Veronica Gattner
Legal Counsel

GDPRに対してはAdjust自体では既に対応済みとなり、Adjustで取得したデータをどのように扱うかという点に関しては各社様のご判断に委ねるかたちとなります。GDPRは欧州委員会が制定したデータ保護法となり、Adjustが制定したものではありません。そのため、AdjustはGDPRについての対応策をアドバイスすること、御社の対策がGDPRに見合ったものか否か、判定し、助言することをすることはできませんのでご了承ください。

前回のブログ記事「GDPRに向けての準備はお済みですか?」でも記載しましたが、本記事では、第三者サービスプロバイダーも含め、GDPR(General Data Protection Regulation/ EU一般データ保護規則)の基準を満たすために具体的に準備しておくべき項目をご用意しました。

GDPRは2018年5月25日より施行されます。その後すぐにGDPRの基準を満たさないビジネスは罰金や法的手段の対象となるため、施行前に基準を満たしておくことが重要になります。これらの項目を確認し、御社と第三者サービスプロバイダーも含めGDPRを遵守しているかご判断ください。


確認項目

1. サーバー とクラウドサービスはどこに設置されていますか?

GDPRにおいて大きな争点となるのは、利用しているサーバーがどこに設置されているかという点になります。もしEU在住の個人のデータを保管している場合、その保管サーバーはEU圏内に設置されていなければなりません。

つまり、EU在住の個人のデータ自体が、例えばアメリカ合衆国などのEU圏外のサーバーに送信されてはならないということです。クラウドサービスも同様に影響を受けるため、EU在住の個人のデータに関してはEU圏内にハードウェアを設置する必要があります。

*Adjustの場合、AdjustのサーバーはすでにEU圏内(フランクフルトとアムステルダム)に設置されております。


2. どのようなデータを保管されていますか?

GDPRはどのようなデータが保管されているか、気をつけなければなりません。サービスを提供するうえで最低限のデータのみ取得する必要があります。これはGDPRの5条C項で定められている「データ最小化」の規則に抵触するためです。

第三者計測ツール企業が具体的にどのような個人情報を、何の為に保管しているのか認識しておく必要があります。また、アプリのサービス提供者はこのような個人情報を該当するエンドユーザーに開示し、エンドユーザー自身にトラッキングを拒否(オプトアウト)できる権利を選択肢として与えなければなりません。こちらの詳細に関しては後述します。

Adjustでは主に端末情報(IDFA、IDFV、gps_adid、Android-ID、やWindows-ID など)を取り扱っています。ハッシュ化されたデジタルフィンガープリンティングは、IPアドレス、ミリ秒単位の時間、ユーザーエージェント(国、言語、端末設定、OSの種類、OSのバージョン)とアプリバージョンから生成されています。このデータはすべて24時間以内に削除されます。


3. GDPRに沿ったセキュリティやプライバシーの認可は取れていますか?

各国にはそれぞれ定義が異なる*プライバシーポリシー(日本のプライバシーマークやアメリカ合衆国のプライバシーシールドなど)があり、既にいくつか取得されている企業様もおられるでしょう。しかし、それだけでは実際にGDPRを遵守していることにはならず、これらのプライバシー制度が何を保証するのか、自社で確認することが求められます。例えば、Adjustは厳格な法律および技術監査を経た上で、e-Privacyを取得し、EUのデータ保護法に従っておりますが、ご存知のとおりe-PrivacyはGDPRとは異なる規定のため、この度GDPRを遵守するように別途対応をいたしました。

*GDPR以外のプライバシー制度は、GDPRを熟知する専門家または法務担当者によって監修されていないため、GDPRに則ったプライバシー制度であることは保証されません。


4. エンドユーザーや関連企業とデータ処理に関する同意はとれていますか?

GDPRの28条4項に記述されているように、エンドユーザーのデータを取り扱うすべての関連企業において、データ収集、転送、活用に関して同意を取る必要があります。Adjustではすでにヨーロッパのすべての顧客とデータ処理に関する同意を結んでいます。


5. データ削除の方針、データ処理の記録、および技術的・組織的対策はお済みですか?

これらはGDPRの17条、30条、32条に制定されています。その例として、対策の一部をご紹介します。

  • 物理的なアクセス制御:権限を持たない者による個人データ処理システムへの物理的なアクセスを防止する。(例:サーバールームの施錠等)
  • データへのアクセス制限:権限を持たない者によるデータ処理システムへのアクセスを防止する。(例:システムログイン時のパスワードの設置等)
  • データの使用制限:権限を持つ者は、予め設定された範囲内でのみデータ処理システムにアクセスすることが保証され、データの処理、使用、保存の際に、権限を持たない者によるデータの閲覧、コピー、変更、削除などの作業が行われないように防止する。
  • データの分類規則:異なる使用目的で収集されたデータは処理中も分類しておかなければならない。
  • データの仮名化:データから直接個人を特定できないようにすること。
  • データの送信規制:データが送信、転送、または保存される過程において、アクセス権限のない者による個人データの閲覧、コピー、変更または削除ができないように対策を設ける必要があります。第三者によるデータ改ざんやデータを不正に取得されることを防ぐため、個人データの送信時には、データが間違いなくSSL機能で送られなければなりません。
  • データの入力規制:データ処理システムへの個人情報の入力、変更、削除に関しては、いつ誰によって実施されたかをいつでも特定できるようにする。
  • アベイラビリティ管理:予期せず発生した障害や損失に対しても個人データが保護されることを保証する。
  • 迅速な復旧:緊急時の対策ならびに定期的なテストの実施を通して、物理的・技術的な障害が発生した際に、個人データが迅速に復旧されることを保証する。
  • データの保護管理:データ保護責任者の名前と連絡先を明記すること。
  • 緊急時の対応:障害発生時の迅速な対応策と対応フローの確立。
  • プライバシー保護の標準化:特定の目的のために必要な個人データのみを取扱い、必要な範囲を超えて個人データを収集・保有しないようなITシステムの設置。
  • 契約の管理:委託された個人データの取り扱いについては、契約を交わしている企業の指針に従うこと。


6. SDKもしくはプライバシーポリシーにてユーザーにオプトアウトの選択肢を与えていますか?

GDPRの6条1f項では、エンドユーザーにとって正当な利益が発生する場合においては、個人データを処理するにあたってエンドユーザーからの承諾は不要としています。ダイレクトマーケティングは上記の正当な利益が発生するとみなされており、オンラインマーケティングも同様にみなされています。

いかなる場合であっても、すべてのユーザーはトラッキングをオプトアウトする選択肢を与えられるべきであり、オプトアウトを選択した場合、データベースに保管されたデータは削除されるべきです。データの削除については、GDPRの17条にある「right to be forgotten」に確約されています。


7. データプライバシー責任者は在籍していますか?

2018年5月より、GDPR37条によりデータを取り扱う全ての企業はGDPRの遵守を監視するためのデータプライバシー責任者を雇用する必要があります。こちらの記事*でデータプライバシー責任者の役割について説明しています。

*英文のみ

Adjustでもプライバシーポリシーのページをご用意しておりますので、ご参照ください。

GDPRに対してはAdjust社自体では既に対応済みとなり、Adjustで取得したデータをどのように扱うかという点に関しては各社様のご判断に委ねるかたちとなります。GDPRは欧州委員会が制定したデータ保護法となり、Adjustが制定したものではありません。そのため、AdjustはGDPRについての対応策をアドバイスすること、御社の対策がGDPRに見合ったものか否か、判定し、助言することをすることはできませんのでご了承ください。

この記事はモバイル業界内での透明性の向上を目的としています。今後もAdjustの専門チームが不正やプライバシーにおける課題についての考察等をこちらに共有いたしますので、是非ご注目ください。