GDPRは「処理」を、個人データまたは個人データの集合に対して行われる操作または一連の操作(自動化された手段によるか否かを問わない)と広く定義しており、これには収集、記録、整理、保存、利用が含まれる。 したがって、ゲーマーがゲームをプレイしたり購入したり、さらにはゲームについて議論している際にも、データ収集者(「データ収集者」)がそのような活動中または関連して個人データを処理している限り、対象となる「処理」は必然的に発生します。
個人データには、データ主体の氏名、識別番号、位置データ、IPアドレスを含む、データ主体に関連するあらゆる情報が含まれます。さらに、GDPRはデータ主体の身体的、生理的、精神的特性に固有の要素を保護します。つまり、あらゆるデータ主体に個人的に結びつくあらゆる情報がGDPRによって保護されることを意味します。
これらの要素の組み込みは、eスポーツの文脈において特に重要である。業界がゲーム体験の向上にテレメトリクス(記録されたデータセットの分析)を歴史的に活用してきたことを考慮すればなおさらだ。ゲーム業界の文脈では、これらのデータセットはプレイヤーがゲームにログインした瞬間からログアウトするまで収集される。 適切に整理・分析されたこれらのデータセットは、データ主体に関する貴重な知見を提供し、ゲーマーにとってはゲームプレイの向上、ゲーム会社にとっては収益の拡大につながる可能性がある。
Dota 2 Database-Link-e1521645463907のゲームプレイ統計を収集するウェブサイト「DotaBuff」などの企業は、EU全域および世界中から数百万のデータセットを収集・処理している。ユーザーは個人の試合履歴、特定キャラクターでの成績、購入傾向のあるアイテムなどの統計を確認できる。 これらのデータセットにより、eスポーツアナリストはバスケットボール選手のPER(プレイヤー効率評価)に類似した、eスポーツ選手のKDA(キル・デス・アシスト)を追跡可能となりました。eスポーツ指標の人気が高まるにつれ、それらの指標を提供するために処理されるデータ量も増加します。したがって、データ収集事業者は、自社の活動がGDPRに準拠していることを保証するための適切な方針と手順を整備する必要があります。
GDPR第5条に基づき、個人データは(1)合法的、公正かつ透明性のある方法で処理され、(2)特定された、明示的かつ正当な目的のために収集され、(3)処理目的に関連して必要な範囲に限定されなければならない。 GDPRは、データ収集者が収集する情報の内容、収集目的、利用方法についてより透明性を確保することを求めています。このため、個人データを収集する時点で、データ収集者はGDPRの以下の要件を考慮し対応すべきです:
処理者の身元及び連絡先情報。データ収集者は、自らの身元及び連絡先情報、ならびにその代表者(該当する場合、データ保護責任者を含む)の連絡先情報を提供しなければならない。
法的根拠。データ収集者は、すべてのデータ処理について「法的」根拠を有することが求められます。これには、(i) データ主体が処理に同意した場合、または (ii) データ収集者が個人データを処理する正当な利益を有し、かつデータ主体の利益がそれを上回らない場合などが含まれますが、これらに限定されません。 後者を処理の根拠として依拠する場合、データ収集者は以下を示すことが可能でなければならない:(a) 正当な利益が存在すること、(b) 処理がその達成に必要であること、(c) 当該利益がデータ主体の利益、権利及び自由を上回ること。
処理の目的。個人データの収集に関する法的根拠の提供に加え、データ収集者は個人データが収集される具体的な目的を明示的に記載することが求められます。限定的な例外を除き、データ収集者は記載された目的のためにのみデータを処理できます。ただし、当初の目的と両立する場合に限り、データ収集者は別の目的のためにデータを処理することが可能です。
適切、関連性、限定されたデータ。データ収集者は、処理の意図された目的を達成するために適切、関連性があり、限定された個人データのみを収集すべきである。適用される法令およびデータ保持方針に準拠することを条件として、データ収集者は、意図された目的の達成に不要となった個人データを削除すべきである。
データの保存期間。GDPRでは具体的な保存期間を定めていないものの、欧州委員会の見解では、データ収集者は個人データを可能な限り短期間保存し、保存データの消去または見直しに関する期限を設定すべきである。
データ主体の権利。データ収集者は、とりわけ、データ主体が有する以下の権利を尊重しなければならない:(i)訂正権(不正確な個人データの修正)、(ii)消去権(「忘れられる権利」)、および (iii)処理の制限を受ける権利。
EU域外へのデータ移転に関する制限。GDPRは、特に欧州委員会がデータ保護が不十分と判断した地域への個人データの移転を制限しています。これまでに欧州委員会は、米国を含む12カ国が十分な保護を提供していると認定しています。
データ侵害の通知。個人データ侵害を認識してから72時間以内に、データ収集者は該当する規制当局(例:チェコ共和国の個人情報保護委員会、ハンガリーのデータ保護・情報自由国家機関)に侵害を報告しなければならない。データ収集者が72時間以内に個人データ侵害を報告しない場合、報告遅延の理由を説明しなければならない。 通知には以下を含めること:(i) 侵害の性質の説明(影響を受けたデータ主体及び個人データ記録のおおよその数を含む)(ii) データ保護責任者またはその他のデータ収集者代表者の氏名及び連絡先(iii) 侵害による予想される結果の説明(iv) 侵害に対処し、あらゆる悪影響を軽減するためにデータ収集者が講じた、または講じる予定の是正措置の説明
GDPRが対象とする活動の範囲が広く、その要求事項が広範であるため、データ収集者は以下の目的でポリシーと手順を更新しなければならない:(i) データ収集および処理の根拠と目的を明確化すること、(ii) 当該目的達成に関連性のあるデータを特定すること、 (iii) 当該データの適切な保存期間を定義すること、(iv) データ主体の権利に対応する手順を確立すること、(v) 当該データのEU域外移転を制限すること、(vi) データ侵害を報告する仕組みを確立すること。
EU全域のゲーマーから送信される数百万のデータセットを考慮すると、eスポーツ業界はGDPRの影響を特に受けやすい。 例えば、Riot Games が「サモナーズ・コード」を施行するために『League of Legends』のパフォーマンスデータやプレイヤーの不正行為を収集していることは、同社および同様の行為を行う他のゲーム開発者を GDPR の要件の対象とする。 結局のところ、収集・処理されるデータセットの性質上、GDPRの適用範囲はゲーム開発者から自然に拡大し、eスポーツ業界の他の関係者(ストリーミングサイト、Unikrnなどのギャンブルサイト、コーチなど)にも及ぶことになる。
本シリーズの第3回では、EU域外の国々がGDPRに準じた独自の規制を導入済み、あるいは導入を検討している状況を踏まえ、GDPRが世界的に及ぼす影響について論じる。
この記事はもともと The Esports Observerに掲載されました。