Scribble at 2018-06-01 10:45:48 Last modified: 2022-09-27 08:04:43

既存のプライバシーポリシーで対応可能なものもあると思う。

2018年05月31日に初出の投稿

上記では、国内事業者のいわゆる「個人情報保護方針」で対応可能な場合もあるという意味になるが、それは不適切だったので訂正する。たいていの保護方針の内容では、恐らく対応はできない。理由は、「プライバシーポリシー(privacy policy)」の意味が国内と海外では違うからだ。改めて整理する。

・国内法・JIS:その事業者のサービス全てに共通の、事業者のマネジメントについての文書

・GDPR や海外全般:個々のウェブサイトやサービスに特有の、取扱実務についての文書(マネジメントについての宣言も含むことがある)

こういう違いがあるので、GDPR に対応する "policy" というのは、実質的には僕らが日本国内で JIS に準拠して作っている「法令に基づく公表事項」のことだと思った方がいい。マネジメントだけを書くのではなく、具体的にどういうパーソナルデータを収集するのかとか、どのくらいのタイミングでデータを消去するのかとか、取得するサービスや目的によっては個々に違う可能性がある項目も含まれているからだ。逆に、国内法や JIS に準拠して公開している個人情報保護方針には、準拠する法令や規範、PMS のライフサイクルなどが書かれているが、GDPR ではそんなものは実効性がない(どうやって個人が検証できるというのか)として公表は求められていない。それもそのはずで、氏名やメールアドレスをフォームでいままさに送信しようという人が、日本の法令を別のウィンドウで開いて何を参考にするのか、というわけである。よって、今回の対応ではコーポレートサイトの「問い合わせフォーム」と「ウェブサイトへのアクセス」という二つの点について収集するパーソナルデータの取扱実務を対象にしていなければならない。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook