Insider Japan株式会社とGDPR

 

Insider Japan株式会社(以後、「当社」)は個人情報保護を重視しています。2018年5月25日から欧州連合の一般データ保護規則(GDPR)が施行され、当社はこれに遵守すべく技術的・組織的ないくつかの対策を取りました。

GDPRとは?

一般データ保護規則は個人情報保護とデータ保護に関する規則を成文化したもので、個人情報保護とデータ保護、そして欧州連合市民の個人データの尊重に関するより一貫した指導を目的とするものです。総じて、これは以前の、時代にそぐわないEU個人情報保護指令を置き換えるもので、また、個人情報保護とデータ保護方法にいくつかの興味深い変更も加えられました。GDPRはEU市民の個人データを扱うすべての企業に適用され、本社がEU外であっても適用されます。

当社の義務

当社はデータ保護のスペシャリスト、法律コンサルタント、セキュリティのエキスパートと共にセキュリティ・プライバシー・コンプライアンス委員会 を設置しており、当社そして当社の製品がGDPRを遵守する様、スタンダードを常に見直しています。このチームにはまた、当社の共同創業者といったエグゼクティブ・メンバーも含まれており、透明性と信頼を約束し、社内全体で承諾と同意を得ています。

GDPR遵守のため当社が行ったこと

当社がこの規則を遵守するため組織的に行った具体的な対策は、以下の表に記載されています。

GDPR参照 概要 遵守のために当社が行った対策
データ保護の原則(第5条) 適法性、公正性及び透明性 データ処理を行う企業として、当社は透明性のある処理活動を約束します。当社の処理活動を説明するために、製品個人情報保護方針を掲載しました。また、パートナーからの要望があった場合、処理活動に関するすべての必要な情報を提供しています。
目的の限定 当社は処理活動の目的を定義したデータ処理契約をパートナーと結んでいます。これにより、各当事者の義務と責任が定義されています。データ制御者として、パートナーがエンドユーザーから具体的で、明確で合法的な同意を得ることになっています。データ収集の目的が変更された場合、当社のパートナーはこの変更について報告する必要があります。それに伴い、同意書の書き換えも行われます。  
データの最小化 パートナーがその他の目的を定義しない限り、当社の製品はユーザーの行動データのみを収集します。これは、最適にパーソナライズされたユーザー体験を提供するためです。パートナーの要望に応じて、当社はパートナーが定義、収集したデータを処理することがあります。当社の製品は、基本的に匿名の行動データのみを収集します。
正確性 当社のパートナーがプッシュした、ユーザーデータに関わる如何なるデータも、当社のAPIエンドポイントを使用すれば修正して統合やオーバーライドすることが可能です。 
記録保存の制限 当社のプラットフォームはパートナーからの支持がない限り、不必要にユーザーデータを記録保存することはありません。当社のデータ保持・記録保存方針は明確に定義されており、パートナーも参照できます。
完全性及び機密性 当社のプラットフォームは安全性及び機密性を確実なものとするために、データの仮名化を含む、あらゆる必要な技術的、組織的対策を採用しております。
同意(第7条) 同意条件

  1. 一括化されていない
  2. アクティブ・オプトイン
  3. 粒度が細かい
  4. 名前がある
  5. 取り消しが簡単である
  6. 文書化された
  7. 関係性に不釣り合いが無い
GDPR第7条によると、データの管理者は自由に与えられた明確な同意を収集するものとされています。当社と当社のパートナーの関係性については、当社はデータ処理者であり、GDPRが定義するところのデータ管理者はパートナー側となります。この役割に基づいて、当社はエンドユーザーからデータ処理の同意を収集する必要はありません。当社はパートナーが規則を順守するために、パートナーがデータ管理者の責任としてデータを収集できるための手助けをすることを約束します。当社の製品に、管理者がユーザーの個人データを収集できる機能がありますが、そこに、明瞭な同意のためのチェックボックスをつけました。
データ主体の権利(第15~23条) 拡張された個人の権利:

  1. 自身の情報を閲覧すること;
  2. 不正確な情報を修正させること;
  3. 自身の情報を削除させること;
  4. ダイレクト・マーケティングを防ぐこと;
  5. ダイレクト・マーケティングを防ぐこと;
  6. データポータビリティ;
当社はエンドユーザーデータのアクセス、削除、修正といった、いかなる管理者からの要望にも、訓練された人的サービスでご協力いたします。さらに、当社のプラットフォームは複数のAPIエンドポイントを提供しております。これらにより、データの削除や更新を行って、ユーザーデータを正確に保つことが可能です。
取扱いの安全性(第32条) 取扱システム及び取扱サービスの機密性、完全性、可用性及び回復性 会社全体と従業員がGDPRを正しく認知する様、当社では継続的に研修とプロセス測定を行っています。四半期に一度、従業員にGDPR遵守に関する研修を行っています。これに加え、新入社員にもGDPR認知と会社方針に関する研修を行っています。当社のデータ処理規則を実施するための方針文書としては、従業員セキュリティ規則が挙げられます。
データ侵害(第33~34条) データ侵害と事件への対応 データに関わる事件が起きた場合、現行のサービス規約と個人情報保護同意に従って、お客様とパートナーに報告することを約束します。脅威の捜査、回避のための技術、また、セキュリティ・個人情報保護関連の事件にパートナーが対応する手助けを行う24時間体制の事件管理プログラムに絶え間なく取り組むことを約束します。当社は第33~34条を遵守すべく、詳細な事件対応計画を用意し、セキュリティチームを結成しました。
データ保護オフィサー(第37~39条) データ保護オフィサーの任命 当社のデータ保護オフィサーは、データ処理に関する質問や、「同意」や「製品のコンプライアンス」といったGDPRの基本原則をどの様に遵守しているかに関する質問に、お答えいたします。こうした質問は、Haktan Ellez(ハクタン・エレズ)宛に、haktan@useinsider.com もしくは+90 554 763 00 33へご連絡ください。
行動規範及び認証(第40~43条) 認証 当社は関連性のある認証を得るための計画を常に行っています。
国際的なデータ移転(第44~50条) データの記録保存 当社が収集するすべてのデータはEUのアイルランド、ダブリンに拠点を置く、Amazon Web Services(AWS)に記録保存されています。このデータストレージセンターは、GDPRの領域内にデータの記録保存を望むすべての顧客が利用可能です。これは、当社のEU外のお客様にも適用されます。
データの処理と移転 当社の技術システムは、GDPRを100%遵守しており、当社が使用するクラウドベースのAWSサービスはEUにあります。クラウド・サーバー・システムを規制するために、EUの標準的契約条項が当社のデータ処理付録に例として追加されました。