出版社およびウェブサイト所有者のためのGDPRチェックリスト

この数週間、よほどのことがない限り、GDPRに関するメールが殺到していることでしょう。GDPR(General Data Protection Regulation)とは、EU居住者の個人情報保護に関する新たな要求事項です。

6年前に最初の議論が始まったが、最終的なGDPRの姿については合意に至らなかった 2016年4月まで, コンプライアンスの期限が2018年5月25日に設定されたとき。期限が過ぎてもコンプライアンスの熱気は高まるばかりで、GDPRは正式に発効しました。

では、GDPRとは具体的にどのようなもので、ウェブサイトのオーナーやパブリッシャーにとってどのような意味があるのでしょうか。この便利なチェックリストで、知っておくべき情報を整理してみましょう。

GDPRはあなたに影響しますか?

GDPRは、欧州連合(EU)加盟国の企業だけに適用されるものではありません。EU加盟国の住民のデータを収集、保存、処理している企業であれば、世界中のどこでも影響を受けます。一部の企業は より大きな影響を受ける けど、他の人よりも

  • 大量の消費者データを処理または保存する企業
  • テクノロジー企業とマーケッター
  • データ処理や異種システムの接続を行うデータブローカー
  • デジタルパブリッシャー/ウェブサイト運営者

最大の影響?消 費者データの収集と活用に依存するビジネスモデルを持つ企業に影響します。

結論から言うと欧州の居住者からデータを収集、使用、保存、またはアクセスしている場合、GDPRが適用されます。出版社、およびウェブサイトを監督する責任者がGDPRについて知っておくべきことを、以下でお読みください。

GDPRコンプライアンスチェックリスト

GDPRの変更点の概要

GDPRは、これまでのデータ保護規制と比べて何が違うのでしょうか?

  • 個人情報の定義が拡大され、直接的または間接的に個人を識別できるあらゆるデータが含まれるようになりました。これには、機器の識別番号、地理的位置情報、IPアドレス、さらにはクッキーIDも含まれます。
  • 特別なカテゴリー」のデータとは、より機密性が高いと分類され、より確実な保護を必要とする個人データのことです。人種、民族的出身、政治、宗教、労働組合への加盟、健康、性生活、性的指向に加えて、現在では遺伝子やバイオメトリックデータも含まれます。
  • EU居住者の個人データを共有するには、明示的な同意が必要です。この同意は曖昧さがなく、すべてのデータ処理活動に固有のものでなければならず、EU居住者は自分が納得できる種類のデータ処理に同意することができます。基本的に、ユーザーはデータ処理に同意していることになり、いつでも同意を取り消すことができることを伝えなければなりません。
  • 違反した場合、ビジネスがどこにあっても罰金が科せられます。
  • データ所有者(管理者)であっても、データ処理者であっても、違反の責任を負います。つまり、自社が他社に代わってデータを扱っているだけであっても、GDPRへのコンプライアンスには責任があるということです。また、ベンダーのコンプライアンスへの取り組みを確認し、責任を持ってツールやサービスを使い続ける方法を理解しておく必要があります。(例えば、ShareThis's ソーシャルメディア共有ボタンがあれば、簡単にコンプライアンスを確保することができます。 ShareThis's new GDPR Compliance Tool.)
  • パブリッシャーはデータの所有者であることが多いため、違反行為を発見した場合、72時間以内に適切な機関に報告する責任があります。

データ管理者とデータ処理者の違いは何ですか?データ管理者とは、次のことを決定する責任を負う団体です。 個人データの処理方法 とその理由を説明しています。一方、データプロセッサーは、管理者に代わって実際の処理を行います。ほとんどの場合、出版社がデータ管理者となります。

出版社やウェブサイト運営者が知っておくべきこと(そして、やっておくべきこと)。

パブリッシャーの皆様は、ユーザーに様々な方法でコンテンツに接していただいていることでしょう。 ソーシャルメディアであなたをフォローする記事にコメント欄を設けたり、簡単な方法で あなたのコンテンツへの反応.ほとんどのウェブサイトでは、ユーザーを認識し、よりパーソナライズされた体験を提供するためにCookieを使用しています。これらの活動はすべて、ユーザーのデータを収集することになるため、パブリッシャーはGDPRへの対応に追われることになります。

パブリッシャーやウェブサイト運営者がGDPRに準拠するために知っておくべきアクションステップや必須事項を以下にまとめました。

社内での必須ToDo

  • GDPR対応の担当者を選任する。公的機関や大規模に事業を展開するデータ処理業者など、新規則の下でデータ保護責任者(DPO)を任命する必要がある企業もありますが、小規模な出版社には必要ないと思われます。DPOの任命が義務付けられていない場合でも、GDPRのコンプライアンス戦略の策定を主導し、継続的なコンプライアンスを監督し、GDPRの新しい動向を把握する担当者を任命することは最善の利益につながります。
  • GDPRに関するスタッフへの教育。ユーザー、顧客、訪問者のデータに触れる人は、組織内の誰がGDPR戦略の責任者かを知り、どのようなGDPR違反が起こり得るかを理解する必要があります。
  • ドキュメンテーションは、あなたの新しい親友です。個人データの収集、使用、保存、共有のプロセスにおけるすべてのステップを明確に文書化し、これらのプロセスに変更があった場合は、直ちに文書化するようにします。
  • 定期的に監査を行う。企業がコンプライアンスを維持するためには、デジタル環境、プロセス、およびドキュメントを定期的に監査する必要があります。

ベンダーの管理

  • ベンダーを評価し、そのコンプライアンスを理解する。パブリッシャーであれば、アナリティクスや広告など、業務のさまざまな側面で数多くのベンダーと連携していることでしょう。GDPRの下では、ベンダーがGDPRに準拠しているかどうかを判断するのは、あなた次第です。パブリッシャーは、数多くのサードパーティーベンダーと連携していることが多く、今こそ、それらのパートナーシップを評価し、洗練させる絶好の機会です。パートナーは厳選しましょう。
  • データポリシーを伝える。データの取り扱いに関する期待事項を盛り込むために、ベンダーとの契約を改訂する必要があるかもしれません。データに関連する業務を行うすべてのベンダーと、データポリシーを共有する。
  • 契約書に違反通知に関するプロセスを定義する。データ侵害が発生した場合、ベンダーはデータ所有者(管理者)に対して、できるだけ早く侵害を通知する責任を負います。このプロセス、期限、およびその他の通知要件を文書で明記することは、良いアイデアです。
  • 個人データを収集しない。ユーザーのデータがGDPRの「個人データ」の定義に該当する場合は、ユーザーの明示的な同意なしに、データを収集したり、第三者と共有したりしないよう対策を講じてください。

ユーザーの管理

  • 新しいプライバシー通知の作成先に述べたように、同意は明示的かつ具体的でなければならなくなりました。従って、ユーザーがデータ収集および処理活動を選択できるように、通知を平易な言葉で分かりやすく記述するようにしてください。収集するデータ、その理由、データの保存方法、第三者との共有の有無など、データの取り扱いについて明確に説明すること。
  • ユーザーへの情報提供、同意取得、同意管理のプロセスを構築する。EUの居住者は、データ処理に関する同意をいつでも撤回できるため、どのような個人からどのような同意を得たかを常に把握するための明確なプロセスが必要であることを覚えておいてください。 ShareThisのGDPRコンプライアンスツール は、ユーザーが自分のデータをコントロールすることを容易にします。
  • ユーザーが自分のデータにアクセスできるようにするための戦略を考案する。GDPRの下では、EUの居住者はいつでも自分の個人データのコピーを要求することができ、データ管理者はタイムリーにこれに応じなければならない。ユーザーが個人データにアクセスできるようにし、不正確なデータを簡単に修正できるようにする。
  • 情報漏えいを特定し、影響を受けるユーザーや当局に通知するためのプロセスを開発する。違反が発生した場合、あなたとあなたのスタッフは、直ちに次のステップを知る必要があります。当局への通知は誰が担当するのか?影響を受ける個人に通知する必要があるかどうかは、どのように判断するのか。情報漏洩の通知にはどのような情報を含める必要があるか?これらの情報はすべて、すぐにアクセスできるようにし、各ステップを実行する担当者を決めておく必要があります(たとえすべてのタスクを同じ担当者が行っていたとしても)。
  • 忘れられる権利もお忘れなく。GDPRのもと、EUの居住者は、以下のことを要求することができます。 データが消去される.出版社(およびGDPRの対象となるあらゆる企業)は、タイムリーに対応しなければならないため、これらの要求に応えるための明確なプロセスが不可欠です。また、データに触れた加工業者やその他の第三者に通知するための「合理的な手段」を講じることも必要です。

多くの出版社やウェブサイトオーナーにとって、GDPRへの対応は困難なものと思われていますが、この規制の内容をしっかりと理解すれば、ユーザーのプライバシーを強化するための常識的で(ほとんど)実用的な要件であることがわかります。パートナーシップの見直し、契約書の改訂、新しいポリシーや手順の策定などが必要になりますが、費用のかかる罰則を回避し、さらに重要なことには、ユーザーに相応しいプライバシーを提供するために、時間をかける価値は十分にあります。

についてShareThis

ShareThis は、2007年以来、ソーシャルシェア、インタレスト、インテントのデータを統合することで、グローバルなデジタル行動の力を引き出してきました。300万以上のグローバルドメインにおける消費者の行動をもとに、ShareThis は、実際のデジタルデスティネーションにおける実際の人々の行動をリアルタイムに観察しています。

ニュースレターを購読する

最新のニュース、ヒント、アップデートを入手する

登録

関連コンテンツ