2018/07/04

プライバシー・法規制(GDPR等)

「忘れられる権利」- 欧州委員会のGDPR対応

運命の皮肉といいましょうか、欧州委員会が数日前に施行されたGDPRの最初の犠牲者の一人となりました。ニュースによれば、欧州委員会は、EU域内のデータ主体の同意を得ることなく、氏名・メールアドレス・住所などを含む個人情報を掲載したいくつかのスプレッドシートをWebサイト上に公開していたとのことです。

この事件の原因は現在調査中で、欧州委員会はこのスプレッドシートの公開を取り止めるとのことですが、欧州委員会はGDPRに準拠する必要はないとのことです。この根拠が通用するかどうかは時間とともに判明するでしょう。一方で、欧州委員会の評判は好ましいものではありません。

GDPRへの対応を進めていくにつれて多くの企業が直面する大きなチャレンジ、すなわち、データ主体の削除要求権にどのように対応するか、ということについてみていきます。

削除要求権101

GDPRのArticle 17において、個人は、要求に基づいて、あるいは一定期間アクティブでない場合に、自身の個人データを削除される権利を有しています。これは「忘れられる権利」としても知られています。
消費者はこの権利をいついかなる時でも行使することが可能で、以下を含めて企業にはその要求に1ヶ月以内に応じる責任があります。

  • その要求が満たされたことの確認、または
  • 消費者が苦情を責任主体に申し立てる手順を含む、この要求が満たされなかったことの説明

幅広いサードパーティ・システムとレガシーな個人データストアを運用しているグローバル企業にと言って、この権利に対処することは難しい問題となります。その理由を、欧州委員会のストーリーとともにみていきましょう。

欧州委員会のケースにみる「忘れられる権利」が突きつけるチャレンジ

Janeという、欧州食品安全機関が主催した2013年のScientific Colloquium Seriesへの架空の参加者を考えてみましょう。最近、Janeは、欧州委員会のWebサイトに個人データを公開されていた101人の参加者に含まれていたことを知りました。怒りを覚えて、Janeは欧州委員会の "Write to us" ページでフォームを埋め、「私のデータを全てすぐに削除してください」というシンプルなリクエストメッセージを送信しました。

まず、なぜこれが有効な削除要求なのかをみてみましょう。イギリスの情報コミッショナーオフィスによれば、個人は口頭もしくは書面により削除要求を行なうことが出来ます。この要求は組織内のどの部門に対しても行うことができ、特定の人物やコンタクトポイントに対して行われる必要はありません。加えて、このリクエストは、「削除要求」や「GDPR第17条」といったフレーズを含む必要はありません。

そのリクエストをキャッチし記録することが、企業がこのリクエストに対処するうえでの大きなチャレンジの一つなのです。先の例でいえば、欧州委員会は、公開されている "Write to us" ページを通じて流入するメッセージのレポジトリ内にこのリクエストにフラグ立てするプロセスが必要となるでしょう。次いで、Janeがこの有効なリクエストを行った本当のデータ主体であることを確認するプロセスが必要となるでしょう。最後に、(もし欧州委員会が自身のルールにしたがって行動するならば)監査目的のためにこの一連のイベントを記録する必要があるでしょう。

GDPRのもとでは、削除要求は多くの理由に関係します。最も典型的なものの一つは、組織がもともと収集・処理する目的を達成するうえで個人データがもはや必要でないということです。欧州委員会はもともとJaneを数年前のイベントの参加者リストに載せるために個人データを集めたのですから、Janeの要求は尊重されるべきです。

このことが、もう一つの大きなチャレンジを浮かび上がらせます:このリクエストに対応することです。欧州委員会は何処かにJaneのデータを保存しているのでしょうか?サードパーティのシステムや下流のシステムは?GDPRの定義でいう「データ管理者」として、Janeのデータが伝送されたかもしれないあらゆるシステムから削除されたことを確認するのは欧州委員会の責任です。消費者の個人データについての集中化されたデータストレージなくしては、欧州委員会は、全ての内部・外部接続システムを通じて「干し草の中から針を一本探す」ような調査を行う必要に迫られるのです。

最後に、このイベントについての恒久的な記録を維持することについての疑問があります。Janeは「忘れられる」ことをリクエストしましたが、欧州委員会は、GDPRの要求に沿って行動したことを証明するために、Janeの削除要求とカスタマーIDを保持する必要があるのです。このことから、削除されたアカウントについて、メールアドレスや同意のヒストリーといった属性データについての暗号化されたストレージが必要となります。削除要求に対応しつつ将来の監査のために必要なデータを保管するための戦略なくしては、企業はGDPRに準拠していないリスクにさらされるのです。

これまでみてきたように、「忘れられる権利」は単にデータを削除することに留まらない多くの課題を含んでいます。これが、グローバル企業が、集中化された包括的な顧客データ管理からはじまる消費者のデータプライバシーを尊重するための全体的なアプローチを必要とする理由なのです。

原文はこちらです。(SAP社サイトに遷移します)
The Cobbler’s Son Has No Shoes: The European Commission’s GDPR Moment

プライバシー・法規制(GDPR等)
最新のコラム

資料ダウンロード

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「顧客ID&アクセス管理(CIAM)」がそれらをどのように解決するかについて解説します。

製品デモのご依頼