【World news 2018年5月25日施行 難しいGDPRを理解するための9つのクイズ:解答編!】
お待たせしました!前回記事のGDPRクイズの解答編です!
Tak石河
GDPRクイズ 解答編
Q1. GDPRで記載されている『個人情報』の含む範囲とは?
Q1.
GDPR is designed to help people protect and control use of their “personal data” But what does that cover?
(GDPRは『個人情報』の保護と管理を意図しています。では、『個人情報』を含む範囲とは?)
(1) Your name, email address, date of birth and passport number-but nothing else
(氏名、メールアドレス、生年月日、パスポート番号。他には無し)
(2) All the above plus your bank details, social network posts, medical information and computer IP address-but nothing else
(上記(1)に加えて、銀行情報、SNS投稿、医療情報、IPアドレス。他には無し)
(3) All of the above and, under some circumstances, images of your face and information about your relatives among other data
(上記(1)、(2)に加えて、ある状況下においては、顔写真や親戚・親族に関する情報)
(4) Anything and everything you might want to define as being personal to you
(『個人情報』と考えら得るありとあらゆる事項)
解答:(3)
(3) All of the above and, under some circumstances, images of your face and information about your relatives among other data(上記(1)、(2)に加えて、ある状況下においては、顔写真や親戚・親族に関する情報)The UK’s Information Commissioner’s Office defines personal data as: “Information relating to an identifiable person who can be directly or indirectly identified in particular by reference to an identifier.”
It says this includes “name, identification number, location data or online identifier”.
Under some circumstances, this can extend to images, and details about your family.
However, unconnected facts – such as the distance from the Earth to the Moon – would not become personal data just on your say-so.
(おおまかな訳)
The UK’s Information Commissioner’s Officeは、個人情報を「個人を直接的または間接的に特定し得る情報」と定義しています。それには、「氏名、IDナンバー、住所、オンライン上で個人を特定できるもの」を含みます。状況によっては、それは写真や、家族の情報を含みます。
しかし、関連性のない事実―例えば、地球から月までの距離―は、貴方の個人の意見であったとしても、個人情報とはならないでしょう。
「歌舞伎町 ボッタクリ アホ 犠牲者」って検索したら俺のプロフィールが出てきたぜ!これはGDPR違反だな!
「歌舞伎町 ボッタクリ アホ 犠牲者」検索1位の浅田さん
それは、「歌舞伎町でボッタクリに遭うアホな犠牲者」に、浅田さんがならなければいいだけの話ではないでしょうか…。 Tak石河
Q2. アプリが収集している個人情報をどうやったら使わせないようにできる?
Q2.
A free app that relies on adverts to make money has gathered information about you. Under what circumstances can you forbid it to use the data?
(広告収入で運営している無料アプリが、貴方の情報を収集しています。どのような状況下であれば、貴方はそのデータの使用を禁止することができるでしょうか?)
(1) Only if it is attempting to target you with age-restricted products. such as alcohol and pornography
(アルコールや成人向けといった、年齢制限のあるコンテンツを目的とした場合に限る)
(2) Only if it is attempting to sell you products that are age-restricted and/or health-themed
(年齢制限、又は健康関係の製品を販売しようとした場合に限る)
(3) If your personal data is being processed for direct marketing-ie a business promoting its wares directly to you and other members of the public-you will be able to prohibit this issue
(貴方の個人情報が、ダイレクトマーケティング―例えば、商品を直接、貴方や一般大衆に販売すること―に使用される場合に、個人情報の使用を禁止することができる)
(4) It is no longer legal for apps to use personal data gathered before GDPR came into effect
(GDPR施行前に、アプリが収集した個人情報を使用することは既に違法であった)
解答:(3)
(3) If your personal data is being processed for direct marketing-ie a business promoting its wares directly to you and other members of the public-you will be able to prohibit this issue(貴方の個人情報が、ダイレクトマーケティング―例えば、商品を直接、貴方や一般大衆に販売すること―に使用される場合に、個人情報の使用を禁止することができる)Organisations have six lawful bases for processing personal data: Consent, contract, legal obligation, vital interests, public task or legitimate interest – definitions of which are available on the ICO’s website.
But whatever the legal basis, you always have the right to object to the continued processing of your personal data if it’s for the purposes of direct marketing.
If you willingly and explicitly consented to your personal data being used for ads in the past, then apps and others can continue to do so.
(おおまかな訳)
組織は6個の法的根拠に基づき個人情報を処理します:同意、契約、法的義務、重要な利益(※国益など)、公的な業務、正当な利益―これらの定義は、ICOのウェブサイトで閲覧可能です。
しかし、法的な根拠はどうであれ、ダイレクトマーケティングの目的の場合には、度重なる個人情報の処理を拒否する権利があります。アプリが広告用に貴方の個人情報を使用することに同意した場合には、アプリ及びそれに類する物は、個人情報を使い続けることができます。
違うぞ!俺のアプリはあくまで「無課金」が原則だぜ!!そのすぐ後に有料課金のボタンが大量出現するけどな…悪質なアプリを運営する浅田さん
そういうのも該当するよ!
アメリカ人同僚 盟友Liam
Q3. オンラインのチャットサービスが、利用者の個人情報を求める時は…
Q3.
An online chat service wants access to your location and email contacts and is relying on user consent as the legal basis for this. Can it:
(オンラインのチャットサービスが、法的根拠に基づき、ユーザーの同意をもとに貴方の住所とメールアドレスを求めています。どうすればそれは可能ですか?)
(1) Do this automatically the first time you open it, so long as it allows you to delete the data afterwards
(後からデータを削除可能の場合に限り、貴方がサービスを使用し始めた際、自動的に行うことができる)
(2) Show you a pre-ticked box saying you agree to its terms, and then access the data if you don’t deselect it before moving on
「使用前に利用規約に同意します」とチェック済みのメッセージを示せば、貴方がそのチェックを外さずに手続きを進めた場合、(住所とメールアドレスに)アクセスすることができる
(3) Explain how the data will be used, ask you to tick a box to give your consent, and then access the information if you do so
(データの使用用途を説明し、ユーザーの同意を仰ぐチェックボックスを提示し、それにユーザーがチェックした場合に、(住所とメールアドレスに)アクセスすることができる)
(4) Access the location data with your explicit consent, but not your email contacts as they are other people’s personal data
(ユーザーの明確な同意に基づき住所のデータにアクセスできるが、メールアドレスは、他の人の個人情報であるため、アクセス不可である)
解答:(3)
(3) Explain how the data will be used, ask you to tick a box to give your consent, and then access the information if you do so(データの使用用途を説明し、ユーザーの同意を仰ぐチェックボックスを提示し、それにユーザーがチェックした場合に、(住所とメールアドレスに)アクセスすることができる)GDPR says consent means individuals must have real choice and control.
So, they need to have a “clear and concise” explanation as to what they are agreeing to, and pre-ticked boxes and other forms of default consent no longer apply.
(おおまかな訳)
GDPRによれば、「(個人情報の使用の)同意」とは、本当に、選択と操作ができなければなりません。。そのため、使用者が何に合意しているのか、「明確で簡潔な」説明をする必要があり、チェック済みのボックスや、他の携帯の同意を適用することはできません。
何ぃ!!【☑『☑個人情報の使用条件に同意します』←この同意欄に予め☑されていることに同意します】ってやってもダメなのか!?
見苦しすぎる浅田さん
もう痛々しいから、あがくのはやめなさい?
Diana
Q4. SNSを退会しようとした時に、個人情報を消したいのですが…
Q4.
Over time you have grown to dislike being part of a social network and decide to quit. Is the app:
(やがて、貴方はあるSNSに嫌気がさし、退会したいと思いました。その時アプリは…)
(1) Required to tell you how you can order it to delete personal information held about you
(貴方に、個人情報の消去の方法を伝えるよう、要求される)
(2) Required to have an opinion within its settings to hide all past posts, but can privately hold on to records of your activity up to two years
(設定により、「過去の投稿を隠せるが、2年間まではSNS上の記録を個人的に所持できる」ことを伝えなければならない)
(3) Compelled to provide a postal address where you can write to inform it of your wish to delete your data, and can charge you up to 100 euros to comply
(「個人データ消去の希望と、その要望を無視した場合100€の罰金を科す」旨を記載した書面の送付先住所を提供しなければならない)
(4) In most cases, under no obligation to let you close your account or delete any data
(ほとんどの場合、貴方のアカウントや一切のデータの消去に関して通知する義務はない)
解答:(1)
(1) Required to tell you how you can order it to delete personal information held about you(貴方に、個人情報の消去の方法を伝えるよう、要求される)GDPR introduces a right for individuals to demand their personal data be erased under some circumstances.
These include situations when its use has been based on their consent.
Organisations must respond within a month of receiving the request and should comply without charging a fee unless the request is deemed “manifestly unfounded or excessive”
(おおまかな訳)
GDPRは、状況によっては、個人情報を消す権利(忘れられる権利)を導入しています。これらが含む状況は、個人情報の使用が、同意にもとづいておこなわれた時です。組織は、(個人情報を消す)要望を受けた際には、一ヶ月以内に応答する義務があり、「明確な根拠がない要求、又は過剰な要求」とみなされない限りは、その要求に料金を課すことはできません。
みんな、俺のことはもう忘れてくれ…長年重課金したアプリをついに退会した浅田さん
え、アンタ誰だっけ?容赦ないDiana
忘れるの早っ!!!Sales Manager浅田さん
Q5. 緊急手術が必要です!その時個人情報は…!?
Q5.
You are unconscious after a car crash and require a surgery. Your GP can:
(貴方は自動車事故に遭い意識不明となり、手術が必要です。貴方の診療医ができるのは:)
(1) Only share details about your medical history if you have explicitly given them advance permission
(貴方が明確に許可した場合、病歴を伝えることだけ)
(2) Only share details if your next of kin or some other person you earlier gave authority to agrees
(貴方の近親者か、貴方が認めた他の人に限り、詳細を伝えることができる)
(3) Disclosure any details about your medical history they believe is necessary to save your life
(救命に必要と医師が判断した場合、病歴に関する如何なる情報をも開示できる)
(4) Share nothing beyond what you have already put in the public domain
(貴方が公にしたもの以外は伝えることはできない)
解答:(3)
(3) Disclosure any details about your medical history they believe is necessary to save your life(救命に必要と医師が判断した場合、病歴に関する如何なる情報をも開示できる)One basis for processing and sharing an individual’s personal data is that it is necessary to protect their vital interests, which includes saving their life.
So, sharing data with a hospital’s A&E department for an emergency would count, but consent might be needed if it were instead for a pre-planned procedure.
(おおまかな訳)
個人情報の取り扱いと共有には、救命を含む、個人の重大な利益の保護という1大原則があります。そのため、病院における救命治療行為はこれに該当します。
しかし、その治療行為が予定されたものと異なる場合では、同意は必要になるかもしれません。
大変よ、Liamが大怪我をして今直ぐ治療が必要だわ!どうしても治療に必要な情報だから、【Liamの電話番号・住所・メールアドレス・家族構成・両親との同居の有無・過去につきあった彼女一覧表】を私にすぐに教えてほしいの!病んデレ疑惑のDiana
あ、Liamならちょっと膝をすりむいて、さっき治療も終わって回復したから大丈夫だよ Tak石河
(チッ…)Diana
Q6. 動画ストリーミングサービスに個人情報の問い合わせが何回も…その時サービス提供元は?
Q6.
A video streaming service emailed you all the personal data it held about you last week, as requested, but you decide to ask again. Can it:
(貴方の要求に応じて、動画ストリーミングサービスは、(そのサービスが)所有している貴方の個人情報をメールで先週連絡したばかりです。しかし、貴方は再度その情報を聞きました。動画ストリーミングサービスは…)
(1) Refuse to respond the information
(情報公開を拒否することができる)
(2) Provide the data, but this time charge a fee based on its administrative costs
(データを提供するが、今回は管理費に基づき、費用を請求することができる)
(3) Share the data, but take up to six months to do so rather than respond within the normal one-month limit
(データを示すが、通常の一ヶ月以内の期限ではなく、最高で6ヶ月までその返答を引き延ばすことができる)
(4) Send the information, but say this is the last time it will comply
(情報を送るが、これで最後ですよと言うことができる)
解答:(2)
(2) Provide the data, but this time charge a fee based on its administrative costs(データを提供するが、今回は管理費に基づき、費用を請求することができる)GDPR gives individuals a right to access the personal data held on them under some circumstances.
Organisations are encouraged to make this possible via the internet, and are supposed to respond within a month.
However, if a user subsequently asks to be sent further copies of their data after the original demand is dealt with, then the service involved can charge a “reasonable fee” based on its administrative costs.
(おおまかな訳)
GDPRでは、個人の、個人情報アクセス権は、条件付きで認めています。組織は、インターネットを通じてこれを行うよう進められており、問合せを受けた後、一ヶ月以内に応答することとなっています。
しかし、ユーザーが立て続けに、初回の要求後立て続けに個人情報のコピーを求めた場合には、サービス提供元は、その管理費用にもとづいた「妥当な料金」を課すことができます。
しつこすぎる人はダメってことよね。まあわかるんだけど、誰がこんなことをするんでしょうね?Diana
想像ですが、「個人情報を勝手にリクエストしまくるウイルス」みたいなものが登場したら本当に怖いですね Tak石河
Q7. 重要な情報の入った財布を無くしてしまいました!
Q7.
You lose your wallet. Inside is a scrap of paper on which you had written down your work login and current password. Your IT department confirms that an unidentified party entered your account, giving them access to a file containing the names and addresses of 12 police informants involved in a project you are working on. Is it the case that:
(貴方は財布を無くしました。財布の中には、貴方の職場のログインIDと現在のパスワードを記した紙きれが入っています。貴方の会社のIT部門は、不特定の第三者がそのアカウントを使ってログインし、貴方が今取り組んでいるプロジェクトに関わる、12人の警察情報提供者の氏名・住所を含むファイルにアクセスできる状況になっているとの事。この場合は…)
(1) If you changed your login details within an hour of discovering this, you don’t need to do anything else
(事態発覚後、1時間以内にログイン情報を変更すれば、他に何もすることはない)
(2) If you tell your employer, who emails each of the informants that week to let them know of the mistake, the matter can rest
(貴方の雇用主にその旨を告げ、また情報提供者全員に過失を連絡すれば、事態は収束する)
(3) In addition to alerting informants, your employer must notify the local data protection regulator within a fortnight
(情報提供者に連絡することに加え、2週間以内に、貴方の雇用主は、その地域の情報保護の担当者に、過失を通知しなければならない)
(4) In addition to alerting the informants, the local data protection regulator must be notified within three days even if that’s too soon to provide all the information they will require
(情報提供者に連絡することに加え、72時間以内に、その地域の情報保護の担当者に、過失を通知しなければならない―例え、要求される全情報の通知には猶予が無かったとしても―。)
解答:(4)
(4) In addition to alerting the informants, the local data protection regulator must be notified within three days even if that’s too soon to provide all the information they will require (情報提供者に連絡することに加え、72時間以内に、その地域の情報保護の担当者に、過失を通知しなければならない―例え、要求される全情報の通知には猶予が無かったとしても―。)GDPR introduces a duty to report certain types of data breaches within 72 hours of them being detected, even if all the details are not yet known.
If individuals are also put at significant risk, they must also be informed.
Failure to comply can entail a fine of up to 20m euros (£17.5m; $23.6m) or 4% of the organisation’s annual global turnover – whichever is greater. But the penalty for delayed reporting alone tops out at 10m euros or 2% of global turnover.
(おおまかな訳)
GDPRは、ある種のデータ流出に対して、全ての詳細が知られていなかったとしても、データ流出判明後72時間以内に報告することを義務化しています。
この義務を怠った場合、世界年間売上高の4%又は、2千万ユーロの高い方を上限とする制裁金が課されます。しかし、報告が遅れただけの場合は、世界年間売上高の2%又は、1千万ユーロの高い方を上限とする制裁金が課されます。
くっ、やっと「がっぽりウハウハ君」の顧客情報悪用流出報告書ができたぜ!Sales Manager浅田さん
浅田サン、残念でしタ。データ流出事故発生から72時間1秒が経過し、72時間以内のルールを守れなかったノデ、世界年間売上高の2%又は、1千万ユーロの高い方を上限とする制裁金が課されますので夜露四苦( `・∀・´)ノヨロシク!!
Manager Ben
笑い話みたいだけど、このルールって本当にそういうことよね!Diana
これ、例えば金曜夜にデータ流出が判明したら、土日は休日返上で調査して報告しないと、とんでもない制裁金が待っていますね(※実際、EU圏内に顧客のある企業は、戦々恐々としています!) Tak石河
Q8. 飲食店の仕事の応募をAIに落とされました
Q8.
Your application to work at a restaurant is turned down, and you are told it was rejected by the firm’s artificial intelligence system. What are your options?
(飲食店に求職した所、断られました。そしてそれは会社のAIによるシステムにより拒否されたことを告げられました。貴方の意見は?)
(1) You can force the decision to be reconsidered even if you earlier gave consent to the use of an automated system
(自動システムの使用に、事前に同意したとしても、再考するように強く求めることができる)
(2) You can ask for details of the logic involved in the decision and ask a human to reconsider your application
(その決断に至った理論的な詳細説明を求め、AIではなく人間に、貴方の応募を考え直すよう伝えることができる)
(3) You can demand information about the background and qualifications of the person/people chosen over you
(貴方以外に合格した人のバックグラウンドや、条件に関する情報を求めることができる)
(4) You have the right to inspect the code used to vet applications
(応募を検査する際に用いられた情報を調査する権利がある)
解答:(2)
(2) You can ask for details of the logic involved in the decision and ask a human to reconsider your application(その決断に至った理論的な詳細説明を求め、AIではなく人間に、貴方の応募を考え直すよう伝えることができる)GDPR gives an individual the right to challenge decisions made solely on the automated analysis of their personal data if they did not consent to it in advance.
Those affected can ask for access to the details on which the decision was based.
They also have the right to have a human double-check that a mistake was not made.
(おおまかな訳)
GDPRは個人に、事前に同意がない際、個人情報の自動的な分析のみに基づく決定に、異議を唱えることができます。そのような決定に至った詳細を聞くことができます。さらに、その決定に間違いがなかったかについて、人間によるダブルチェックを求める権利も認めています。
チキショウ‼何で俺のjob applicationがAIで勝手に落とされるのか理由を教えてくれよ!Sales Manager浅田さん
貴方の異常な性癖が、ジェネラル・マネージャーの職責には不適格とAIによって判断されましタ。弊社の担当者(人間)2名のダブルチェックによれば、貴殿はこの一ヶ月、A○AZONで「ぼくの×休み シリーズ」という非常に問題のある商品を数回にわたって購入したことが明らかになっていまス。GDPRに基づき淡々と傷をえぐるBen
わかった、わかったからもうやめてくれーーー!!!Sales Manager浅田さん
「ぼくの×休み シリーズ」って何?Diana
某私立女子高で流通した問題作(以下自主規制) Tak石河
Q9. 退会したジムの個人情報を、新しいジムへと引き継ぎたいのですが…
Q9.
You decide to quit membership of a gym chain to join a rival. Must the original gym:
(あるジムを退会し、競合他社のジムに入会しました。前のジムがしなければならないことは…)
(1) If you request it, give you an electronic copy of any personal data you shared with it in a form that can be entered into the new gym’s system
(貴方の要求に応じて、新しジムの入会に必要な様式で、個人情報の電子媒体でのコピーを提供しなければならない)
(2) If requested, give you any data it holds on you, but in a proprietary file format that can only be used its own systems in case you rejoin later
(貴方の要求に応じて、如何なるデータも渡さなければならないが、再入会目的のみで用意された、ジム指定の形式でのデータ提供となる)
(3) Delete any data it holds on you but is under no obligation to give you a copy
(如何なるデータも消去しなければならないが、そのデータのコピーを提供する義務はない)
(4) Provide a single printed copy of the processed personal data it held on you within 28 days of receiving a request but no more
(貴方の要求後28日以内に、加工された個人データの、印刷されたコピーを1部提供しなければならないが、それ以上のことをする必要はない)
解答:(1)
(1) If you request it, give you an electronic copy of any personal data you shared with it in a form that can be entered into the new gym’s system(貴方の要求に応じて、新しジムの入会に必要な様式で、赤なる個人情報の電子媒体でのコピーを提供しなければならない)GDPR includes the right to obtain and reuse personal date from one service to another.
As such the data must be provided in a commonly used and machine-readable format.
(おおまかな訳)
GDPRは、個人情報を、あるサービスから別のサービスへと再利用する権利を認めています。その適用範囲は、個人情報の処理の法的根拠が、同意又は契約、または(個人情報の処理は)自動化された方法で行われた場合に及びます。
その個人情報のデータは、一般的に用いられ、機械で読み取り可能な形式で配布されなければなりません。
へぇー。これは便利ね!つまり、今のジムから別のジムに鞍替えした際に、いちいち入会書に個人情報を書いて登録…なんて作業もしなくていいわけね!Diana
個人的には、これは便利だとは思うんですが、本当にジム間でやりとりされる個人情報が、ちゃんと守られるのか?という危惧がありますね。 Tak石河
そのためのGDPRなんじゃないかな?アメリカ人同僚 盟友Liam
いかがだったでしょうか?
このクイズを通じて、皆さんのGDPRについての理解が少しでも深まれば幸いです!!
