写真家とGDPR。自分は関係ない？

写真家に対するGDRPで多くの変更点や新たな責任が生まれつつあります。準備は良いですか？

GDRPとは一般データ保護規則(General Data Protection Regulation)の略です。写真家の皆さまの多くはそれが自分の仕事に一体どう関係があるのだろうとお思いでしょう。ですがこれは実際に写真家であっても深く関わってくる事項なのできちんと理解しておく必要があります。

GDRPって一体なに？

GDRPはEU(欧州連合)の個人情報保護に関する規則で、イギリスとEU加盟国の間で2018年5月25日に施行されます。

私はEU圏内に住んでいないので関係ないのでは？

これはよくある誤解なのですが、この規則はEU圏内だけでなく世界中の写真家に影響を与えるものです。EU圏外で活動している写真家であったとしても、撮影を依頼してくるクライアント（や将来のクライアント）がEU圏内に在住の場合この規則が効力を持つのです。

なぜそんな規則があるのですか？

私たち消費者はWebサイトやSNSなどでアカウントを作ったり、クレジットカードやデビットカードを使ってWeb上で買い物をしたりする事があるでしょう。ここで消費者とやり取りをした会社にはあなたの名前や住所などが保存される事になります。また、宣伝広告のメールや電話が頻繁にくる様な場合相手は第三者からあなたの情報を得た誰か、といった事も考えられます。

あまりに速いネットワークとテクノロジーの進歩を鑑みたEUの上層部が消費者保護を目的として個人情報保護にまつわる規則の施行を決定しました。

これで消費者としては重要な個人情報は守られる事になります。しかし、経営者としてはこの新しく施行される規則の性質を理解し、遵守しなければなりません。

写真家とGDPR。自分は関係ない？ | Skylum Blog(2)

センシティブデータには何が含まれる？

センシティブデータとは個人を特定できるあらゆる種類の情報を指し、氏名や住所、メールアドレス、生年月日、銀行口座などの情報が含まれます。

そこで更に、新しい規則では被写体を特定できる写真もこれに含まれる事となりました。顔認証の技術が非常に高度になり、かつLightroomやApple Photoなど一般的なソフトウェアにも顔認証の機能が搭載されるに至っている事も関係しているでしょう。

この改正ではセンシティブデータがどのように収集、保存され、共有されるかが規定され、その結果、写真や動画を受け取るクライアントには以下の権利が発生します：

知らされる権利 - 個人情報の収集や使用に関する情報をクライアントが知らされる権利。これには個人情報に関する使用許可や同意が含まれます。
アクセスする権利 - 写真家が保持する個人情報をクライアントが知る権利。
修正する権利 - 情報が不正確な場合にクライアントがその情報の修正を依頼する権利。クライアントの要求で情報を修正するのに一ヶ月を要する事もあり得るでしょう。
削除する権利 - 収集された個人情報が適切に削除される事をクライアントが依頼する権利。
編集を制限する権利 - クライアントが自身の個人情報の編集を制限する権利
データのポータビリティーを決定する権利 - クライアントの個人情報がメーリングリストやデータベースなどの外部から遮断された環境で保存される事に賛成するか反対する権利。
拒否する権利 - 写真家が個人情報を編集する事に対して異議を申し立てて拒否する権利
プロファイリングなどの自動化された意思決定の処理を拒否する権利 - 自動的に第三者の有するファイルやプラットフォーム、システムに追加されるのを拒否する権利

この事が写真家にどう影響する？

写真家やビデオカメラマンがこの規則の対象となります - 特に結婚式やスポーツ、催し物の撮影をする様な場合は他の業種と同じ様にセンシティブデータを扱う事になるからです。人物を認識できる写真は全てその人物の情報で、それは単に背景に映り込んでしまっただけの人の場合もそうです。結婚式や催し物の撮影やストリートフォトをするという事は知らず知らずに個人情報を収集しているという事になります。

ではどうすれば良いのですか？

この規則改正によって気にかけない事や手間が増えるというのは間違いないです。ですが、以下のステップが新しい規則の下でもスムーズに撮影を行う参考になるかもしれません。

1. 明示的な同意を得る：個人情報を共有したり保存する前にクライアントから明示的な同意を得るという手順に慣れる必要があります。例えば撮影会に足を運んだ時、誰かに写真を撮って欲しいなどと頼まれたとします。この時必ず相手を自分のデータベースに追加し将来的に連絡を取る許可を相手から得る様にして下さい。
1. データ保存期間：画像そのものを含むクライアントの個人情報をどれだけの期間保存するか伝え、それに対する合意を得る必要があります。1年、6年、20年など情報に対するライフスパンを決めておき、その期間が過ぎれば期間の更新を求めて連絡してはいけません。更新を依頼する場合は必ず期間内に連絡をする様にします。
1. 共有：画像や個人情報を共有しない様にクライアントから頼まれた場合それを拒否する権利はありません。ここでいう共有とはメールやSNS、印刷、展示や写真コンテストなどあらゆる手段が含まれます。
1. 削除する権利：こういった事態が起きる事はあまり望ましくないでしょうが、クライアントからあらゆる情報を削除する様に依頼された場合、文字通り全てを削除しなければ行けません。現像前のRAWファイルも同様です。クライアントからその様な依頼を受けた時は必ず履行すると同時に、削除されている事を示す必要があります。
1. 保存とアクセス：自分の利用しているコンピューターやハードディスクが暗号化されていて、安全な場所に保管されている事を確認して下さい。もちろんパスワードが脆弱でもいけません。可能なら業務用と個人用で使用するコンピューターを使い分けられると良いでしょう。
1. ストレージのフォーマット：依頼があった場合にクライアントと共有できるようなフォーマットでデータを保管しておく必要があります。MicrosoftのOSを使用しているならExcel、AppleのOSを利用しているならNumbersを使いましょう。Google Driveを使うとより便利かも知れません。ファイルは暗号化されるかパスワードで保護された状態で、安全なコンピューターに保存しておかなければいけません。
1. Google Driveの使用：GDPRの遵守が少しスムーズになる裏技と言えるかも知れません。Google Driveなどのhttpsプロトコルを使用するサービスはデータ転送に暗号化を利用しているため非常に安全とされています。なので、Google Driveにセンシティブデータを保管しておけばクラウドベースで共有も楽に行えるし、安全であると言えるかも知れません。Dropboxも同様にGDPRを遵守しているので選択肢となり得るでしょう。クラウドプラットフォームにあまり詳しくなく、GDPRを遵守できているか自身の無い場合は利用を控えておきましょう。
1. Webサイトにプライパシーポリシーを設ける：自分のWebサイトにクライアントによる同意の旨やデータの保存期間、使途などを明示しておくべきでしょう。実際にこれをやるのは非常にうんざりしますが、そこに法を遵守するか遵守せずに罰則を受けるかの境目が無いとも限りません。
1. 契約書：自身の利用する契約書を新しい規則に適合する様に更新なら今です。紙の契約書を使っているならデジタル媒体の契約書の利用を検討してみて下さい。デジタル媒体の契約書は暗号化されており、暗号化されたクラウドプラットフォームで署名する事ができます。同意/許可に関する条項は必ず追加する様にして下さい。但し、契約条項は提供するサービスの内容について言及する箇所なので、それとは別でセンシティブデータに関する同意や許可に関する条項を設ける必要があります。また、展示やコンテストなどで自由に利用しても良いか別途承諾を得るというのも良いかも知れません。
1. 誰が情報にアクセスできる様にするか：アシスタントや従業員がいる場合に、その人達がセンシティブデータに触れる必要があるか考えてみて下さい。業務上必要な場合にのみセンシティブデータにアクセスが可能であるべきで、それ以外の場合にはアクセスが制限されるべきです。