EU 一般データ保護規則 （GDPR）に向けた Google の取り組みについて

欧州連合（EU）で提供する全サービスの 「欧州の新しい一般データ保護規則 （GDPR）」への準拠について、Google は 昨年、真剣に取組む姿勢を表明すると共に、その 概要 を公開しました。以来 18 ヶ月に渡り、同規則準拠に向けた対応を進めて来ました。GDPR 施行に先立ち、以下の通り主なアップデートをご紹介します。

ユーザーに対する透明性の向上
Google が収集する情報とその理由をより分かりやすくするために、現在のプライバシーポリシーを更新します。また、お探しの情報を見つけやすくするために、プライバシーポリシーの構成も改善しました。実例と合わせたより詳細かつ明確な表現での説明に加え、Google サービス上でユーザーが行える情報の管理・エクスポート・削除に関する詳細を追記しました。また、テキストだけでは分かりづらい時のために、動画や図表を追加しました。また、プライバシー管理を容易にするため、プライバシーポリシーのページから直接プライバシー設定を開けるようにしました。

なお、これらはプライバシーポリシーを分かりやすくするための変更です。ユーザーの皆さんの現在のプライバシー設定を変更するものではなく、Google によるユーザーの情報の処理方法も変わりません。Google のサービスをお使いになる時に Google と共有するデータは、これまでと同様に細かく管理できます。合わせてデータの更新・管理・エクスポート・削除といった選択肢についても、より分かりやすい説明を参照できるようにしました。更新したプライバシーポリシーは こちら で確認することができ、さらにすべてのユーザーにメールでお知らせします。

ユーザーによる管理の改善
毎日、世界中のおよそ 2,000 万人のユーザーが Google アカウント情報 にアクセスしています。アカウント情報は、 ログインとセキュリティ 、 個人情報とプライバシー 、 広告設定 を管理できるハブです。GDPR 準拠への対応の一環として、アカウント情報上での管理方法を改善し、さらに情報も分かりやすく表示することで、ユーザーの皆さんが、どのように、どんな理由でデータが収集されたのかを把握しやすくしました。アカウント情報の機能をいくつかご紹介します。

• マイ アクティビティを使って、Google サービスからデータ（検索履歴、ロケーション履歴、閲覧履歴など）を表示、削除することができます。過去のオンラインでのアクティビティを確認しやすくするために、トピックや日付、製品で検索できるツールを用意しました。さらに、アカウントに関連付けたくない特定のアクティビティを選んだり、特定の日付や週を指定して削除することもできます。
• セキュリティ診断やプライバシー診断から、アカウントの安全と自分に合ったプライバシー設定が選択されているかどうかを確認することができます。プライバシー診断のリマインダーを登録する機能も最近追加しました。
• 今年 1 月に強化を発表した広告設定および「この広告を非表示にする」機能で、Google のサービスやウェブサイト、アプリに現れる広告を管理したり、非表示にしたりすることができます。同設定では、特定の広告がどのように、なぜパーソナライズされているのかについて、より多くの情報を提供しています。また、今後数か月かけて、これらのツールのデザインもよりシンプルに分かりやすくしていきます。
• Google ダッシュボードでは、使用しているすべての Google サービスと、それらに紐づくデータを俯瞰して把握することができます。昨年 9 月には、モバイル端末でより便利にお使いいただくための改善を行っており、様々な端末から簡単に利用できます。

データポータビリティの向上
2011 年に「 データのダウンロード 」機能を提供開始して以来、世界中のユーザーが同ツールを利用して、Googleフォト、ドライブ、カレンダー、Google Play ミュージック、Gmail などのデータを自身の PC や、OneDrive、Dropbox、Box などのストレージサービスにエクスポートしています。Google では、「データのダウンロード」に対応する Google サービスや管理可能な項目の拡充に加え、定期的なダウンロードをスケジュールできる機能を追加します。

Google では、Google サービスからのデータのダウンロードを長年に渡りサポートしています。GDPR は企業に対し、可能な限りサービス間で直接データ移転ができる仕組みの用意を推奨しています。例えば、Google フォトから他社の写真サービスへのデータ移転がこれに当たります。GDPR が定める目標をサポートするために、Google は GitHub で Data Transfer Project を開始しました。この取組みは、自社のサービスから他社のサービスへの（もしくはその逆も）シームレスなデータ移転機能を実装したい事業者に対し、初期段階のオープンソースコードを提供するものです。

保護者の同意と子どもの適切なインターネット利用に向けたツールの改善
GDPR においては、一定の場合、子どものデータを処理するために、企業は保護者の同意を得る必要があります。Google では、保護者の同意を取得し、保護者と子どもたちがインターネット利用を管理するための適切なツールを持てるようにするため、ファミリーリンク アプリを提供しています。

ファミリーリンクを利用することで、保護者は子ども用の Google アカウントを作成することができます。このアカウントは保護者自身のアカウントと似ていますが、端末を利用する時間の管理や、端末の一時停止など、家族での利用ルールを設定・管理することができます。Google では、保護者や関係団体と緊密に協力し、子どもの自主性を保ちながら、保護者が適切な管理を行えるよう、今後もファミリーリンクの機能拡充を図っていきます。

ビジネス ユーザーやパートナーのサポート
GDPR に定められる新しい義務は、Google のみならず、EU 内の人々に向けてサービスを提供する事業者にも適用されます。そうした事業者には広告主、サイト運営者、開発者、クラウドサービスのお客様といった世界中の Google のパートナーが含まれています。Google では、5 月 25 日の施行に向けて、これらのパートナーと協力し、規制当局、市民団体、学界、業界団体などとの協議を進めてきました。

Google は、広告パートナーに対し GDPR 施行に伴う Google の 広告ポリシー の変更を明確にお伝えしています。現在も Google の広告技術を利用する場合、サイト運営者はサイトやアプリ内でユーザーの同意を得るように求めていますが、GDPR の指針に従い、このポリシーを更新しました。

また、サイト運営者と緊密に協力し、サイト運営者がユーザーの同意を得るための さまざまなツール を提供しています。さらに、パーソナライズされていない広告のみを表示したいサイト運営者向けのソリューションも開発しています。

さらに、Google の広告サービスを利用する企業（広告技術や測定プロバイダなど）の 認定プロセス を厳格化しています。これにより、サイト運営者や広告主の皆さまが安心して、これらの事業者とビジネスができる環境の醸成に努めていきます。

Google クラウド のお客様には、 G Suite および Google Cloud Platform （GCP） におけるデータ処理条件の更新、およびデータポータビリティ、データ インシデント通知、インフラストラクチャ、第三者による監査および認証などについての 詳細情報 を提供しています。これらについてより詳しく知るには、 Google Cloud ブログ をご覧ください。

プライバシー コンプライアンス プログラムの強化
過去 10 年間、Google は世界中の規制当局のアドバイスに基づき、強力なプライバシー コンプライアンス プログラムをグローバルに構築してきました。Google では、プライバシーを担当する専任のエンジニアのチームに加え、コンプライアンスの専門家を擁する部署を設置しており、包括的なプライバシーの審査なしに Google 製品を公開することはありません。

また、Google では GDPR に定められたアカウンタビリティに関する要件に沿って、プライバシープログラムのさらなる改善、製品審査プロセスの強化に加え、データ処理についてより包括的に文書化を行っています。

以上、2018 年 5 月 25 日に予定されている GDPR 施行に向けた取組みの一部をご紹介しました。

しかし、GDPR 準拠のための真摯な対応も、ユーザーの権利の尊重も、いずれも GDPR の施行前後に関わらず、Google が長期的に真剣に取組むべき課題であることに変わりありません。今後も Google 製品の進化にあわせて、プライバシープログラムの改善とユーザー保護の強化に注力していきます。これからも、データのセキュリティとプライバシーの保護のために可能な限り厳しい基準を適用し、ユーザーやパートナーがデータやプライバシーを適切に管理できるよう努めていきます。