例えば、会議で発言した内容を議事録にとり共有するとしましょう。誰が、いつ、どんな発言をしたかという情報は、個人データになります。漏えいしたり、利用できなくなれば、関係した個人にリスクを与えるかもしれません。そのような可能性があるなら、それは個人データなのです。
── Cookie(ユーザー設定に関する情報保持のため、WebサイトがユーザーのPCに保存する小さなファイル)も個人識別子になりますか。
ご存じのように、Cookieは個人識別というよりブラウザを特定する識別子です。ですが、登山が好きな人は山に関するWebサイトを、音楽が好きな人は音楽に関するWebサイトを頻繁に訪れることで閲覧履歴が蓄積されていくと、そこに1つの人格が浮かび上がってきます。そのような閲覧履歴を利用した広告提供は、個人ターゲットの色合いが濃くなり、購買行動などに大きな影響を及ぼします。
スマートフォンなど非常にパーソナルなデバイスの場合、その人の性格や趣味、人に知られたくない性癖を暗示する広告さえ表示される可能性があります。従って、欧州委員会では、Cookieも個人データとして扱うべきだとしています。
GDPR以前は、本人の求めに応じて停止するという「オプトアウト方式」が一般的でした。GDPRでは、同意を根拠とする場合は、Cookieや個人データ取得の開始前に、同意を求めるという「オプトイン方式」です。すなわち、初期状態では個人データやCookieを取得してはならないということです。
何の目的で、いつまで使うかといったような情報を提供し、関係個人の同意があった上で実際の処理を開始できることになっています。5月以降、WebサイトにおけるCookieの利用や、ユーザーに見えない形の個人データ処理について、明確な同意を求めるサイトが増えました。
── 特に影響を受けた業界はどこでしょう。
一番慌てふためいて対策に奔走しているのは広告業界ですね。前述したように、GDPR以前はオプトアウト方式が通常でしたが、施行後は関係個人から先立って同意をとらなければならなくなったからです。
オンライン広告は、パブリッシャーであるWebサイトの広告スペースの後ろにアドテクノロジー企業がいて、Cookieなどを利用して集めたブラウザごとの閲覧履歴を参考に入札のようなことが行われ、表示される広告が決まるといった、洗練されたシステムが構築されています。ところが、システムを動かす前に、そのようなCookie処理についてちゃんと説明して同意を得る義務が生じてしまった。
これまでは黙ってやられていたので気にしなかったことも、あなたの閲覧履歴を利用させてくださいと改めて聞かれると、同意しない人も多いのではないでしょうか。自分の閲覧行動が追跡されることを気持ちよく思わない方々もいるでしょうから。
ヨーロッパの広告業界で大きな影響力を持つ、オンライン広告の規格策定や法整備などを行う米IAB(Interactive Advertising Bureau)がいち早くこの変化に気付き、広告エコシステムが共通して利用できる同意管理のフレームワークのようなものを標準化しようと取り組んでいます。
── グローバル企業、旅行代理店などEU域外に個人データの移転を余儀なくされる会社はどうすればいいですか?
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR