管理者とは、個人データ処理の目的および手段を決定する個人または組織である。管理者はデータ保護法および規制を遵守する第一義的な責任を負い、データ対象者の権利が尊重されるようにする責任を負う。
処理者は、管理者に代わって個人データを処理する個人または組織です。処理者は、管理者から提供された指示に従ってデータ処理活動を実施する責任を負い、その業務遂行においてデータ保護法および規制を遵守しなければなりません。
データ保護責任者(Data Protection Officer)とは、組織のデータ保護戦略を監督し、 データ保護法および規制の遵守を確保する責任を負う、組織内の指名された人物の ことである。DPOは、組織、データ主体、および規制当局の間の窓口となり、データ保護に関す る指導や助言を提供する。
データ主体とは、個人データに関連する識別可能な自然人を指す。データ主体は、管理者または処理者が個人情報を収集、処理、保存、またはその他の方法で使用する個人である。データ主体は、データ保護法および規則に基づき、自己の個人データへのアクセス、訂正、削除、または処理を制限する権利など、特定の権利を有します。
個人データとは、特定または識別可能な自然人(データ主体としても知られる)に関するあらゆる情報を指す。これには、氏名、識別番号、住所などの直接的な識別子、IPアドレス、位置情報などの間接的な識別子、または個人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに固有のその他の要素が含まれます。
クッキーは、ウェブサイトを訪問したユーザーのデバイス(コンピュータ、スマートフォン、タブレットなど)に保存される小さなテキストファイルです。クッキーは、ユーザーの好みを記憶し、オンラインセッションを管理し、ユーザーの行動に関する情報を収集して、ユーザーエクスペリエンスを向上させ、パーソナライズされたコンテンツを提供するために使用されます。クッキーは、訪問先のウェブサイトによって設定されるファーストパーティ・クッキーと、訪問先とは異なるドメインによって設定されるサードパーティ・クッキーに分類されます。
データ保護の文脈では、関連会社とは、通常、親会社または子会社の関係を通じて、 他の組織とつながっている、または共通の所有権もしくは支配下にある組織を指す。関連会社は、多くの場合、データ保護責任、方針、手続を共有し、企業グループ全体で一貫し たコンプライアンスに準拠した個人データの取扱いを確保する。
欧州連合一般データ保護規則(EU GDPR)は2018年に施行された包括的なデータプライバシー法であり、EUおよびEEA域内の個人の個人データとプライバシーを保護することを目的としている。個人データを収集、処理、保管する組織に対して、ユーザーの同意の取得、データポータビリティの実現、データセキュリティの確保などの原則と要件を定めている。
英国一般データ保護規則(英国GDPR)は、英国のEU離脱後に発効したEU GDPRの英国版である。EU GDPRと多くの共通点があり、英国における個人の個人データとプライバシーを保護することを目的とし、個人データを収集、処理、保存する組織に要件を課している。
カリフォルニア州プライバシー権法(CPRA)は、2020年に米国カリフォルニア州で制定されたプライバシー法である。カリフォルニア州消費者プライバシー法(CCPA)を改正・拡大し、新たな権利の導入、既存の権利の強化、コンプライアンスを実施するためのカリフォルニア州プライバシー保護局(CPPA)の設立により、カリフォルニア州住民のプライバシー権をさらに保護する。
PIPEDA(Personal Information Protection and Electronic Documents Act:個人情報保護および電子文書法)は、商業活動における個人情報の収集、使用、開示について規定するカナダ連邦プライバシー法である。同法は、同意の取得、個人情報へのアクセスの提供、データセキュリティの確保など、組織が個人情報を取り扱う際に従うべき規則を定めています。
これらは、ウェブビーコン、ピクセルタグ、ローカルストレージなどの小さなテキストファイルやその他の技術で、ウェブサイトを訪問したりオンラインサービスを利用したりする際に、ユーザーのデバイスに保存されます。これらの技術により、ウェブサイトはユーザーを認識し、ユーザーの好みを記憶し、ユーザーの行動を追跡し、パーソナライズされたコンテンツや広告を配信することができます。
この用語は、サービスの提供、ユーザー体験の向上、ユーザーとのコミュニケーション、法的義務の遵守など、さまざまな目的のために組織が個人データを収集、処理、利用する方法を指します。組織は、自分の個人情報がどのように利用されているかをユーザーに知らせるため、プライバシー・ポリシーの中でデータ利用の慣行を開示しなければならない。
EU GDPRや英国GDPRなどのデータ保護規制に見られるこの概念は、組織が個人データを収集、処理、保管する正当な法的根拠を持つことを求めている。合法的根拠の例としては、ユーザーの同意、契約上の必要性、法的義務、重要な利益、公共の利益、正当な利益などがある。組織は、各処理活動の合法的根拠を決定し、文書化しなければならない。