個人情報の取扱いについて皆が考えた方が良いよねって話 #AdventCalendar2022

はじめに

はじめまして。コーポレート本部でなんでも屋をやっている135と申します。

最近はプライバシーマークやISMSをうっすら担当しておりましたので、今回は「個人情報について」超抜粋して書かせていただきます。コードの話とかは一切出てきませんが、エンジニアの方にも知っていただければ。

米国の場合は州独自に個人情報の保護制度があります。

他には、一度は聞いたことがあるかと思われる「GDPR（General Data Protection Regulation）通称：EU一般データ保護規則」が世界中で一番個人情報につよつよな制度であり、各国は徐々にGDPRに足踏みを揃えてきている状況になっています。

例えば、欧州ではCookie情報も「個人情報」として取り扱っているため、日本もそのうち同様の扱いをしなければならないかと思います。

（日本では「個人関連情報」といって、Cookieとその他の情報を組み合わせることで個人が特定できる情報とされており、Cookieそれ自体は「個人情報」ではないとされています）。

ここで、個人情報取り扱いの流れについて概要を説明します。

原則、個人情報を取得することについて「本人の事前同意」が必要です。取得した企業が個人情報を第三者へ提供する場合の規制は厳しめ。取得した企業が個人情報を委託する場合も、委託先企業の監督責任が委託元企業にあり、厳格になってきています。

これらをクリアするためにプライバシーポリシーに必要な情報を明記し、プライバシーポリシーを確認してもらい、同意してもらってから情報を取得する動線が必要です。

オンプレのサービスの場合、「物理サーバーはどこにあるの？」みたいな話がありましたが、これがSaaSのサービスでも関係してきています。

クラウドサービスで他社（GCP、AWS、Azureなど）のサーバー使ってまーす！というと、「それはどこにあるの？」「国内？海外？」「海外ならどの国にあるの？」といった、データの越境移転についてという話がホットな話題になってきています。（詳細は割愛）

「利用目的」を明記するのが必要。利用目的以外での個人情報の利用はNG。明記した利用目的以外の目的で利用する場合には、個別に同意が必要となります。

プライバシーポリシーで利用目的を明記している企業が大半です。

個人データを利用する必要がなくなったときは、その個人データを遅滞なく消去するよう努める必要があります（個人情報保護法第22条）。

自分のことに置き換えて考えてみていただければ

「よく知らない人（企業）が、日本じゃない国に自分の個人情報を預けて、どう使ってるか分からない状況」って嫌ですよね？

だからこそ、今まではふんわりしていたものを、きっちりしなければいけない流れになってきています。

例えば、海外在住の人にも使ってもらおー！と思ったときに、「多言語対応できた！」で終わりではなく、意外と法的に越えなければならない（高い）ハードルがいくつもあります。

その他、新規事業やる！新しいプロダクト開発する！となったときは今まで利用していなかった個人情報を利用することもあると思います。

「それってプライバシーポリシーに書いてあるっけ？」「利用規約には？」と、是非一度立ち止まって気にしていただきたいです。そうしないと会社も働いている人も守れなくなってしまいます。

バックオフィス部門（特に法務）との連携をお忘れなく！

今回の話はプロダクト開発に限ったことではなく、もちろんマーケティング領域やセールス領域にも関係してくることです。

昨今の流れを鑑みると、世界中でGDPR並みの個人情報保護への対応が必要になるのも案外遠く無いのかな・・・と思うので、

開発段階でも「個人情報はどんな情報を、どうやって取得し、どこへ保管され、どう利用され、どう消去されるのか？」を意識していただけると大変ありがたいなぁと思って終わります。

世の中のルールができる時やルールが厳しくなるときってだいたい「悪いことがあったとき」なので、色々な過去の個人情報の不正利用や漏洩が積み重なって、このような世の中の流れになっているとも言えますね。

お読みいただき、ありがとうございました。