GDPRについて何をしたらいいのか

何度か解説記事を読んでみたりしたものの「なるほど分からん」という状況だったので何をするべきかを軸に改めて整理。

とりあえず「現時点では特に何もしない」という結論になった。
GDPRに違反した際に制裁金もあるので、グローバル展開しているサービスを運営している場合は無視するのはリスクが高すぎるが、国内向けのサービスであればそれほど怖がる必要は無さそうだ。

以下のページが参考になった。

今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた

基本としては

  • そもそもEU諸国に居住しているユーザーがいなければ大丈夫
  • 含まれていそうな場合でもプライバシーポリシーを更新して同意を得ればOK

といったところだろうか。

色々なサービスからGDPRの対応についてプライバシーポリシーや利用規約をアップデートしたというメールが送られてきているが、同意を求めるフォームに飛ばされたりってことはないので、とりあえずはそういうかんじでいいらしい。

新規のユーザーに対しては利用規約とプライバシーポリシーの同意を求めるようにすればいいかんじだろうか。
そういやポップアップやスライドしてくるNoticeでそうしたお知らせをしているサイトもあったなあ。

参考としてSlackの対応が細かい。

以下、気になったことや考えたことなど。

プライバシーポリシーに書くこと

自分の場合は現時点で不要だが、書く必要があるとしたら次のようなかんじか。

  • 収集している情報と利用目的
  • GDPRに関する問い合わせの窓口
  • 利用しているサードパーティのサービス(Google Analyticsや広告サービス)

必要になったら他のサイトを参考にするのがいいだろう。

対象となる個人情報と個人の権利

個人情報はメールアドレスやCookieはいいとして、IPアドレスが含まれているのが面倒。ログに保存されたものも対象となる。

そしてサイトのユーザー(データ主体)は自分の個人情報に対して以下の権利を持つ。

  • 収集を拒否
  • 削除の要求
  • 閲覧
  • 不正確な情報の修正(修正する権利はあるが改竄が認められているわけではない)
  • エクスポート

ログでのIPアドレスの収集の拒否とか無理じゃないかな?セキュリティの観点からも従えない要求だし。
サービス使わないでねって言うしかない。基本はそれでいいのだろうか。

収集した情報の扱いについてはひとまず現実的にはユーザーから要求がある都度の個別対応で行くほかはないような。
ログくれって言われたらgrepして出さないといけないのか。ダルいのう。

違反した場合の罰則

まず誰が違反を判断するのかと言うと、監督機関。この監督機関は公的なものらしい。
そこに対してユーザーが訴えを投げると調査が入って色々するみたいなかんじ?

違反していると制裁金が科され、その制裁金には法的拘束力がある。
しかし巨額すぎてハイそうですかと支払えるものではないので、行き着く先は訴訟合戦になるのかな。