管理者向けGDPR


免責事項:この文書のアドバイスは情報提供のみを目的として提供されており、法的または専門的なアドバイスとして解釈されるべきではありません。 Moodle Pty Ltdは、アドバイスが正確、完全、信頼性がある、最新である、または誤りがないことを保証しません。あなた自身の独立した法的およびITの助言を得るようにしてください。

概要

チェックリスト

  1. MoodleサイトはEU加盟国でホストされていますか、それともMoodleサイトのユーザはEU加盟国の個人である可能性がありますか?
    • この質問に「いいえ」と答えた場合、あなたはこの規制の影響を受けません。ただし、この規則によって与えられるデータ保護の利点は普遍的に適用可能であり、あなたはあなたのサイトユーザーの利益のためにこの法律に自発的に従うことを考慮するかもしれません。
  2. あなたのサイトを使用する前にあなたのサイトユーザにサイトまたはプライバシーポリシー文書を受け入れることを要求しますか(MoodleまたはMoodleの外の何か、紙のフォームのように)。
    • この質問に「いいえ」と答えた場合は、そうしなければなりません。ユーザーは、自分の権利と、自分の権利を行使できるプロセスについて知っておく必要があります。
    • この質問に「はい」と答えた場合は、新しい規則のすべての要件をカバーしていることを確認するためにポリシーを確認する必要があります(下記の「サイトポリシー」を参照)。ポリシーを変更した場合は、サイトを引き続き使用する前に、すべてのサイトユーザーに新しいポリシーを承認させる必要があります。
  3. あなたのサイトが未成年者によって使用されている可能性はありますか? (ほとんどの加盟国では16歳未満ですが、一部の州ではこれを13年まで削減することができます)。
    • この質問に「はい」と答えた場合、あなたは同意が彼らの法定後見人から得られたものであることを確認しなければなりません。未成年者に関する個人情報の収集および処理は、リスク評価に影響を与える可能性があることに留意してください。この情報を適切に保護するために細心の注意を払い、必要に応じてできるだけ短い期間保管してください。
  4. あなたのサイトユーザーからの個人データの収集または保存は、彼らの権利と自由に高いリスクをもたらす可能性がありますか?
    • リスクが高いことを示すいくつかの例は次のとおりです。
      • プロファイリングを含む自動化された処理に基づいており、その決定がその自然人に関する法的効力を生むかまたは同様にその自然人に重大な影響を及ぼすかに基づく、その自然人に関する個人的側面の体系的かつ広範囲な評価
      • を含む大規模な特殊カテゴリのデータの処理
        • 人種または民族の起源
        • 政治的意見
        • 宗教的または哲学的信念
        • 労働組合の会員
        • 遺伝データ
        • バイオメトリックデータ
        • 健康に関するデータ
        • 性的指向
        • 自然人の性生活に関するデータ
        • 刑事有罪判決
      • これは網羅的なリストではなく、ユーザーから収集したデータを「高リスク」と見なすべきかどうかわからない場合は、法律を参照して専門家の助言を求める必要があります。
    • 答えが「はい」の場合、データ保護影響評価を実施する必要があります。法律を参照し、専門家の助言を求める。
  5. マーケティング目的で収集した個人情報を使用しますか?
    • この質問に「はい」と答えた場合 - この目的でこのデータを使用するには、各ユーザーから個別に同意を得る必要があります。マーケティングのためにデータを使用することへの同意は、ユーザーによって別々に撤回可能でなければなりません。
  6. 収集した個人情報を研究目的に使用しますか?
    • この質問に「はい」と答えた場合は、この目的でデータを使用するために各ユーザーから特定の同意を得るか、または調査に使用する前にデータを完全に匿名化する必要があります。

      https://github.com/moodlehq/moodle-local_anonymiseは、Moodleサイトのすべてのデータを匿名化するように設計されたツールの一例です。
  7. 収集したデータを第三者と共有しますか?これには、Googleアナリティクス、LTI、リポジトリ(Google Docs、OneDriveなど)、認証システムなど、Moodleと統合するサイトおよびサービスが含まれます。これには、ホスティングプロバイダなど、独自のMoodleサイトの提供に使用されるサイトおよびサービスも含まれます。
    • この質問に「はい」と答えた場合、あなたは第三者と共有されるすべてのデータに責任を負います。このデータを各第三者と共有するには、ユーザーの同意を得なければなりません。サードパーティサービスのリストが変更された場合は、新しい各サードパーティサイト/サービスについて、すべてのサイトユーザーから同意を再取得する必要があります。また、各第三者がユーザーを含む以下の個人情報を適切に保護することを保証するために合理的な対策を講じる必要があります。
      • 第三者のプライバシーポリシーを確認して、それが自分のプライバシーポリシーと一致していることを確認する
      • サイトのユーザーに第三者のプライバシーポリシーの変更を監視して通知する
      • あなたがあなた自身のサイトのためにこれらの要求のうちの1つを受け取ったときにあなたがこのプロセスに従うことができるようにあなたが各第三者と共に個人データを消去または修正する要求を処理するためのメカニズムを識別しなさい
      • 各自のプライバシーポリシーの一部として、各第三者サイトのデータ保護担当者およびプライバシーポリシーを特定して一覧にします。
    • 例えば、グーグルアナリティクスは、彼らのサービスを使用するときに新しいGDPRをどのように遵守するかに関する明確で最新の指示をまだ提供していません。 GDPRが実施可能になる前にGDPRに従ってGoogle Analyticsを使用する方法についてのガイダンスが発行される可能性がありますが、この例ではサイトのユーザーのプライバシー保護を保証するのはあなたの責任であり、合法ではありませんすべてのサービスプロバイダーのプライバシーへの影響を考慮せずにクラウドサービスを使用すること。
  8. データセキュリティを確保するためのベストプラクティスの方針と手順に従っていますか?
    • この質問に「いいえ」と答えた場合は、サイトユーザーに個人データを危険にさらさないように、自分のポリシーと手順を見直す必要があります。
      • 「ベストプラクティス」には、次のようなリスクに適したレベルのセキュリティを確保するための組織的および技術的な対策が含まれますが、これらに限定されません。
        • 個人データの偽造防止および暗号化
        • 処理システムおよびサービスの継続的な機密性、完全性、利用、および回復力を保証する機能
        • 物理的または技術的な問題が発生した場合に、利用と個人データへのアクセスをタイムリーにリストアする機能
        • 処理の安全性を確保するための技術的および組織的対策の有効性を定期的にテスト、評価および評価するためのプロセス
      • 例:
        • 暗号化の適切な使用(https)
        • 関連するセキュリティアップデートですべてのシステムとソフトウェアを維持する。
        • 収集された目的のために必要でなくなった個人データのできるだけ早くの削除
  9. データ侵害を開示するためのポリシーと手順を定義しましたか。
    • あなたがこの質問に答えないなら、あなたはいくつかを定義しなければなりません
    • 既存の方針や手順がある場合は、それらを見直す必要があります。
    • これらの方針および手順には、データ侵害から72時間以内に監督当局に通知すること、および悪影響を受けた場合はすべての影響を受けるユーザーに通知すること(個人データの開示)が含まれます。
  10. あなたはデータ保護責任者を任命し、あなたのプライバシーポリシーにそれらを記載しましたか?
    • この質問に「いいえ」と答えた場合は、1つを指定してサイトのプライバシーポリシーに記載する必要があります。データ保護官は、「ITを処理管理に熟練であることが予想(サイバー攻撃に対処を含む)データのセキュリティと個人や機密データの保持と処理の周りに他の重要なビジネス継続性の問題れる1
  11. あなたのサイトのユーザーが自分の個人データを消去、修正、またはあなたのサイトで要求しているユーザーに利用可能にすることを要求できるメカニズムがありますか?
    • この質問に「はい」と答えた場合は、それがサイトのプライバシーポリシーに記載されていることを確認する必要があります。
    • この質問に「いいえ」と答えた場合は、それを定義してサイトのプライバシーポリシーに記載します。
      • GDPRプラグインを利用しないMoodleサイトの場合、適切なメカニズムはあなたのMoodleサイトの管理者によって監視されるこの目的のために予約されたEメールアドレスでしょう。要求が受信されたら、要求の信憑性と要求を行ったユーザーの身元を保証するために合理的な手順を踏む必要があります。
      • 管理者アカウントを使用してMoodleのデータを直接変更することで、個人データの修正を処理できます。
      • 個人データの消去は、ユーザーアカウントを削除するか、ユーザーアカウントを編集してすべての識別情報を削除して非アクティブにすることによって処理できます。
      • 個人データの記録は、「サイト管理」 - >「レポート」 - >「ログ」から、1人のユーザーに関するすべてのログをCSVファイルとしてダウンロードすることによって取得できます。 Webサーバのアクセスログなど、Moodleの外部に保存されているユーザに関する追加の個人データがある可能性があります。
  12. あなたの組織には250人以上の従業員がいますか?
    • この質問に「はい」と答えた場合は、個人データのすべての処理に関する詳細な記録を維持しなければなりません。維持しなければならない記録の詳細については規制を参照のこと。

サイトポリシー

サイトポリシーを使用して、GDPR準拠の目的で同意を集めることができます。サイトポリシー文書は、以下に記載されているすべての情報が簡潔で簡単な言葉で網羅されていることを確認するために慎重に検討する必要があります。

Moodle 3.4.2以降でサイトポリシーを有効にするには、サイト管理の[ポリシー設定]の[サイトポリシーURL](sitepolicy)にページのURLを入力してください。 (3.4.2より前のバージョンのMoodleでは、 'サイトポリシーURL'(sitepolicy)の設定はサイト管理の 'サイトポリシー'にあります。)

サイトポリシーページには、下記の情報がすべて含まれています。サイトポリシーはログインプロセスの一部としてiframeに表示されるため、ヘッダーとフッターは不要です。

推奨される方法は、Moodleサイトのフロントページにファイルリソースを作成し、このリソースのURLをコピーしてサイトポリシーとして使用することです。これは、サイトポリシーはあなたのユーザがいつでもアクセスできるようになっており、Moodle内から簡単に更新できることを意味します。ユーザーがサイトにログインするまでファイルリソースは表示されなくなるため、この方法は[ユーザーにログインを強制する(forcelogin)]設定(サイト管理の[サイトポリシー]にもあります)と互換性がありません。

サイトポリシーには、次のすべての情報を簡単な言葉で含める必要があります。

  1. 収集される情報
  2. ユーザーデータに対して実行されるすべての処理の目的。マーケティングは、別の取消可能な「同意」とともに別々にリストされなければなりません。
  3. データ管理者のIDとコンタクト情報
  4. 権利リスト
  5. データが保存されている期間
  6. 同意を撤回するためのメカニズム
  7. 個人データの訂正または消去を要求するためのメカニズム
  8. すべての個人データの記録を要求するためのメカニズム
  9. データが共有される第三者のリスト(これには、LTI、ポートフォリオ、盗作、リポジトリ、認証などの統合が含まれます)。
    1. それぞれのデータ保護担当者のコンタクト詳細
    2. それぞれのプライバシーポリシー
  10. プロセスの重要性と詳細(分析など)を含む、自動化された意思決定プロセスに個人データを使用するかどうか。

関連情報