Go to Qiita Advent Calendar 2024 Top
LoginSignup
30
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

HRBrainAdvent Calendar 2022Day 2hrbrain
@135-san(aya isago)in株式会社HRBrain

個人情報の取扱いについて皆が考えた方が良いよねって話

Last updated at Posted at 2022-12-01

はじめに

はじめまして。コーポレート本部でなんでも屋をやっている135と申します。

最近はプライバシーマークやISMSをうっすら担当しておりましたので、今回は「個人情報について」超抜粋して書かせていただきます。コードの話とかは一切出てきませんが、エンジニアの方にも知っていただければ。

最近のできごと

個人情報についての取り扱いが厳しくなってきていることは何となく感じていただいているかもしれません。

2022年4月に個人情報保護法が改正されたため、各社で改正個人情報保護法に対応した、プライバシーポリシーの改正が2022年4月に行われました。(もちろん弊社も対応しました)

弊社のプライバシーポリシーはこちら

今回の改正では、本人が保有する個人データの利用停止・消去・第三者への提供の停止を請求できる要件を緩和し、本人の権利保護がより強化されました。

他の国はどうなの?超抜粋

米国の場合は州独自に個人情報の保護制度があります。

他には、一度は聞いたことがあるかと思われる「GDPR(General Data Protection Regulation)通称:EU一般データ保護規則」が世界中で一番個人情報につよつよな制度であり、各国は徐々にGDPRに足踏みを揃えてきている状況になっています。

例えば、欧州ではCookie情報も「個人情報」として取り扱っているため、日本もそのうち同様の扱いをしなければならないかと思います。

(日本では「個人関連情報」といって、Cookieとその他の情報を組み合わせることで個人が特定できる情報とされており、Cookieそれ自体は「個人情報」ではないとされています)。

個人情報取り扱いの流れ超抜粋

ここで、個人情報取り扱いの流れについて概要を説明します。

1.取得する場合:事前に本人の同意が必要

原則、個人情報を取得することについて「本人の事前同意」が必要です。取得した企業が個人情報を第三者へ提供する場合の規制は厳しめ。取得した企業が個人情報を委託する場合も、委託先企業の監督責任が委託元企業にあり、厳格になってきています。

これらをクリアするためにプライバシーポリシーに必要な情報を明記し、プライバシーポリシーを確認してもらい、同意してもらってから情報を取得する動線が必要です。

2.保管する場合:サーバーの場所はどこ?

オンプレのサービスの場合、「物理サーバーはどこにあるの?」みたいな話がありましたが、これがSaaSのサービスでも関係してきています。

クラウドサービスで他社(GCP、AWS、Azureなど)のサーバー使ってまーす!というと、「それはどこにあるの?」「国内?海外?」「海外ならどの国にあるの?」といった、データの越境移転についてという話がホットな話題になってきています。(詳細は割愛)

3.利用する場合:明示した利用目的以外には使えない

「利用目的」を明記するのが必要。利用目的以外での個人情報の利用はNG。明記した利用目的以外の目的で利用する場合には、個別に同意が必要となります。

プライバシーポリシーで利用目的を明記している企業が大半です。

4.消去する場合:使わなくなったら、ちゃんと消去しよう

個人データを利用する必要がなくなったときは、その個人データを遅滞なく消去するよう努める必要があります(個人情報保護法第22条)。

何が言いたいかというと、個人情報って皆で注意が必要だよねって話

自分のことに置き換えて考えてみていただければ

「よく知らない人(企業)が、日本じゃない国に自分の個人情報を預けて、どう使ってるか分からない状況」って嫌ですよね?

だからこそ、今まではふんわりしていたものを、きっちりしなければいけない流れになってきています。

例えば、海外在住の人にも使ってもらおー!と思ったときに、「多言語対応できた!」で終わりではなく、意外と法的に越えなければならない(高い)ハードルがいくつもあります。

その他、新規事業やる!新しいプロダクト開発する!となったときは今まで利用していなかった個人情報を利用することもあると思います。

「それってプライバシーポリシーに書いてあるっけ?」「利用規約には?」と、是非一度立ち止まって気にしていただきたいです。そうしないと会社も働いている人も守れなくなってしまいます。

バックオフィス部門(特に法務)との連携をお忘れなく!

おわりに

今回の話はプロダクト開発に限ったことではなく、もちろんマーケティング領域やセールス領域にも関係してくることです。

昨今の流れを鑑みると、世界中でGDPR並みの個人情報保護への対応が必要になるのも案外遠く無いのかな・・・と思うので、

開発段階でも「個人情報はどんな情報を、どうやって取得し、どこへ保管され、どう利用され、どう消去されるのか?」を意識していただけると大変ありがたいなぁと思って終わります。

余談

世の中のルールができる時やルールが厳しくなるときってだいたい「悪いことがあったとき」なので、色々な過去の個人情報の不正利用や漏洩が積み重なって、このような世の中の流れになっているとも言えますね。

お読みいただき、ありがとうございました。

30
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
30
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?