モバイルアプリをGDPRに準拠させる方法

GDPRとは何ですか？

GDPRは、一般データ保護規則の略です。
GDPRは、2018年5月25日から施行されます。GDPRは、ユーザーデータの保存と使用を保護し、ユーザーデータを管理する企業ではなく、ユーザーがデータを管理できるようにすることを目的としています。

GDPRの主な定義

アプリのGDPRを理解しやすくするために、この記事全体で参照するいくつかの重要な定義があります。
データ管理者：データ管理者は、個人データを収集および処理する目的と手段を決定するエンティティです。 あなたがウェブサイトまたはモバイルアプリを所有していて、何を収集するか、どのように収集するか、そしてどのような目的で収集するかを決定している場合、あなたはデータ管理者です。
データ処理者：データ処理者は、データ管理者に代わって個人データを処理する組織です。 たとえば、Analytics（Google Analytics、KISSMetrics）、Cloud Services（AWS）など、お客様のWebサイトまたはアプリにプラグインするサードパーティのサービスで、顧客データにアクセスまたはホストします。
データ主体：データが処理される自然人。 たとえば、アプリユーザーやウェブサイトの訪問者などです。
GDPRの定義の完全なリストについては、規制の第4条をご覧ください。

GDPRは私に影響を与えますか？

おそらくそうです！
GDPRは、欧州連合（EU）からの顧客、またはWebサイト/モバイルアプリの訪問者がいるすべてのビジネスに適用されます。 これは、EU居住者の個人データを何らかの方法で扱う世界中の組織には、ユーザーのデータを保護し、GDPRに準拠する義務があることを意味します。

GDPRの下で「個人データ」とは何を指しますか？

GDPRに基づく「個人データ」には、特に識別子を参照することで直接的または間接的に識別できる識別可能な人物に関連する情報が含まれます。
これの範囲は広く、個人情報から、Webサイトの使用状況を追跡するために使用する可能性のある分析追跡ツールによって誰かのブラウザに配置されるCookieまで、あらゆるものが含まれます。
ウェブサイトやアプリの場合、これは、名前やメールアドレスなどの個人識別情報を収集して保存する方法を検討する必要があることを意味しますが、ユーザーのIPアドレスやデバイスID（デバイスが外部SDKと共有する一意のID）なども考慮する必要があります。広告と分析用）。

GDPRはモバイルアプリにとってどのような意味がありますか？

GDPRに準拠していない場合の罰金は高く、世界の年間売上高の4％または2,000万ユーロ（いずれか大きい方）です。
GDPRへの準拠は、顧客やWebサイトの訪問者、またはEUのアプリユーザーとのすべてのビジネスの要件になっているため、モバイルアプリがGDPRに準拠しているかどうかについて心配する必要があります。
モバイルアプリのパブリッシャーは、ユーザーデータを取得、転送、保存、処理する方法を理解する必要があります。 ユーザーのデータセキュリティを現在どのように確保しているか、およびGDPR準拠のモバイルアプリを作成するためにこれを改善するために何ができるかを正確に理解するために、少し時間がかかる必要があります。
Cennydd Bowlesは、最初は多くの作業が必要だったとしても、準拠する必要がある理由を次のように要約しています。 一部のKPIは不振になる可能性があります。 しかし、直接的な顧客関係を持っている企業にとって、それはすべて管理可能であり、利点として、コンプライアンスリスクを軽減するだけでなく、顧客があなたや一般的なオンライン世界で示す信頼の向上から利益を得ることができます。」
GDPRコンプライアンスを確保するのに役立つ、モバイルアプリとビジネス全般に関連する重要なハイライトがいくつかあります。
下にスクロールして、GDPR準拠のモバイルアプリを入手するために考慮すべき9つの事項を見つけます。

1.プライバシーバイデザイン

プライバシーバイデザインは、GDPRの下での法的要件になりました。 モバイルアプリの作成を開始した瞬間から、ユーザーのプライバシーを考慮する必要があります。
GDPR第23条によると、アプリは絶対に必要なユーザーデータのみを保持して処理する必要があります。
つまり、モバイルアプリを開発する場合、またはサードパーティに開発させる場合は、データ保護とユーザーのプライバシーを考慮する必要があります。
プライバシーバイデザインは新しい概念ではなく、アプリ、ウェブサイト、またはソフトウェアのユーザーデータのプライバシーを、後から考えるのではなく、最初から考えることに関係しています。 プライバシーバイデザインの考え方には、必要なデータと不要なデータを決定することが含まれます。 プライバシーを念頭に置いてアプリを設計するためのBrianPaganの概要では、ユーザー名と生年月日が本当に必要かどうかを尋ねています。 多くの場合、これらのフィールドの1つだけで十分です。 彼は次のように書いています。 「誰かが私の名前でクレジットカードを開くリスクは、その「お誕生日おめでとう」を取得することのメリットをはるかに上回ります。 スパムあなたの会社からのマーケティングEメール。」
モバイルアプリを設計および構築する際には、すべてのオプションを検討する価値があります。
法的要件であるだけでなく、アプリユーザーは、自分たちの利益のためにプライバシーに関する追加の考慮事項を高く評価します。

私たちの推奨事項：

最初からユーザーデータについて考え、後から考えないでください。
ウェブサイトのページがモバイルアプリ（お問い合わせフォームなど）に読み込まれている場合は、アプリを確認するときにウェブサイトで行われているデータ収集を考慮してください。
GDPRに準拠し続けるために、新しい機能を作成するとき、またはアプリに新しいページを作成するときは、プライバシーバイデザインについて検討する必要があります。
これに加えて、強力な暗号化アルゴリズムを使用して個人データを暗号化する必要があります。 これにより、データ侵害の影響を最小限に抑えることができます。

2.明示的な同意を求める

GDPRの下では、企業は個人データを収集、使用、移動するためにユーザーの同意を要求して受け取る必要があります。
これには、広告、分析、クラッシュロギングなどのために収集されたデータが含まれます。 オプトインは理解可能で明確でなければなりません。 誰も読んだり完全に理解したりする可能性が低い、紛らわしい利用規約を回避することはできません。
明示的な同意は、アプリの起動時にオプトイン画面から簡単に付与できます。 アプリのユーザーは最初にアプリをダウンロードすることを選択したため、受信者がメリットを確認できれば、ほとんどの人がアプリを使用してビジネスからさらに連絡を受け取るために同意を与えることができます。
また、ユーザーは、同意を与えることができるのと同じくらい簡単に同意を取り消すことができなければなりません。 これに対処するためにプライバシーポリシーを更新し、ユーザーがオプトアウトできる別のページをWebサイトに追加する必要がある場合があります。

私たちの推奨事項：

誰かがあなたのモバイルアプリに登録するとき、彼らは彼らのデータを収集するか、電子メールやプッシュ通知などの通信を受信するためにオプトインするように求められるべきです。 GDPRに完全に準拠する唯一の方法であるため、アプリの起動時に同意画面を表示することを強くお勧めします。 また、これらの画面で、データが使用される場所を正確にユーザーに通知する必要があります。 たとえば、Google Analyticsで追跡されますか、それとも関連する広告を表示するためにデータがGoogle Admobに送信されますか？ ユーザーは知っておく必要があり、GDPR準拠のモバイルアプリの使用を開始したらすぐにユーザーに通知する必要があります。
これに加えて、 GDPR準拠のモバイルアプリには、ユーザーがあなたからの通信をオプトアウトしたり、データを削除するように要求したりできる専用のページが必要です。
MobiLoudは、モバイルアプリにプッシュ通知設定ページを提供します。このページは、少なくともアプリの通知に関係するものに役立ちます。

3.可視性と透明性の提供

GDPRの最も重要な側面の1つは、収集したデータが実際にどのように使用されるかです。 データ管理者の場合、ユーザーがユーザーデータを効果的に管理し、保護する方法を知っておく必要があります。
明確で理解しやすいプライバシーポリシーを通じて可視性と透明性を証明することは、モバイルアプリのユーザーに利益をもたらすだけでなく、AppStoreからの要件でもあります。 Playストアのプロフィールページでプライバシーポリシーが見つからず、アプリ内でアクセスできない場合、Googleはアプリを削除します。
また、ユーザーデータの収集または処理に使用しているサードパーティに関する情報をユーザーに提供する必要があります。
たとえば、アプリがユーザー分析ソリューション（Google Analytics、Fabricなど）、広告プロバイダー（Admob、MoPubなど）、プッシュ通知プロバイダー（Firebase、OneSignalなど）などの外部サービスに接続する場合は、これをユーザーに明確に開示する必要がありますプライバシーポリシーで。
また、ユーザーデータを収集するすべてのサードパーティプロバイダーがGDPRに準拠していることを確認する必要があります。 あなたが「データ管理者」であり続ける間、彼らは「データ処理者」になるでしょう。 そのため、GDPRが要求するデータ保護とセキュリティの面での保証のレベルを満たす書面による合意が必要です。 それらのいくつかについては、データ処理契約に署名して、契約の既存の条件に必要な文言を追加することができます。

私たちの推奨事項：

モバイルアプリのアプリのプライバシーポリシーページを作成または更新します。 モバイルアプリの法的条件にリンクするサイドバーまたはメニュー項目を選択できます。 これにより、ユーザーはモバイルアプリがデータをどのように使用しているかを簡単に検索、読み取り、理解できるようになります。
ウェブサイトのコンテンツに基づいてアプリを構築し、MobiLoudを使用している場合、これは非常に簡単で、アプリの設定の[メニュー構成]タブからアプリのメニューへのリンクを追加することで実行できます。

4 。 ユーザーの要求に応答する

誰かがあなたが彼らのデータをどのように使用しているかを尋ねた場合、GDPRの下であなたはそれらに応答することが法的に義務付けられています。 これは、サブジェクトアクセス要求と呼ばれます。
サブジェクトアクセスリクエストは、物理的またはデジタル的に実行できます。 ユーザーが自分のデータまたはモバイルアプリで使用されているデータのコピーに関する情報を要求した場合、1か月以内に回答する必要があります。 複雑なリクエストの場合、応答までに最大3か月かかります。
これは、カスタマーサービスにより多くの時間と労力を費やす必要があるように思われるかもしれませんが、ビジネスがGDPRに準拠したプロセスを持つように設定されている場合は、それほど時間はかからないはずです。 結局のところ、顧客とモバイルアプリユーザーに高品質のカスタマーサービスを提供することは良いことです。
最初はこれらのアドホックに応答できますが、最終的には、この種の要求に対する応答を生成するための内部プロセスが必要になります。

私たちの推奨事項：

ウェブサイトとモバイルアプリの両方に、ビジネスの連絡先情報を含むページを作成します。 これにより、ユーザーはあなたに簡単に連絡でき、あなたの側からの透明性を提供できます。 すべてのサブジェクトアクセス要求に迅速かつ明確に応答するように努めてください。

5.忘れられる権利

GDPRの第17条は、消去する権利、つまり「忘れられる権利」を強調しています。 つまり、ユーザーがウェブサイトやモバイルアプリから取得したデータを削除するように求めた場合、データを直接管理するか、使用するツールやSaaSを介して管理するかにかかわらず、すべてのシステムでユーザーが保持しているすべての個人情報を削除する必要があります。アプリ内（たとえば、Google Analytics）。
モバイルアプリをGDPRに準拠させたい場合は、アプリから直接自分のデータベースからユーザーデータを削除するか、ユーザーがデータの消去をリクエストできる簡単な連絡フォームまたは専用ページを用意するなどのソリューションを提供することを選択できます。 。

私たちの推奨事項：

透明性を保ち、ユーザーがデータの消去について簡単に連絡できるようにします。 誰かがデータの消去を要求した場合は、その要求を真剣に受け止め、制御するすべてのシステムでその要求に準拠してください。
また、サードパーティのデータプロセッサに、サーバーからもデータを削除する必要があることを通知する義務があります。 これは、個人データの削除を可能にする彼らのAPIを呼び出すことによって行うことができます（これがプロバイダーによって利用可能になっている場合）。

6.使用するサービスとSDKを確認します

アプリが処理のために（アプリの使用状況を分析するためなどに）外部サービスに個人データを送信する場合、これがどこにあるか、転送されたデータを誰が管理するかについて明確かつ透過的である必要があります。
次に、データプロセッサとデータ処理契約（DPA）に署名する必要があります。 ビジネスとデータ処理者の間の書面による契約は、GDPRの下での一般的な要件になります。 あなたがこれを成し遂げるのが早ければ早いほど良いです！
アプリに接続されているすべてのサードパーティとSDKがGDPRに準拠していると思い込まないでください。 サードパーティの1つでデータ侵害が発生し、ユーザーデータが公開された場合は、ユーザーが責任を負います。
すべてのサードパーティのデータプロセスがGDPRに準拠し、適切なデータセキュリティ対策を講じていることを確認するのは、データ管理者、この場合はアプリの発行者の責任です。 これを確実にするには、サードパーティパートナーと直接話し合い、最新のプライバシーポリシーと利用規約、およびGDPRコンプライアンスのためにサードパーティが何をしているのかを尋ねる必要があります。
データを処理するベンダーを徹底的に分析し、それらがGDPRに準拠しているかどうかを理解するために時間をかける必要があります。 米国を拠点としている場合、EU-USプライバシーシールドフレームワークに登録されていますか？ どの企業もこれに基づいて自己認証を行うことができ、そのベンダーがGDPRに準拠するには、この認証を取得する必要があります。
それはかかる時間の価値があります–
EnolaLabsのCTOであるMarcusTurner氏は、次のように述べています。 私はよく企業に、データを保護するために今すぐ前払いの費用を支払うか、サイバーセキュリティ攻撃まで待って後で混乱を解消するためにさらに高い価格を支払うことができると言います。 待つことはあなたのビジネスに非常によくかかるかもしれません。
したがって、時間をかけてテクノロジーサプライヤを確認し、ビジネスがGDPRに違反するのを防ぐのに役立つ必要なサプライヤに投資するようにしてください。

私たちの推奨事項：

GDPR要件が満たされ、ユーザーのデータが十分に保護されるという「十分な保証」を提供できるプロバイダーとのみ契約を結ぶ必要があります。
多くのベンダーは、自社のWebサイトにGDPRページを掲載するか、GDPRに準拠するためにプライバシーポリシーまたは利用規約を更新しています。 これに精通するか、サポートチームまたは法務チームの誰かに相談して、GDPRに準拠しているかどうかを理解する必要があります。

7.データ侵害の通知

顧客と企業の間の信頼を高め、Yahoo！、Uber、Equifaxなどの企業からの顕著なデータ侵害を受けて、GDPRは、企業が国の監督当局とそのユーザーに通知する期限を厳しくしています。 開示は72時間以内に行われなければなりません。
これがあなたのビジネスで可能であることを確実にするために、あなたはあなたのデータの継続的な監視を確実にするためにテクノロジーに投資する必要があるかもしれません、そしてそれはリスクが存在するときあなたに通知します。 また、ユーザーに通知する方法やユーザーのデータを保護する方法など、データ侵害にどのように対応するかについて明確な手順を確立する必要があります。

私たちの推奨事項：

データ漏えいの場合に使用できる明確なステップバイステップのプロセスを確立します。これには、ユーザーと各国の監督当局に漏えいを通知する方法が含まれます。

8.データ保護責任者の任命

GDPRに準拠するために、企業はデータ保護責任者（DPO）を任命する必要がある場合があります。 これは、次の場合に適用されます。

• あなたは公的機関です（司法上の立場で行動する裁判所を除く）。
• コアアクティビティには、個人の大規模で定期的かつ体系的な監視が必要です（たとえば、オンライン行動追跡）。 また
• あなたのコアアクティビティは、特別なカテゴリのデータまたは犯罪の有罪判決と犯罪に関連するデータの大規模な処理で構成されています。

これはすべての読者に当てはまるわけではありませんが、ウェブサイトやモバイルアプリが大量の個人データを処理する場合は、内部コンプライアンスの監視、ビジネスデータ保護の義務に関する情報提供、アドバイスを支援するデータ保護責任者が必要かどうかを検討する必要があります。 、およびデータ主体（つまりユーザー）と監督当局の連絡窓口として機能します。

私たちの推奨事項：

準拠するためにビジネスにDPOが必要かどうかを評価します。 その場合は、1つを指定し、WebサイトまたはモバイルアプリのユーザーにDPOへの連絡方法を通知する必要があります。

9.暗号化とデータストレージ

モバイルアプリケーションは、外部通信にSSLまたはHTTPSを使用する必要があります。 あらゆる種類の個人情報を伝達する場合、そのデータは暗号化する必要があります。 データを暗号化しないということは、送信される情報がクリアテキストであり、インターネット上で公開されることを意味します。
WebサイトまたはWebサーバーに接続し、機密データ（ユーザー名/パスワードなど）を送信するアプリを作成した場合は、アプリからのすべての接続にSSLを使用していることを確認する必要があります。
暗号化は、外部通信だけに関係するわけではありません。 モバイルアプリが収集するすべてのデータは安全な場所に保存する必要があり、バックアップも暗号化する必要があります。 ユーザーは、データが保持される期間も知っておく必要があります。

私たちの推奨事項：

アプリがSSLとHTTPSを介した安全な通信を使用していることを確認し、SSL証明書が適切に展開されていることを確認します。
保存されるすべてのデータは暗号化を使用する必要があり、このデータを保持する期間にわたってデータ主体に透過性を提供する必要があります。

10.データ収集を記録して正当化する

GDPRの第30条では、各データ管理者、または管理者の代表者は、 「その責任の下で処理活動の記録を維持する必要がある」と概説しています。
つまり、GDPRへの準拠を確実にするために、収集したすべてのデータの文書化を開始する必要があります（自分自身またはサードパーティを通じて）。
データ収集アクティビティの安全で包括的なログを作成する必要があります。
これを行う方法の良い例として、 GDPRコンプライアンスに関するスタートアップリソースガイドのステップ1を読むことをお勧めします。
このログには、Webサイトの訪問者およびユーザーに関して収集しているあらゆる種類の個人データが含まれている必要があります。 人々の名前（収集されている場合）からIPアドレス、そして彼らがいる国まで。
次に、このデータを収集する理由を正当化する必要があります。 保存する場所、保存期間、データ収集を正当化する方法などを特定する必要があります。

私たちの推奨事項：

収集するあらゆる種類のユーザーデータを十分に認識し、収集する理由を正当化できることを確認してください。
参照できる明確で完全なドキュメントは、顧客やユーザーがGDPRポリシーについて質問するときに役立つだけでなく、規制への準拠を保証し、ビジネスとモバイルアプリの両方を保護します。

まとめ

GDPRは法的要件であり、EU内の人々や顧客と何らかの形でやり取りするビジネスでは避けられません。
データが処理される人は誰でも、たとえそれがあなたの管理下にあるとしても、彼らのデータに対する彼らの権利を行使できなければなりません。
GDPRに準拠したモバイルアプリが必要になります。 コンプライアンスを確保しないと、多額の罰金が科せられ、顧客のビジネスに対する信頼が失われるリスクがあります。 このため、ビジネスとモバイルアプリのコンプライアンスを確保するためのプロセスを作成することを優先する必要があります。
厳格なルールにもかかわらず、GDPRを頭痛の種と見なすべきではないと考えています。 GDPR準拠のモバイルアプリをユーザーに提供することで、ユーザーがユーザーを大切にしていることをユーザーに知らせ、データのセキュリティに取り組んでいます。 多くの企業にとって、コンプライアンスを確保することは付加価値であり、ユーザーにモバイルアプリを信頼させるので、それを受け入れる必要があります。
GDPRについて詳しく知りたい場合は、以下のいくつかのリソースへのリンクが含まれています。

• 欧州議会が発行している一般データ保護規則全体を読んで、それをよく理解してください。
• GDPRを理解するためのKyvioの優れたガイド、SafeDKのこの記事、および開発者向けのこの実用的なGDPRガイドをお読みください。
• スタートアップと中小企業に準拠するためのスタートアップリソースのクイックガイドとダーティガイドを読む
• EU-USプライバシーシールドフレームワークの下であなたのビジネスを自己証明します。 これにより、大西洋の両側にある企業は、欧州連合から米国に個人データを転送する際にEUのデータ保護要件に準拠するメカニズムを利用できます。

ウェブサイトがGDPRに準拠しており、GDPRに準拠したモバイルアプリの構築を検討している場合、MobiLoudは、GDPRに準拠するソリューションを提供し、ユーザーエンゲージメントとリーチのための新しいプラットフォームをビジネスに提供します。