以下にOneTrust Cookieコンプライアンスモジュールと個人データの処理についてのよくある質問を取り上げます。また、ロシア、中国、その他欧州/アジア/アフリカ地域の関連国における国際的なデータ要件の指針もご覧いただけます。
1. | OneTrustには収集された情報は保存されますか? |
| Cookieの優先設定は、Cookieに格納され、ウェブサイト訪問者のブラウザに保存されます。 |
2. | 収集した情報はデータベースに送られますか?その場合、データベースはどこにありますか? |
| Cookieの優先設定は、Cookieに格納され、ウェブサイト訪問者のブラウザに保存されます。データベースへの保存は、分析などのオプション機能を有効にするか、同意機能との統合により行います。 |
3. | OneTrustではロシアでの使用に適合したCookieコンプライアンスツールは提供されますか? |
|
OneTrustが企業に提供するCookie要件の
指針にはロシアが含まれています。コンプライアンスには複数の要素とともに、お客様によるOneTrustのCookieインフラストラクチャに対する要件の適用方法も影響します。また、データのローカライズ要件を理解してCookieに適用するお客様は、多くの場合に
こちらの要件を満たすための追加のステップをとられています。例えば、プロキシからデータをOneTrustに送るなどの方法があります。
|
4. | OneTrustはジオロケーションの参照やCMPの同意受領書収集の際にIPアドレスを保存しますか? |
| いいえ。OneTrustのスクリプトはジオロケーションサービスに呼び出しを行います。このネットワーク要求には、すべてのネットワーク要求と同じくIPアドレスが含まれます。これを使用して、アプリケーションで設定された細分度(国、州など)をもとにロケーション情報が参照されます。応答には2バイトのISOコードが含まれますが、IPアドレス情報がストレージに書き込まれることはありません。 |
検閲当局のRoskomnadzorは2015年9月1日以降も個人データの国外送信が許可されることを認めています。上記のセクション4に記された国外への送信に関する要件を満たし、個人データを含むプライマリデータベースがロシア国内にあることが条件とされます。このため、2015年9月1日以降は、ロシア国民の個人データをロシア国外へ送信する前に、これらの個人データを含むプライマリデータベースがロシア国内にあることを確認する必要があります(ロシアのデータセンター、その他コンピューター/サーバーなど)。さらに、個人データの内容を更新する場合に必ずロシアのデータベースで最初に更新されてからロシア国民の個人データが国外のデータベースに送られることを確認する必要があります。つまり、国外のデータベースは基本的にロシアのデータベースの複製として使用し、ロシアのデータベースよりも最新/完全なデータ項目を含めることはできません。
詳細は
こちらから参照できます。
ロシアのウェブサイトでのOneTrustの実装には次を考慮する必要があります。
ロシア顧客(住民)のデータはすべて他のクライアントとは別に保存し、ロシア連邦内のデータベースに保存する。これは、対応したインフラストラクチャを構築することによってのみ可能となります。
ロシア顧客のPIIへのアクセスとその要求の処理はMTEast DPOによってのみ行う。これはアーキテクチャの意図どおりですが、サポート要求によりOneTrustへの要求がテナントにアクセスする場合があるため、この場合も考慮する必要があります。
(記事末尾の)付属資料を参照。一般則として、中国には現在、一般的なデータローカライズの義務はありません。つまり、一般的に個人情報を含めたデータを中国内に保存する義務はありません。個人情報に関しては、国外送信の対象となる個人情報を知らせることがCSLに準拠した唯一の要件となります。
詳細はこちらから参照できます。
POPIA(個人情報保護法)により責任の主体者がデータ主体の個人情報を国外の第三者に送信することが禁止されています。ただし次の場合を除きます。
-
受信者が次に該当する法または契約の対象である。
データ主体がデータ送信に同意をしている。
データ主体と責任の主体者との契約の履行にデータ送信が必要であるか、データ主体の要求に応じて契約前に対策が実施されている。
責任の主体者と第三者の間でデータ主体の利益となる契約の締結と履行にデータ送信が必要である。または、
-
データ送信がデータ主体の利益となり、かつ次に該当する。
詳細は
こちらから参照できます。
トルコの法律に基づくデータローカライズの要件は現時点では業界特有のものとされます。現在追加の制限がある分野には、銀行、eSimテクノロジー企業、金融、保険医療、エネルギーが含まれます。
保険データの処理の要件が適用されます。このため原則として、国外への保険データの送信はデータ主体の同意が得られる場合に限られます。健康状態や性生活に関するデータをデータ主体の同意なく国外に送信するには、データ管理者が機密保持義務の対象であり、公衆衛生の保護、予防医療、医療診断、医療ケア、または保健サービスの計画、管理、資金提供の目的に限られたデータの転送である必要があります。
詳細は
こちらから参照できます。
IT規則2011により個人データと要配慮個人データ/情報が保護されています。「要配慮個人データと情報」(SPDI)に関連して、「妥当なセキュリティ慣行と手法」を維持する要件が設けられています。
SPDI規則は(インド国内外とも)あらゆる第三者に送信されるすべてのSPDIについて次のことが求められます。
ローカライズは請求書フォームで実施されています。
詳細はこちらから参照できます。
韓国には現在、一般的なデータローカライズ/データ所在の要件はありません。ただし、一部の保健データは扱いが異なります。
病院が作成した患者の電子医療記録を保存するクラウドサーバーは韓国内に置かれなければなりません。Standard on Facilities and Equipment for Managing and Storing Hospital-Generated Electronic Medical Records(韓国語版のみ)により保健福祉部(MOHW)から3年ごとに公式通知の発行が定められ、これには医療期間が作成する電子医療記録を保存するサーバー(バックアップサーバーを含む)の要件として、現在物理的に韓国内に置く必要があることや、国外からこれらの記録へのアクセスは許可されないことが記されています。
韓国国外への個人データの送信は、通知と同意の要件が適用されます。上記のセクション4.1のとおり、データ送信の前にデータ主体に次に関する通知がなされ、同意を得ることが求められます。
送信される個人データの項目
データの送信先の国名
送信の日時と方法
受信者の名前
送信の目的、かつ
データの保存/使用期間
この同意は、法律の別要件により必要とされる個人データの収集と処理に求められる同意とは別のものです。これらの制約があるものの、「サービスの展開やユーザーの利便性促進」のために個人データが必要とされる場合、ICNA第25項に従い上記の事項がデータ主体に通知されていれば、データ管理者はデータ主体やユーザーの同意がなくても国外へ個人データを送信できます。
詳細はこちらから参照できます。
OneTrust Cookieコンプライアンスのフロー構成
ドメインをスキャンしてウェブサイトのCookieとサイトURLをメインアプリケーションに送信します。
OneTrust管理者ユーザーからCookieバナー構成を送信してデータベースに保存します。
ウェブサイト設定(テキスト、レイアウト選択、ブランディング)を公開サービスと共有してHTMLを生成します。
ウェブサイトのHTML/CSS/JavaScriptが静的blobストレージに送信されてホストされます。
ウェブサイト訪問者がクライアントウェブサイト(HTTPS)にアクセスします。
OneTrust CookieコンプライアンスのバナーがグローバルCDNから読み込まれます(HTML/JS/CSS)。
ウェブサイト訪問者のIPアドレスを参照サービスに送り、訪問者のジオロケーションを参照します。IPアドレスをCloudflareで処理してロケーションを特定します(保存はしない)。
ウェブサイト訪問者が同意の設定をすると、設定がOneTrustに送信されて保存され、記録が管理されます。
(A)-ウェブサイトスキャナサービス(ウェブサイトの同意が必要かどうかを監視)。
(B)-OneTrust MSSQLデータリポジトリ。TDEで管理されたAzure暗号鍵により暗号化。
(C)-OneTrust管理コンソール:Cookieバナーとルールを設定するウェブアプリケーション。
(D)-OneTrust公開サービス–HTML/CSS/JSを生成してクライアントウェブサイトに配置。
(E)-AzureストレージBlob:ウェブサイトに読み込まれるファイルの静的ストレージ。
(F)-コンテンツ配信ネットワーク:AzureストレージBlobから取得したスクリプトを配信。
(G)-ジオロケーションサービス-ウェブサイト訪問者のロケーションを判別して、ブラウザセッションに現在の同意バナーとロジックを適用。
(H)-WAF/受領書サービス:(オプションサービス)ウェブサイト訪問者からの同意記録を受信。
*データはOneTrustアカウントがアクティブであれば無期限に保存されます。OneTrustアカウントの終了後、45日経過するとデータが削除されます。
**A~Eの保管中のデータはすべてAzure AES 256-bit管理暗号化サービスにより暗号化されます。アクセス制御とガバナンスは、OneTrustセキュリティとプライバシープログラムホワイトペーパーに準拠して実装され、ISO 27701/SOC2 Type 2監査の指示を受けています。
