L.Entisの日記: これは「プライバシー同意表示が」というより 8
日記 by
L.Entis
「プライバシー同意」表示がプライバシー法違反、制裁金3,000万円のわけとは?
なんか、同意表示もそうだけど、ゲームアカウントのデータとかも国別に保存しないといけないとか言われたりしないよね?
ってか、データは国別でも、国超えて共通で識別できるユニークなIDでアカウント管理しちゃだめとか言わない?
UUID振っても、そのID保存しちゃダメとか言わない?
なんか、同意表示もそうだけど、ゲームアカウントのデータとかも国別に保存しないといけないとか言われたりしないよね?
ってか、データは国別でも、国超えて共通で識別できるユニークなIDでアカウント管理しちゃだめとか言わない?
UUID振っても、そのID保存しちゃダメとか言わない?
これはどこまで行っても同意表示の問題では? (スコア:0)
ソースの話題は同意した内容そのものをターゲティング広告に無断流用していたっていう邪悪な話なので擁護の余地はなさそうです。
ゲームアカウントの話をすると、ただ「保存」するならともかく、何らかの「処理」を行うなら、EUの求める基準に適合してないとEUからは文句言われると思います。
日本だってLINEのデータが中国や韓国に流れていると分かって大バッシング受けてたんで、国境(法域)を跨ぐなら一定の配慮は求められるんじゃないですかね。
ユニークなIDを振ってはいけないとまでは言いませんが、それを誰が参照して、どう使うのか、ですよね。
Re:これはどこまで行っても同意表示の問題では? (スコア:1)
可能性の話をされるとユニークなIDが越境できないということにもなりますが、現状カオスな状況に見えます(裁判所がどの程度技術に明るいかもわからない…)。
Re: (スコア:0)
IPアドレスも、名前とかメールアドレスとか電話番号と同じ個人情報として管理することを求められてる。
外部リソースを使うって事は、そんなIPアドレスを外部に漏らす設定に意図的にしてるのと同じだから基本アウトです。
ただ、例外で許されていたので今まで使えていただけ。
しかし、米国の法的問題で例外として認められなくなって再びアウトになった。
GDPR対応のサービスにするか、同意を得るまで外部リソースを読まないようにするしかない。
Re:これはどこまで行っても同意表示の問題では? (スコア:2)
・米国法では、データは米国本社が管理して米国に置き、企業は指示や必要に応じ同意や通知を得ず密かに情報を開示する義務がある
・EU法では、データは域内管理者を置いて域内にとどめ、対象個人の同意なく第三者に開示してはならない(第三国の捜査機関を含む)
ので、同時に双方の法律を遵守できないんでしたっけ。
Re:これはどこまで行っても同意表示の問題では? (スコア:1)
事実上、エントリ本文で言ってるのと変わらなくない?
Re:これはどこまで行っても同意表示の問題では? (スコア:1)
リクエスト先は自分のサーバー。データも静的な個人情報ではないデータ(例えば画像とか)。
サーバにはリクエストのログが残るので当然IPも残る。
IPを使って何かしなくてもIPは個人情報なので、リクエストが国外のサーバーなら事前に同意を得る必要がある。
でOK?
でもつまりこれって→エントリ本文
Re: (スコア:0)
いまいち状況がピンと来ないのですが、自身の管理するサーバが海外(米国? EU?)にあるという想定でしょうか。
IPを使って何かするつもりがないのなら、IPをログに残さないという選択肢もあるのではないでしょうか。
Re: (スコア:0)
そ。
GDPRは「個人情報の域外への移転の原則禁止」なので、域内で完結しないとだめ。
ただし、日本なら法的面でのGDPRの「十分性」を認められている [ppc.go.jp]ので、日本のサーバーなら大丈夫かもしれない。
EUから訴えられたり、日本の法改正とか日本の判例とかで米国みたいに「十分性」の取り消しが起きたりと将来どうなるかは解らないけど。
米国は、この「十分性」が認められなくなったのでGDPRを守ろうとする場合に使えません。