KINTO Tech Blog


KINTOのグローバル展開における個人データ関連法対応

M.Mori
M.Mori
Cover Image for KINTOのグローバル展開における個人データ関連法対応

はじめに

グローバル開発グループの森です。普段はGlobal KINTO WebのPdM 兼 グローバル開発Gでの個人データ関連法の窓口を担当しています。
KINTOは日本国内のみではなく、関連会社やパートナーによって、世界中30か国以上にサブスクリプションやレンタカーなど様々なサービスが展開されています。Global KINTO Webではその一覧をご確認いただけますので、ぜひご確認ください🔎今回の記事はサービスをグローバルに展開する上で避けては通れない各国の個人データ関連法に対応したお話です。

※グローバル開発グループはKINTOテクノロジーズの所属ですが、開発した製品は親会社であるトヨタファイナンシャルサービス株式会社のアセットとなるため、本法令対応はトヨタファイナンシャルサービスとして対応しています。

背景

KINTOは「Ever Better Mobility For All」をブランドプロミスとして、世界中の方々にシームレスな移動体験を提供すべく、日々製品・サービスの開発を行っております。世界中のKINTOサービスをシームレスにご利用いただけるよう、各サービスのIDを連携させる仕組み 「Global KINTO ID Platform (GKIDP)」 を提供しています。詳細について本記事では割愛しますが、このGKIDPを利用することで、A国のKINTOユーザーがB国のKINTOサービスを同じIDで利用できるようになります。つまりあらゆる国の間でKINTOユーザーの氏名やメールアドレス等、個人データの移転が発生します。
尚、「個人データ」とは、国によって定義が異なり、例えばGDPR上の「個人データ」は以下のように定義されます。

個人情報保護委員会は「識別された自然人又は識別可能な自然人(「データ主体」)に関する情報」と訳しています。 氏名のように単体で個人を識別できるものだけでなく、組み合わせることで、個人を識別できるデータも対象になります。
引用:【用語解説】GDPRとは?個人データを守るための重要ポイント|CX Clip by KARTE

また、欧州経済領域 (EEA、以下、欧州)のGDPR (General Data Protection Regulation)や、米国ではカリフォルニア州のCCPA (California Consumer Privacy Act)等、各国で強力な個人データ関連法が制定されており、日本国内でも2022年4月に改正個人データ関連法が全面施行されるなど、個人データ保護を強化する動きは世界中で加速しております。欧州を中心に規制当局によって名だたる企業が法令違反の指摘を受け、高額な制裁金を科されています。

参考:高まるプライバシー保護の重要性--GDPR違反による高額な制裁金を振り返る

こういった世界中の動きの中、各国KINTOサービスへGKIDPを提供する上で各国の個人データ関連法への対応をすることとなりました。

KINTO_Privacy

GDPR準拠とグローバル展開時の課題

1. Data Transfer Agreement

Data Transfer Agreement (DTA) とは、個人データを別の管轄区域や組織に送受信する際の条件を定めたAgreementで、サインした事業体間の個人データ処理およびグローバルなデータ転送をカバーすることを目的としております。今回、我々はグローバルに個人データを送受信することを想定し、”Global Data Transfer Agreement (GDTA)"のフレームワークを整備しました。

GDTAの構成 内容
Agreementのスコープ Projectの説明とGDTAの範囲を記載
各事業体の役割と責任 役割の定義と責任の範囲を記載
附従契約条項 他のKINTOサービス提供者がGDTAに参画することを認める条項
別紙 想定される役割と処理のシナリオをカバーする条項を含む

GKIDPに参画する各社はこれにサインせねばならず、新しい事業体がGKIDPに参画する場合に以下のステップが必須となります。
✅ 各事業体の役割を特定し、GDTAにサイン
✅ ユースケースを考慮した個人データのグローバル移転に関するリスクレベルの評価
✅ 適切なデータ転送メカニズムの適用

sign_process

2. 役割の定義

個人データを処理する上でGDPR上では以下の定義がされており、各事業体はそれぞれの役割を定義した上で適切な契約が必要です。

役割 定義
管理者
(Controller)
単独または共同で個人データ処理の目的と手段を決定する
管理者はデータ処理の適法性の責任を負いGDPR違反に対する責任を負う
処理者
(Processor)
管理者を代理して、個人データの処理を行う

GKIDPの場合は以下のような整理から、GKIDPに関わる全ての事業体を 「共同管理者 (Joint Controller)」 と位置付けます。

  • 各KINTOサービスを展開する事業体(各国KINTOサービス提供者)
  • GKIDPを開発し、ユーザーデータを管理する事業体 (トヨタファイナンシャルサービス)

3. ユースケースとデータ移転

個人データを移転するにはその国が十分な規制を持っているかなどの評価が必要です。例えばGDPRのケースでは、 欧州から見て十分な法令を所持していると認定(十分性認定)された国 はその認定をデータ移転の根拠とすることができます。一方で、認定を有していない国に関しては別途Standard Contractual Clausesを締結するなどの処置が必要です。

EU域内から域外へ個人データを移転するには、
十分な個人データ保護の保障
(欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定)
BCR(Binding Corporate Rules:拘束的企業準則)の締結
(企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)
SCC(Standard Contractual Clauses:標準契約条項)の締結
(データ移転元とデータ移転先との間で、欧州委員会が認めたひな形条項による契約の締結)
明確な本人同意
等、一定の条件を満たさなくてはなりません。
引用:GDPR |個人情報保護委員会

その上で、今回我々は各ユースケースごとに以下の整理としました。

ユースケース 移転根拠
欧州域内の事業体間 欧州域外にデータ移転が無いため、GDTAに参画するのみ
欧州→十分性認定のある 十分性認定を根拠として、欧州域外へのデータ移転が可能
※ 欧州の十分性認定がある国一覧:GDPR |個人情報保護委員会
欧州→十分性認定のない GDPRに基づいて、GDTAに付随する形でStandard Contractual Clauses(SCC)[1]とTransfer Impact Assessment (TIA)[2]にサインをした上でデータ移転が可能

4. 欧州GDPRに基づくSCCとTIA

欧州から「十分な法令を有していない=十分性認定が無い」と判断される国は、欧州のデータを自国に移転させるためにStandard Contractual Clauses (SCC)を締結した上で、さらにそのデータ移転をTransfer Impact Assessment(TIA)にて評価する必要があります。GKIDPに参画いただく事業体にも、この必要性を説明した上でそれぞれサインするように動いています。
今回は詳細は割愛しますが、機会があれば別の記事でお話します。

参考:個人データの第三国への移転のための標準契約条項に関する2021年6月4日付欧州委員会実施決定(EU)2021/914

今後の課題

上記1~4のステップを踏み、それぞれサインをしてようやくデータ移転が可能となります。このプロセスを形にするために、GDPRの当事者としてイタリアと実際のGDTAのドラフトを含んで1年近くかかりました。今後はこのステップに則ってGKIDP参画事業体との契約を進めます。

上記はあくまでGDPRを基準にして記載しましたが、他の国にもデータをグローバルに移転させる上で必要な文書が存在する可能性があります。連携サービスが増える度、それぞれの法令とGDPRの差分を調査し、対応を進めて参りました。今後、KINTOがEver Better Mobility For Allを世界中に提供できるようになるためには、更に多くの国へ導入が必要となりますので、それぞれの国が持つ法令への遵守します。

さいごに

このプロジェクトには入社したての頃にアサインされ、それまでGDPRはおろかプライバシーポリシーすら流し読み程度でした。そんな私が今ではグローバル開発グループの個人データ関連法窓口として、内部メンバーの質問に答えたり、社内のセキュリティチームなどの有識者と専門的な会話ができたりするようになったのは、「自ら知識を得ようとする人を歓迎・評価する風土」がKINTOテクノロジーズ内にあったからです。これからもこのような風土の中で個人データ以外にも自身のスキルアップに努めたいです。

尚、GDPRについての詳細は、インターネット上でも様々な記事が公開されておりますが、私は以下を参考にしていました。情報がまとまっていてとてもわかりやすいです。もちろん、素人だけで対応するのは危険なので、有識者からの意見は大事です 👨‍⚖️

出典:

脚注
  1. SCC:欧州内の個人データの域外移転をGDPR上適法化するための手段の一つで、欧州が決定したデータ移転契約のテンプレート ↩︎

  2. TIA:新SCCでは、データ移転先の法令やSCCの内容の評価を実施し、まとめた文書 ↩︎