GDPRに対応するか、EU圏内のデータ取得を諦めるか?
GDPR自体はEU圏内でサービスを提供するか否かによって異なります。たとえば、弊社(インティメート・マージャー)では各種サービスをEU圏内では使えないように設定しているなど、GDPRに対応するべきかそれともEU圏内のデータの取得を諦めるかなど検討する必要があります。
これは企業のステージにもよりますが、EU圏内で上がっている売上や事業の規模、会社のステージによってGDPRに対応すべきか、それともEU圏内でのビジネスを諦めるかの二択を選ばなければならないケースが出てきています。
GDPRへの対応は一定以上のコストがかかります。そのコストと得られるリターンのバランスを見ながら、対応すべきレベルを検討する必要があるのではないでしょうか。
企業ごとの解釈が異なる「容易照合性」、どう案内する?
ここからはより具体的な内容について触れていきます。4月に施行された改正個人情報保護法において、個人情報と個人関連情報(CookieやIPアドレス)を突合可能な状況かどうかを判断する際に「容易照合性」があるかどうかが議題になるケースがあります。
容易照合性については言葉の雰囲気から「難易度」を示しているように感じられますが、「難易度」を示しているわけではなく「権限」がどのようになっているかが焦点となる項目になります。ここでの「権限」は、データベースにアクセスできる権限を示しており、スキルや難易度ではないというのがポイントとなります。
容易照合性の議論の中では技術面の議論として照合に扱っているIDが「暗号化されている」かどうかが焦点になっているケースもあります。確かに暗号化したIDを利用していると、一見わかりづらくしているかどうかと、ここでいう容易照合性は異なる定義であるということを前提に置いておく必要があります。
