GDPRに向けての準備はお済みですか?

EUのプライバシー・コンプライアンスが大きく変わろうとしています。この新しい規則では、ユーザーデータ保護が刷新され、ユーザー基盤に対して集められるデータと、そうでないデータが定義されます。

まず初めに、最も多く寄せられているご質問にお答えします。

AdjustはGDPRに準拠していますか?

はい、準拠しております。Adjustは、企業がデータ保護法に従っているかどうかを評価するe-Privacyに認証されています。認証の示す通り、AdjustはGDPRに含まれる法律に準拠しています。Adjustでは、今後対応を求められる可能性のある事項に関しても、引き続き対応をしていきます。

Adjustは現在、各クライアントに対してデータ処理に関する合意(DPA、Data Processing Agreement)を結ぶよう求められています。Adjustのすべてのクライアントは、Adjustとの契約と共に、利用規約の一部としてこれに合意いただいています。契約書類をお手元にお持ちでない場合でも、すぐにご用意できます。Adjustでは他にも、技術的および組織的計測を意味するTOMs(Technical and Organisational Measures)や、手続き一覧、データ削除のポリシーなどに関する資料も揃えています。

データの保管に関して、AdjustではEU内のクライアントのすべてのデータをEUで保管しています。主要なサーバーはドイツのフランクフルトに、バックアップ用サーバーはオランダのアムステルダムにあります。Adjustはクラウドサービスを使わず、自社サーバーを使っております。そのため、Adjustのデータフローに第三者機関は存在しません。

この法律は、EU内で行われるすべてのビジネスに影響します。企業自体の所在地は問われません。データを収集する際のユーザーの拠点のみが考慮されます(Art. 3 GDPR参照)。Adjustは在ドイツ企業ですので、厳しいプライバシー規則に従ってきました。他のアトリビューション企業を使ってトラッキングを行っており、EUのユーザーをトラッキングする際には、その企業がこの規則に従っているかをご確認されると良いでしょう。

お客様のサービスを利用するユーザーは、任意でAdjustのトラッキングをオプトアウトすることができます。アプリ内で直接ユーザーにこれを許可するか、もしくはAdjustのオプトアウトへ誘導してください。

次に、GDPRとその影響について詳しく説明します。

GDPRとは?

GDPRはGeneral Data Protection Regulationの頭字語で、EUの一般データ保護規則を意味します。GDPRは、EU議会、EU理事会、およびEU委員会の3つの機関によって制定された新しい規則です。この新しい法律は、EU内のすべての個人データ保護を強化し、統一するために策定され、個人データのEU外への持ち出しについても言及しています。

GDPRの本質的な目的は、個人に個人データを自らコントロールできるようにすること、EU内の規則統一により、国際的ビジネスのための規定を簡素化し浸透させることです。

個人データとは個人を特定し得るすべての記録と定義されており、これには氏名、電話番号や住所などが含まれます。これはIPアドレスやクッキーID、デジタルフィンガープリント、ユーザーIDなどのデジタル情報まで拡大されました(Art. 4 Nr. 1 GDPR参照)。

新しい規則の基準はとても高いものとなっており、違反に対する罰金も最大2千万ユーロ、または各ビジネスのグローバルGDPの4%までと非常に高額です。

GDPRは政府の法案可決を必要としないので、2018年5月25日に施行され、直ちに適用されます。

この規則により、ユーザーには下記が与えられます。

• データ削除の権利、ユーザーは彼らのデータを削除するよう要求できます
• 明確に同意を行う義務、ビジネス側はユーザーにデータ収集、使用および処理の許可を求める必要があります
• 情報漏洩の通知、データが漏洩した場合に、行政機関やユーザーに72時間以内に知らせる義務があります
• 計画的プライバシー対策、データ保護はプロジェクトのライフサイクルを通して常に考慮される必要があります。
• データ保護担当者(DPO、Data Protection Officer)、大企業ではデータ保護を専門に担当する従業員を雇用することが求められます

さらに詳しい情報は、こちらのEU公式サイトでご覧ください。規則全文はこちらからご覧いただけます。