「UK Data Protection Act」レポート

このレポートには、ユーザーのサイトで見つかった「データ保護法」の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。

問題点

1998 年に制定されたデータ保護法は、英国内での個人データの処理を管理しています。英国で 1984 年に制定されたデータ保護法は、1998 年に改訂された後、2000 年 3 月 1 日に施行されました。新しいデータ保護法では、当初設定した個人データの定義と意味を変更するとともに、個人データと機密個人データを区別することで、最初の保護法で定めた範囲を広げています。現在では、データ保護法は、「取得」、「保持」、「開示」の概念を取り入れています。

データ保護法には次の 8 つの原則があります。

  1. 個人データは、公正かつ適法に取り扱うものとする。
  2. 個人データの取得は特定の正当な目的 (複数可) で行い、その目的に適合しない、いかなる方法でも処理してはならない。
  3. 個人データは、その処理目的に関して、適切で関連性があり、過度ではないものとする。
  4. 個人データは正確であり、必要に応じて最新の状態を維持するものとする。
  5. いかなる目的に使用する個人データも、かかる目的で必要な期間を超過して保持してはならない。
  6. 個人データは、本法律におけるデータ主体の権利に従って処理するものとする。
  7. 個人データの無許可または不正処理、ならびに個人データの偶発的な損失、消滅、損傷に対応するため、適切な技術的および組織的な対策を講じるものとする。
  8. 欧州経済領域外の国または地域に個人データを移転しないものとする。ただし、その国または地域で、個人データの処理に関してデータ主体の権利および自由のための適切な保護レベルが保証されている場合を除く。

法律により、企業は以上の原則に従うとともに、個人データを収集するときは情報コミッショナーに通知しなければなりません。英国の情報コミッショナーは、本法律のもと、個人情報の処理においてデータ保護の原則に違反した企業に対して是正通知を出すことができます。企業は、いずれかの人から求められた場合、その人に関する個人情報の処理を停止しなければなりません。

英国外の Web サイト運営者が、英国内にホストしたコンピューターを使用して個人情報を収集する場合、または運営者が英国のインターネット・ユーザーのコンピューターに Cookie を配置する場合も本法律の対象となります。

データ保護法に準拠するためのベスト・プラクティス

個人から個人情報を収集する Web サイト運営者は、以下のことを遵守しなければなりません。

  • Web の収集フォームが「公正な処理」原則を遵守することで、ユーザーに対して組織を明確にし、サイトによる情報収集の理由を説明し、データを渡す第三者 (内部および外部) を明確にします。
  • 「Cookie」または Web バグ (ビーコン) を使用することと、Cookie を拒否できることをユーザーに伝えます。データ収集プロセスのセキュリティーを確認します。
  • プライバシー・ポリシーを掲載するとともに、情報収集のすべての時点でプライバシー・ポリシーへのリンクを設定します。
  • マーケティング用のダイレクト E メールを受け取るための「オプトアウト」メカニズムを組み込みます。
  • ダイレクト・マーケティング目的に有効な E メール・アドレスが使用されることを確認します。
  • 12 歳未満の子供から情報を収集するときは、情報の収集方法と利用方法を子供が理解できるようにします。12 歳未満のユーザーに対しては親の同意を得るようにする必要があります。また、同意が得られていることを確認する方法を設定することも必要です。