# GDPRについて
# GDPRの概要
2018年5月25日、EUは「一般データ保護規則」(GDPR、General Data Protection Regulation)を発表した。GDPRは史上最も厳しく、最も有益な個人のデータ保護を強化する規則である。
海外進出の需要がますます高まっている今、中国企業が海外に進出する中、データ収集、処理、応用などの面でGDPRの監督と管理に直面します。
GDPRは主にEUユーザーの個人データを保護し、EU向けにサービスを提供するアプリやゲームはGDPRを遵守しなければなりません。
GDPRは、データコントローラー(Controller)とプロセッサー(Processor)の2種類の役割を定義します。ThinkingDataの主なデータ製品であるThinkingAnalytics(以下、TAシステム)は、ほとんどの場合データプロセッサーの役割を果たし、お客様はデータのコントローラーです。いずれの役割もGDPRの対象となりますので、当社の製品使用中は、お客様のGDPRコンプライアンスをサポートし、潜在的なリスクを回避します。
データコントローラーとして、GDPRに定められた6つの原則を遵守する責任があります。遵守しない場合、責任が問われます。
- 適法、公正、透明性(lawfulness, fairness and transparency):個人データは合法、公平、透明な方法で処理する
- 目的の制限(purpose limitation):収集されたデータは限定された目的にしか使わない
- データ最小化(data minimisation):必要かつ意味のあるデータのみを収集
- 正確性 (accuracy):データは正確でタイムリーで、不正確な情報を更新、削除することが可能
- 記録保存の制限(storage limitation):データは処理が完了した後、速やかに削除
- 完全性と機密性(integrity and confidentiality):データの保存の安全性を保証し、不正なデータアクセスを阻止し、データが破壊されたり紛失されたりすることを防ぎく
以上に加えて、ユーザーの以下の権利を確保する必要があります。
- 知る権利(Right to be Informed):データコントローラーは、ユーザーにデータコントローラーの情報、個人データの種類、データ処理の目的および法的根拠などを提供する必要がある。
- アクセス権(Right of access):ユーザーは個人のデータの取得と処理が可能
- 訂正権(Right to rectification):ユーザーは正しくない個人データを訂正する権利がある
- 削除権(Right to erasure):ユーザーは個人データを削除する権利がある
- 処理の制限権(Right to restriction of processing):特定の状況(データが正確でない場合など)で、ユーザーは個人データの処理の制限が可能
- 転送権(Right to data portability):ユーザーは個人データを他のデータコントローラーに転送することは可能
- 拒否権(Right to object):ユーザーは以前の個人データ処理への同意を撤回することは可能
- 自動化決裁に制限されない(Right not to be subject to a decision based solely on automated processing, including profiling):ユーザーは個人データが自動化決裁(画像を含む)に採用されるかどうかを知る必要があり、データがこれらのシステムに採用されることを拒否する権利がある
データ収集はユーザーの同意が必要で、同意は明確でなければならなりません。ユーザーは「拒否権」に基づいて、以前の同意を撤回できることにご注意ください。
ThinkingDataは専門的なサービス提供者として、効率的なソリューションを提供し、中国企業の海外業務の成長の支援に取り組んでいます。以下はThinkingDataがGDPRの主要内容に対するコンプライアンス規定と意見です。
# GDPR コンプライアンス規定
# カスタマイズ収集を完全にサポートし、データ収集のコンプライアンスを確保
TAシステムは、データ収集側で完全にカスタマイズ収集を提案します。つまり、顧客は実際のニーズとビジネス領域に基づいて、ユーザー情報と行動データの収集を決定することができます。また、TAシステムが提供するすべてのデータ収集案は、クライアントSDK、サービスSDK、データインポートツールLogbusなどに限らず、これらの原則を完全に遵守し、ユーザーのプライバシーに関連するデータを強制的に収集することはありません。開発者が業務の要件で、ユーザーのクライアント側のデータを収集する必要がある場合、ユーザーのクライアント側にも関連の通知があり、ユーザーの知る権利が確保されます。具体的なデータ収集案は、インポートガイドをご参照ください。
また、収集の目標が明確な場合、TAシステムが提供されるカスタム収集機能で、ニーズを満たす最小のデータセットを収集して、「データ最小化」の原則を満たすことをお勧めします。
# ユーザーデータの更新、削除、転送
TAシステムは、データ収集側で、user_set
、user_delete
などの方法で、指定されたユーザーデータの更新および削除をサポートします。また、enableTracking
メソッドを提供して、あるクライアントのすべてのデータのアップロードを一時停止し、ユーザーがデータ収集に同意しない場合にインターフェイスを呼び出すことができます。
TAシステムに受信、保存されたデータは、TAシステムのデータ削除ツールで特定のユーザのユーザデータと関連のイベントデータを削除することができます。具体的な操作はデータ削除ツールをご参照ください。
格納済データの場合、TAシステムは複数の導出案を提供しています。例えば、APIを介したデータ導出。
まとめると、上記のカスタマイズ収集のほか、開発者の収集ニーズとユーザーの実際のニーズが変化している中、TAシステムはユーザーデータの更新、削除、転送をサポートすることができます。そのため、ユーザーにGDPRで規定されている「訂正権」、「削除権」および「転送権」を提供することができます。
# データ全ライフサイクルの透明、監査可能、高可用性、高信頼性
TAシステムは、データ収集、受信、処理、保存、計算、および応用を統合したユーザーの行動分析ツールであり、データはライフサイクルのすべてのプロセスで透明で監査可能です。TAシステムは、各プロセス内のすべてのデータコンポーネントへのアクセスと操作をサポートし、データの生成から応用までのすべてのプロセスが追跡可能であることを保証します。
実際のデータ応用の過程で、特定の理由でシステム内の一部を監査する必要があるとなった場合、ThinkingDataは可能な限り関連の技術サポートを提供し、プロセス全体の透明性を保証します。
同時に、TAシステムは、「データの完全性と機密性」の原則に準拠し、データサービスとデータストレージの完全性を確保するために、すべてのコンポーネントの高可用性と高信頼性を実現しました。
# その他の意見
ThinkingDataは第三者のデータサービス提供者として、常に製品面でお客様のGDPRコンプライアンスの実現の支援に取り組んでいます。
A.プライバシーポリシーの作成
製品のプライバシーポリシーを作成し、GDPRコンプライアンスに関する標準条項を追加することを強くお勧めします。
B.ユーザーの知る権利の保護
お客様の製品では、明確なデータ収集同意申請を提供する必要があり、ユーザーが同意した場合にのみデータ収集を許可します。ユーザーデータを収集する際に、デフォルトで収集されるものではなく、ユーザーが知っていることを確保します。