皆さんが普段から利用しているクラウドサービス、例えば、顧客情報を管理するCRMツールやBenchmark Emailの様なメール配信サービスには、個人情報を保存する必要があることから一定のセキュリティレベルが求められています。
Benchmark Emailは元々TRUSTeを取得しておりましたが、この度新たにEU-米国間の個人情報移転に関する新協定である「Privacy Shield」のデータ保護要件に準拠している企業に選ばれました。
ヨーロッパ諸国は日本と比べてもプライバシー保護の意識がとても高いと考えられています。
本記事では、ヨーロッパの個人情報保護規制のレベルや内容がどのようなものであるのかをマーケターの皆さまに知っておいていただくことで、日本でも今後厳格化することが考えられる規制への備えになればと思います。
目次
1. Privacy ShieldとはEUーアメリカ間におけるデータの取り扱いに関する枠組み
Privacy Shieldとは、欧州で取り扱われている個人データを米国に移すことを許容する法的枠組みのことで、その中では米国企業により重い責任を課すことが盛り込まれています。また商務省と米連邦取引委員会(FTC)が厳しい監視と取締りを行うことも条件に含まれています。
そもそもヨーロッパでは日本以上に「プライバシーの尊重」の考えが進んでおり、GDPR(EU一般データ保護規制)の施行を来年に控えたりと個人情報の厳守を重く捉えています。現在はEU加盟国がそれぞれ独自の法規制で情報の厳守を行なっていますが、EU全体で1つの法に則る方針に進むなど、プライバシー保護に対する意識の高さが顕著なのがEUなのです。
参照:EUの個人情報保護法「GDPR」施行まであと1年、対応は「経営課題」
2.それってつまりどういう意味?
Privacy Shieldが定めるルール(data protection rules and safeguards)に則り、個人データを扱う限り(例:使用、保管、転送など)、EU圏内にある個人データをアメリカ国内に安全に移動させることができるというものです。
これにより、EU圏内の市民権の有無にかかわらず、データに与えられた保護が適用されます。
Benchmark Emailなど、クラウドサービス型のメール配信ツールにおいてはクラウド上にアップロードする配信リストの情報がこの協定に則って取り扱われることで、データ保護の安全性の1つの基準となり、GoogleやAmazon、salesforceといった企業も認証を受けています。
3.どのように機能しますか?
Privacy Shieldの要件を満たしていると認められるには認定を受ける必要があります。
さらに、この認証は毎年更新されるもので、更新を行わない場合、この特定の枠組みの下でEUからデータを受信、使用することはできなくなるのです。
4.Privacy Shield認証されているの企業であるかどうかを知るには?
Privacy Shield公式HPより検索することができます。
検索ボックスに企業名を入力し、Privacy Shield認定を受けている場合、次のような結果が表示されます。
(Benchmark Emailは認定されていることが確認できます。)
5.契約書に記載されている権利と義務とは何ですか?
Privacy Shieldに関する全ての権利や義務についてこちらのページで確認することができますが、どのようなものが盛り込まれているのか、キーポイントをご紹介します。
- データの利用用途とその理由、個人データにアクセスする方法、または権利を侵害された際などにおける苦情の提出方法といった情報を得る権利。
- あらゆる目的におけるデータの使用には現在制限がある。
- 企業で保有するデータは最小限に抑え、必要である間だけそのデータを保持する義務がある。
- データを保有する企業はそのデータを安全に管理する必要がある。
- データを別の会社に転送する必要がある場合、Privacy Shield認証を受けている会社がデータを保護する必要がある。
- 個人はデータにアクセスし編集する権利がある。
- 個人がデータ管理に関する問題などが見つかった場合、苦情を提出する権利があり、またその解決策を受けることができる。申し立ての方法はいくつかある。
米国の公的機関により個人のデータへアクセスされた場合、保証される権利がある。
その他知っておくべきことは?
実はこの協定に遵守する上で、ヨーロッパのデータを扱う米国企業はヨーロッパにサーバーを立てる必要があるのではないか、という憶測があるのですが、これは事実ではありません。
条件は、米国に本拠を置く企業がPrivacy Shieldを遵守していることで、Privacy ShieldのHPにて掲載されている企業(=Privacy Shield認証を受けている企業)が管理するデータは安全であることが証明されています。
ビジネスシーンでは日々多くの個人情報を取り扱います。Privasy Shieldなどの公的機関から認証を受けているということは、1つの信頼要素になるかもしれませんね。
ということで今回はEU-米国間の個人情報移転に関するPrivacy Shieldについてお伝えしました。
より詳しい内容を知りたい方はこちら:
・Factsheet
・Guide to the EU-U.S. Privacy Shield
合わせて読みたい:
法律違反になる前に!メルマガとして宣伝・広告メールを配信する際に押さえておくべき「特定電子メール法」