GDPR対応について改めて調べてみた
依然としてよく分からないところもあるのだが、現時点での理解をまとめる。
法的なことに関わる話になるので、法律の素人がインターネッツに文章を放流しない方がいいのではと思いつつ。
いったん把握した知識も定期的なアップデートが必要そう。
日本のサイトがGDPRに対応する必要があるか?
まず大部分の日本のサイトに通じる大前提として。
EU圏をサービスの対象としているならもちろん対応しなければならない。
しかしEUをサービスの対象としていないなら対応する必要はなさそう(推測)
参考: 今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた
https://fujii-yuji.net/2018/05/starting-gdpr-today.html
現実問題として、GDPR違反を取り締まる機関や部署も、極東の零細ウェブサイトにいちゃもんを付けてくるほど暇ではないだろう。
GDPRとは
基本の整理。
- EU圏のユーザーを対象とした全世界のサービスすべてに適用されるプライバシー規制
- EU外の企業や個人も順守する必要がある
- あらゆる個人データ(後述)の取り扱いを対象とする
- 個人データの取り扱いにはユーザーの同意が必要(オプトイン)
- 収集した個人データは適切に運用する必要がある
- ユーザーには自分の個人データをコントロールする権利がある
- 違反した場合の罰金: 全世界売り上げの4%か2000万ユーロのうち高い方を上限とする
- 2018年より施行
EUの規制ではあるがグローバル展開するすべてのサービスに影響する。
個人データの取り扱いを禁止するというわけではなく、ユーザーの同意を得たうえで適切に扱えば違反にはならない。
が、どこまでやれば適切なのかが分かりづらいため、慎重に対応する必要がある。
ちなみに規制の範囲が厳しく罰金が強烈なため、EUからのアクセスをブロックしている企業やサービスもある。
参考: Yahoo! 2022年4月6日 (水)よりYahoo! JAPANは欧州経済領域(EEA)およびイギリスからご利用いただけなくなります
https://privacy.yahoo.co.jp/notice/globalaccess.html
GDPR以外のプライバシー規制
GDPRと同じような目的を持った規制がいくつか出てきていて、国や地域によって異なる対応が必要。
例えばカリフォルニア州のCCPAがある。
インドもGDPRに似た規制を検討していて、昨年の8月にいったん白紙撤回されたが、12月にまた新しい法案が出てきている(その後成立したかどうかよく分からない)
そして日本では個人情報保護法や電気通信事業法がある。
グローバルにサイトを運用する場合はすべての国と地域の規制に異なる対応をする必要がでてくる。
完璧にやろうとすると個人データに関する同意のダイアログひとつ出すにも大変なことに。
同意管理をケアするCMPと呼ばれるサービスも出てきていて、初めて見たときは「大げさすぎない?」と思ったものの、運営するサービスの性質によっては妥当かもしれないと思うようになった。
個人データとは
GDPRの文脈で個人データと言った場合、それは「ユーザー個人に紐づき特定条件となり得るすべてのデータ」となる。
日本の法令が定める個人情報の範囲や個人データの定義とは異なるので、「個人データ」という言葉を使う際には混乱しないように。
GDPRの個人データにはユーザーから収集した情報のうち「合理的に個人を特定可能な」という解釈に幅の出る注釈が付いていて、なかなかそれかどうか判断が難しいが、これまでの例から以下の情報は個人データとみなされ得る。
- 識別ID(CookieによるトラッキングID、サービスのユーザーID等)
- メールアドレス
- IPアドレス(サーバーのログに記録されているやつとか)
- 氏名
- 属性情報(性別、年齢、職業等)
- デバイス情報(OS情報、ブラウザ情報、画面解像度、選択した言語)
- 位置データ
- 医療情報
- 写真や容姿の情報
- 等々
GDPRはCookie規制と同時に語られやすいが、Cookieに記録されるものだけが個人データではない(逆にCookieを使っていても個人データを扱っているとは限らない)
ユーザーはこれらの個人データがどういう用途で使われているのか知る権利があり、収集を拒否したり、保存されているデータを取得したり、削除を要求することもできる(GDPR対応を完璧にしようと想ったらそこまでできるようにする必要があるということ)
正当な理由がなければサイトの管理者はユーザーのこれらの権利を無視できない。
ただしユーザーの言い分が何でも通るということはなく、例えばIPアドレスをログに残すのはセキュリティ上必要かつ合理的なことなので、収集の拒否や削除の要請は通らないと考えられる。
GDPR違反の例
以前から槍玉に挙げられていたGoogle Analytics。
Google Analyticsを利用している各サイトはその旨をユーザーに告知するダイアログを実装してGDPR対応としていたが、一部の国では使用自体が禁止されつつある。
GA4ではIPアドレスを記録しない、属性情報はGoogleシグナルで同意したユーザーのみを収集対象とするなど、個人データの収集に配慮しているが、それでも相変わらず目を付けられている。
参考: イタリア、GoogleアナリティクスをGDPR違反のため利用禁止へ
https://news.mynavi.jp/techplus/article/20220630-2382640/
参考: 「Googleアナリティクスの使用は違法」という暫定的な結論をノルウェーの規制当局が発表、Googleアナリティクスの使用が禁止される可能性
https://gigazine.net/news/20230307-google-analytics-norway-against/
SNSボタンなどの利用に関しても、個人データを取り扱っているとみなされる。
参考: 「いいね!」ボタン、設置したサイトもユーザーデータに責任–EU司法裁
https://japan.cnet.com/article/35140586/
セキュリティ対策の不備で個人データが漏洩した場合にGDPR違反となる例もある模様。
参考: NTTデータ、GDPR違反で日本企業初の制裁金 求められるIT対策とは
https://www.dataclasys.com/column/nttdata_gdpr_221115/
ウェブサイトのGDPR対応
通知
手段として以下のようなものが考えられる。
・ダイアログで通知する
・フッターなどサイトの一部に目立つように書く
・利用規約に含める(利用規約への同意を必須としているサービスならこれで有効なはず)
ウェブサイトならばプライバシーポリシーやプライバシーガイドラインのページを作って、ダイアログやフッターからそこへリンクするのが手堅い。
ユーザーによるコントロールの実装
識別IDなどをもってユーザー情報を扱うサービスは参照、更新、削除などを適切に実装しなくてはいけない。
個人データを利用したアクセス解析などはユーザーの同意を得て行うことは許されるが、同意しないユーザーの個人データを除外したり、あとから削除する機能も必要となる。はず。
かけられるコストとGDPR違反で訴えられるリスクを天秤にかけてどこまで対応すればいいのかは各自判断するしかなさそう。
Cookie規制との混乱
GDPR対応に関して説明しているウェブページで「ファーストパーティCookieなら個人データを扱っても平気」と書いてあるものを複数観測したが、サードパーティCookieがブラウザで無効になるという話とごっちゃになって混乱しているのかなぁと。
「ファーストパーティCookie」と「個人データを扱っても平気」に因果関係はない。