フリーランスエンジニア向けIT系求人・仕事・案件情報サイト
更新日

【第2回】構築ポイント(2) 個人情報について〜現役エンジニアが解説するグローバルサイト制作教室〜

個人情報について

今回はグローバルサイト個人情報の取扱いについて説明をしていきます。
(2019年6月現在)

日本においては個人情報保護法という法律があるものの、この法律は国内法ですので、当然のことながらグローバルな個人情報対応を行う必要があります。
しかしながら各地域の法規に準じた対応を行うのは至難の業になります。

したがって基本的にはグローバルサイトでの個人情報保護の方針は、主要国の中で最も厳しい法規に合わせて対応する必要があります。

そういう意味では現段階ではEUのGDPRに対応することがグローバルサイトにおける個人情報保護対応といえるでしょう。

created by Rinker

では個人情報というのはどのようなものなんでしょうか?

簡単にいうと「個人が特定できる情報」「その個人に付属する情報」になります。

「個人が特定できる情報」とは、「どこそこに住んでいる誰々」というのはもちろんですが、携帯の電話番号も、メールアドレスも、銀行口座番号も関係機関に問い合わせれば特定は可能です。

もうひとつ、「その個人に付属する情報」とは、その個人の性別、身体的特徴、宗教、職業、家族構成、学歴といった項目になります。

これは仮に10万人分の「性別」だけの情報が流出したとしても、そのデータは「男・女」のどちらかが10万レコード入っているだけですので個人情報とはいえませんが、「個人が特定できる情報」と組み合わせることで非常にプライバシーな情報に生まれ変わります。

過去にナチスドイツがこの「個人を特定できる情報」と「宗教」を組み合わせた情報をもとに、非常に残虐な行為を行った経緯があります。

ですので、特に欧州では個人情報の保護というのは単なる法律という範疇を越えて、憲法レベルで、基本的人権の一部として、絶対的に保護すべきものであるという位置づけになっています。

では具体的にどのような対応が必要なんでしょうか?

個人情報の具体的な対応

まず、ユーザが最初にあなたのサイトにアクセスした場合、「Cookie」と「IPアドレス」の取得を承諾する画面を表示します。

そう、「Cookie」も「IPアドレス」も個人情報なんです。

「利用規約」という形でユーザに表示し、承認後は承認したことをCookieに保存すれば、再訪問に際にはメッセージの表示は不要になります。

これは個人情報の中で「ログに記録される個人情報」です。
後程説明に使いますので覚えておいて下さい。

次に会員登録画面です。皆さんが個人情報というと思い浮かぶのはこの部分でしょう。

ここでは「会員規約」という形で、氏名等の個人情報に関する取扱いを述べ、承諾後に会員登録を行います。

これは「マスタに記録される個人情報」です。覚えておいてください。
その後、商品取引などを通じて多くの情報が記録されます。

いつ、だれが、なにを買ったか?どこに届けたか?支払方法は?

このうち「個人が特定できる情報」というのは、氏名、住所、クレジットカード情報が該当します。

しかし、DBの中ではトランザクションデータとして記録されます。

これは「トランザクションに記録される個人情報」といえます。

忘れられる権利について

「忘れられる権利」をご存知でしょうか?
これはGDPRでも定められている自分の個人情報を削除させる権利になります。

個人情報の保護はこの権利についても保証する必要があります。

具体的には会員からの退会を容易することです。
わざと退会のページをわかりにくくするといったことをするのは禁止されています。
削除要請があれば、もちろん個人情報は削除しなくてはいけません。

問題は削除方法です。

先に示した「マスタに記録される個人情報」は、マスタだけでなく多くのテーブルにリレーションを張っています。
ですので、マスタ情報を物理削除するのは望ましくありません。

かといって論理削除すると個人情報はDBに残ったままになります。
ですので、削除要請があったデータは「マスキング処理」を行う必要があります。
「マスキング処理」の具体策については別途確認してください。

次に「ログに記録される個人情報」です。
これは削除要請があったとしても、それに該当するログを見つけ出すのは至難の業です。

ですので、ログの保存期間を規約に設けて、それに従ってログを削除することで忘れられる権利を保障する必要があります。
保存期間は基本的には90日が多いです。

最後に「トランザクションに記録される個人情報」
削除要請があった場合にこれをマスキングするのも至難の業です。

ですのでトランザクションにはできるだけ個人を特定する情報は入れず、マスタとのリレーションを張ることで機能させてトランザクションにはマスタのIDを入れるDB設計を行うことが望ましいといえます。

この場合、マスタの持ち方も工夫が必要です。

今の会員の個人情報を格納するテーブルと、それまでの変更履歴を格納するテーブルを用意しておけば、仮に2018年12月31日に住所を変更した場合でも、トランザクションデータに取引日とマスタのIDさえ記録していれば
2018年にどの住所に届けたのかは把握することができる上に削除要請があった場合でも容易に対応することが可能になります。

\ ログインしなくても検討機能が使える♪ /
新着のエンジニア案件を見てみる