データ プライバシーと言語サービス プロバイダー

利用している言語サービス プロバイダー (LSP) のプライバシー保護がどういったものかご存じですか。もしご存じでなければ、すぐに確認することをお勧めします。世界中で個人情報に関する規制が厳格化し、その数も増え続けています。御社の LSP がデータ保護を遵守していない場合、それは御社自体が遵守違反の状態にあることを意味します。

規制のパッチワーク: 企業は何をすべきか

国際連合貿易開発会議によると、現在までに 100 を超える国々が、データとプライバシーを保護する法律を制定しており、その数は増加しています。2021 年 11 月に施行された中国個人情報保護法 (PIPL) は、中国で初の包括的な個人情報保護法です。米国内では、カリフォルニア州のプライバシー法である「カリフォルニア州消費者プライバシー法」が 2020 年 1 月に施行されました。

世界中のグローバル企業は、EU 一般データ保護規則 (GDPR) などの従来の規制に加えて、これらの新しい規制に対応する必要性にも迫られます。GDPR は 2018 年 5 月に運用が開始された規則で、欧州連合市民に自身の個人情報をより管理する権利を保障しています。

ライオンブリッジでは、プライバシーとセキュリティに関する規定を定め、お客様のデータの保護とすべての地域のコンプライアンス要件の遵守に努めています。詳細については、「ライオンブリッジにおけるプライバシーとセキュリティの保護に関するガイド」をお読みください。また、ライオンブリッジは LSP として初めて ISO 27701:2019 認証を取得しています。詳しくはこちらをご覧ください。 

ライオンブリッジの最高信頼責任者であるダグラス グラハムは、一般的な観点からも、LSP という観点からも、プライバシーが重要なトレンドになっていると指摘しています。法律や規制が制定される背景には、人々の情報が共有されすぎているという認識があります。米国コロラド州とバージニア州は 2021 年に包括的なプライバシー法を成立させました。他の州もこれに続き、さらに多くの企業がプライバシー保護に関する規制の対象となると予想されています。
 

企業とその LSP には、新たな法律や規制を遵守することが求められます。しかし、パッチワーク的な規制にその都度準拠するのは容易ではないため、解決策としては、自社に適用される最も厳しい規制に合わせて準拠体制を整え、実践することが最善と言えます。

LSP はデータをどのように扱うのか

プライバシーの問題で中心となるのは個人です。個人を特定できる情報とは、それ自体を個人の特定に使用できるデータ (氏名など)、または他の情報と組み合わせることで個人を特定できるデータです。この情報には、その人の生年月日、米国社会保障番号などの国民識別番号、運転免許証など、さまざまなものが含まれます。LSP には、個人情報を適切に扱い、個人の侵害や法律違反を引き起こさない体制が求められます。

透明性も重要です。LSP には、データの取り扱いや二次利用の不可について、明確なガイドラインや声明を表明していることが望まれます。

信頼できる LSP であれば、たとえば翻訳した素材をもとに個人に対してマーケティングを行うというように、データを二次利用するようなことはありません。翻訳を無料または低コストで提供する LSP には注意してください。交渉によってプライバシーの権利を放棄し、LSP にデータの二次利用などを認めるようなことはしないでください。

LSP と契約する際は、必ずプライバシー条項を設け、御社の基準を満たす方法でデータが処理されるようにしましょう。

だれが情報流出を管理すべきか

顧客を抱える企業であれば、ほぼ確実に個人情報を収集しています。そのデータを LSP に送信するにあたり、データがどのように扱われるのかを必ず確認しましょう。LSP が情報流出を起こした場合、御社の直接的な過失ではなくても、御社の責任を問われる可能性があります。その結果は厳しいものとなるおそれもあります。

個人を特定できる情報を流出させると、法律や規制に基づいて罰金が科される可能性があります。EU の GDPR に違反すると、前年収益の最大 4% にも上る負担が生じかねません。 

膨大な罰金と聞いても意に介さないのであれば、他のコストも考えてみましょう。当局による監視が厳しくなり、顧客からの信頼も失います。今まで築き上げてきた信頼を、LSP に台無しにされないように十分注意しましょう。

LSP は機密データをどのように扱うべきか

LSP と連携するにあたり、まずは個人を特定できる情報を本当に送信する必要があるのかどうかをよく検討しなければなりません。データのコピーが増えるほど、悪用や他者との誤った共有につながるリスクが高くなります。可能であれば、個人を特定できる情報は加工するか匿名化しましょう。

個人情報を LSP に送信しなければならない場合は、LSP がこの種のデータの適切な取り扱い方法を理解しており、これらのデータを保護する契約上の義務を負っていることを確認しましょう。ベスト プラクティスをいくつかご紹介します。

• データを加工できない場合は、セキュアなファイル転送プロトコルを使用する必要があります。送信した情報が、LSP のセキュア サーバーに保存されることを確認します。
• 可能な場合は、LSP が作業対象のファイルを翻訳者に配布する前に、LSP で個人情報を加工してもらいます。
• データの加工ができない場合は、承認を受けた関係者のみと情報を共有することを LSP に確約してもらいましょう。
• 特定のケースにおいては、保護された施設内で作業を実施する能力が LSP に求められます。このような場合、LSP の従業員は物理的に制限されたスペース内で作業を行い、電話や紙を使用せず、情報を施設外に持ち出せないようにする必要があります。
• まれなケースではありますが、必要に応じて、LSP が従業員を御社のオフィスに派遣 (オンサイト) できるかを確認してください。こうすることで、情報が社外に漏れるのを防止できます。

情報のプライバシーを保護するには、これらのベスト プラクティスに加えて強力なセキュリティ プログラムが不可欠です。十分なセキュリティが確保されていない LSP ではプライバシーを保護することはできません。

作業完了時にデータはどうなるか

LSP には一定の期間データを保存することが求められる場合がありますが、その保存期間が無期限にならないようにする必要があります。LSP がどのデータをどのような理由で保存しているかを確認しておく必要があります。そのデータに個人を特定できる情報が含まれているかどうかに細心の注意を払いましょう。

翻訳メモリを構築する過程で情報を保存することには問題はありません。翻訳メモリは語句を集めた用語集であり、翻訳のプロセスを迅速かつ効率的に進めるために繰り返し使用されます。翻訳メモリには本来、個人を特定できる情報は含まれません。

LSP にプライバシー保護の文化が根付いているかを判断するにはどうすればよいのか

御社の LSP にはプライバシー保護の文化が根付いているでしょうか。プライバシー保護に関連する LSP の主な取り組みや、プライバシーやセキュリティに関する LSP の従業員の配慮を確認しましょう。

次の要素は、このような文化が存在しているかどうかを判断する手掛かりとなります。

• プライバシー保護の取り組みに予算が割り当てられている
• プライバシー保護プログラムが存在し、評価と改善が継続的に行われている
• プライバシー保護に関するプロセスについて従業員の教育やトレーニングが実施されている

重要なのは、これらの課題に取り組む経営幹部クラスの専任担当者の有無です。プライバシーに関連する法令や規則の動向に常に注意を払い、それに伴う LSP の法的義務に対応し続けることは、複雑以外の何ものでもありません。

LSP のプライバシー ポリシーや実践状況を初期段階で適正に評価することが御社にとって重要であり、これが最終的に、御社の評判を汚すことなく、コンプライアンス違反による金銭的なコストを回避することにつながります。

お問い合わせ

翻訳のご相談については、こちらからお問い合わせください。