GDPRについて何をしたらいいのか
何度か解説記事を読んでみたりしたものの「なるほど分からん」という状況だったので何をするべきかを軸に改めて整理。
とりあえず「現時点では特に何もしない」という結論になった。
GDPRに違反した際に制裁金もあるので、グローバル展開しているサービスを運営している場合は無視するのはリスクが高すぎるが、国内向けのサービスであればそれほど怖がる必要は無さそうだ。
以下のページが参考になった。
今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた
基本としては
- そもそもEU諸国に居住しているユーザーがいなければ大丈夫
- 含まれていそうな場合でもプライバシーポリシーを更新して同意を得ればOK
といったところだろうか。
色々なサービスからGDPRの対応についてプライバシーポリシーや利用規約をアップデートしたというメールが送られてきているが、同意を求めるフォームに飛ばされたりってことはないので、とりあえずはそういうかんじでいいらしい。
新規のユーザーに対しては利用規約とプライバシーポリシーの同意を求めるようにすればいいかんじだろうか。
そういやポップアップやスライドしてくるNoticeでそうしたお知らせをしているサイトもあったなあ。
参考としてSlackの対応が細かい。
以下、気になったことや考えたことなど。
プライバシーポリシーに書くこと
自分の場合は現時点で不要だが、書く必要があるとしたら次のようなかんじか。
- 収集している情報と利用目的
- GDPRに関する問い合わせの窓口
- 利用しているサードパーティのサービス(Google Analyticsや広告サービス)
必要になったら他のサイトを参考にするのがいいだろう。
対象となる個人情報と個人の権利
個人情報はメールアドレスやCookieはいいとして、IPアドレスが含まれているのが面倒。ログに保存されたものも対象となる。
そしてサイトのユーザー(データ主体)は自分の個人情報に対して以下の権利を持つ。
- 収集を拒否
- 削除の要求
- 閲覧
- 不正確な情報の修正(修正する権利はあるが改竄が認められているわけではない)
- エクスポート
ログでのIPアドレスの収集の拒否とか無理じゃないかな?セキュリティの観点からも従えない要求だし。
サービス使わないでねって言うしかない。基本はそれでいいのだろうか。
収集した情報の扱いについてはひとまず現実的にはユーザーから要求がある都度の個別対応で行くほかはないような。
ログくれって言われたらgrepして出さないといけないのか。ダルいのう。
違反した場合の罰則
まず誰が違反を判断するのかと言うと、監督機関。この監督機関は公的なものらしい。
そこに対してユーザーが訴えを投げると調査が入って色々するみたいなかんじ?
違反していると制裁金が科され、その制裁金には法的拘束力がある。
しかし巨額すぎてハイそうですかと支払えるものではないので、行き着く先は訴訟合戦になるのかな。