パスワードを忘れた? アカウント作成
15567706 journal
日記

L.Entisの日記: これは「プライバシー同意表示が」というより 8

日記 by L.Entis
「プライバシー同意」表示がプライバシー法違反、制裁金3,000万円のわけとは?

なんか、同意表示もそうだけど、ゲームアカウントのデータとかも国別に保存しないといけないとか言われたりしないよね?
ってか、データは国別でも、国超えて共通で識別できるユニークなIDでアカウント管理しちゃだめとか言わない?
UUID振っても、そのID保存しちゃダメとか言わない?
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年02月15日 15時38分 (#4200428)

    ソースの話題は同意した内容そのものをターゲティング広告に無断流用していたっていう邪悪な話なので擁護の余地はなさそうです。

    ゲームアカウントの話をすると、ただ「保存」するならともかく、何らかの「処理」を行うなら、EUの求める基準に適合してないとEUからは文句言われると思います。
    日本だってLINEのデータが中国や韓国に流れていると分かって大バッシング受けてたんで、国境(法域)を跨ぐなら一定の配慮は求められるんじゃないですかね。
    ユニークなIDを振ってはいけないとまでは言いませんが、それを誰が参照して、どう使うのか、ですよね。

    • この件のものは実際に流用していたということのようですが、Google Font で罰金判決が出ていたのは、IP を他の情報を組み合わせればトレースできる、可能性の話だったのか、実際にやったことが確定した話だったのか…

      可能性の話をされるとユニークなIDが越境できないということにもなりますが、現状カオスな状況に見えます(裁判所がどの程度技術に明るいかもわからない…)。
      親コメント
      • by Anonymous Coward

        IPアドレスも、名前とかメールアドレスとか電話番号と同じ個人情報として管理することを求められてる。
        外部リソースを使うって事は、そんなIPアドレスを外部に漏らす設定に意図的にしてるのと同じだから基本アウトです。

        ただ、例外で許されていたので今まで使えていただけ。
        しかし、米国の法的問題で例外として認められなくなって再びアウトになった。

        GDPR対応のサービスにするか、同意を得るまで外部リソースを読まないようにするしかない。

        • ・米国法では、データは米国本社が管理して米国に置き、企業は指示や必要に応じ同意や通知を得ず密かに情報を開示する義務がある
          ・EU法では、データは域内管理者を置いて域内にとどめ、対象個人の同意なく第三者に開示してはならない(第三国の捜査機関を含む)

          ので、同時に双方の法律を遵守できないんでしたっけ。

          親コメント
        • ってことは、自社サービス、自社サーバーでも、国外にあるサーバーへリクエストは送れなくなるのか。
          事実上、エントリ本文で言ってるのと変わらなくない?
          親コメント
          • 誤解の行き違いを防ぐために補足
            リクエスト先は自分のサーバー。データも静的な個人情報ではないデータ(例えば画像とか)。
            サーバにはリクエストのログが残るので当然IPも残る。
            IPを使って何かしなくてもIPは個人情報なので、リクエストが国外のサーバーなら事前に同意を得る必要がある。

            でOK?

            でもつまりこれって→エントリ本文
            親コメント
            • by Anonymous Coward

              いまいち状況がピンと来ないのですが、自身の管理するサーバが海外(米国? EU?)にあるという想定でしょうか。
              IPを使って何かするつもりがないのなら、IPをログに残さないという選択肢もあるのではないでしょうか。

            • by Anonymous Coward

              そ。
              GDPRは「個人情報の域外への移転の原則禁止」なので、域内で完結しないとだめ。

              ただし、日本なら法的面でのGDPRの「十分性」を認められている [ppc.go.jp]ので、日本のサーバーなら大丈夫かもしれない。
              EUから訴えられたり、日本の法改正とか日本の判例とかで米国みたいに「十分性」の取り消しが起きたりと将来どうなるかは解らないけど。
              米国は、この「十分性」が認められなくなったのでGDPRを守ろうとする場合に使えません。

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...