GDPRについて勉強してみました。対策まとめ(プライバシーポリシーの書き方、Googleアナリティクスの設定変更など)

Web開発,システム開発,SEO対策,会社経営

2018年5月25日よりGDPRが施行されましたね。同日、一斉に色々な所から「GDPR施行に伴いプライバシーポリシーをアップデートします」というタイトルのメールが届きます。(。´・ω・)ん? なんだろって思って、同業者の先輩に聞いてみると「え?知らないの?」と驚かれてしまいました。という訳で、あわてて「GDPR」について勉強した内容を( ..)φメモメモしておきます。

GDPRとは

「GDPR」とは2018年5月25日から欧州で新たに施工される個人情報保護に関する法律。「General Data Protection Regulation」の略であり、日本語で言うと「一般データ保護規則」にあたります。以下、簡単なマトメてみました。

GDPRの概要
  • 欧州経済領域(EEA)域内での個人情報を保護するための法律です。
    (EEA:EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー:2018年4月22日現在、イギリスを含みます)
  • EEA域内にて2018年5月25日に施行される新しい個人情報保護法です。
  • 施行後はGDPRが共通のルールとなります。今までは各国がバラバラの法律で個人情報保護を行ってたけど、各国法は廃止されます。
    (2019年3月にEU脱退予定のイギリスはGDPRに代わる独自法制定の準備をしているようです。)
  • 個々人の行動を縛るためのものではなく、基本的には組織や企業が遵守すべき法律です。
  • 保護される対象は、EEA域内で取得された個人情報です。旅行や出張で訪れているEEA以外の国の人の個人情報でもEEA域内で取得された場合は保護対象となります。
  • EEA以外の国の企業・組織でも、EEA域内に住む人のデータを取得・保持していればこの法律の対象となります。
  • 罰則が強化されます。企業の場合、2000万ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料です。
     え?(; ・`д・´) 1ユーロ=130円換算で26億円? まじでか?
  • 個人情報の範囲や取得・管理ルールが今まで以上に厳しくなります。
  • EEA域内で取得された個人情報の域外への移転は原則禁止です。
  • 保護対象の個々人は企業・組織に対して個人データの消去を請求することができるようになります。つまり「忘れられる権利」を与えられます。
なおGDPRに関して、より詳細な内容はNTT DATA先端技術様のページが、明快に説明してくれているのでご参照ください。

ブログしてる個人には影響あるの?

制裁金が26億円なんて言われたら驚いてしまいますよね。個人ブロガーはもちろん、私の様な個人事業主で払える金額ではありません。はたして個人に影響するのでしょうか? 答えは日本に住んでブログやってる個人は心配ありません。「一般データ保護規則(GDPR)」はヨーロッパの対象域内で取得された個人データやそこに住む人の個人データを扱うような企業・組織を対象とする法律です。基本的に日本に住んでてブログやってるような一般人は、ヨーロッパの人たちの個人情報集めたりしてないのでGDPRの対象にはなりません。

GDPRの影響と対応状況

個人は大丈夫と答えましたが、企業や組織の方は法務担当者か外部の専門家に相談してください。GDPRの罰金はびっくりするほど高額になるケースがあります。よって情報に敏感な企業様は既にほとんど対応を完了している様です。
なお企業・組織の規模の大小に関わりなく、EEA諸国と商品や人員、データのやり取りがある場合が対象となるようです。(ただし従業員が250人未満の企業・組織は、データ処理行為の記録義務に関しては免除されるようです。)
なのでEEA域内の国々と取引があったり、支社があったりするような大企業じゃないと関係なさそうな気がしますが、ネットで世界中がつながってる現代では、小さな企業でも外国と商品のやり取りすることはあります。そして日本の企業でも、EEA域内に住む人のデータを取得・保持していればこの法律の対象となるようです。BtoCとかなら中小零細企業でもEEA域内の個人と取引する場合もあるんじゃないでしょうか。そうすると必然的に住所氏名やメールアドレスなんかを取得することになり、GDPRの対象ということになります。

なおトレンドマイクロのサイトに面白い情報があがっていました。以下のグラフをご覧ください。

(設問)「個人情報の取り扱いに関する規則を定めた「一般データ保護規則(General Data Protection Regulation、GDPR)」を知っていますか?」

トレンドマイクロ社(EU一般データ保護規則(GDPR)対応に関する実態調査)
これによると、「内容について十分理解している」と回答したのは全体のわずか10.0%に止まることが分かりました。「名前だけは知っている」、「知らない」という回答が全体の66.5%を占め、施行開始を目前にGDPRに関する十分な認知・理解が進んでいない実態が明らかとの事です。ですが逆に言えば、まったく知らない人は全体で38.4%、情報システム責任者に至っては27.4%しか居ないという事です。つまり72.6%の人はGDPRについて何か知っていおり、何かしら対策を検討した事がある、という状況とも言えるので無いでしょうか?

もっとも具体的なGDPRへの対策は?

それでは具体的にGDPRに対して、どのような対策が有効なのでしょうか?色々と調べておりましたが、もっとも簡単で確実な方法は「コンサルに頼む」という方法です(;^ω^) もちろん大企業さんは関連部署を設置して早くから対策してるでしょう。ですが中小企業ならコンサルに頼む方が早くて確実です。というか中小企業の場合、それこそコンサル入れないと無理だと思います。ただ、私の様な個人事業主や社員数名の零細ベンチャー企業の場合だとコンサルに頼む余力もありません。そんな時は必至こいて勉強して、まわりを見よう見まねするしかありません。ご参考までに次章、私が行った対応を記載致します。

私が行ったGDPR対応

最初にお断りを申し上げます。私は法律などの専門家ではない素人です。ただ、上記の通りコンサルに頼む余力もない零細事業なので、自分で対策を行っただけです。ですので内容が間違えている可能性が多いにあります。もし私のマネをして制裁金が課せられた!って怒られても、私は責任をとれませんので悪しからず(;^ω^)

1.ホームページのプライバシーポリシーの更新

まず、一番目立つホームページの更新から行いました。色々なサイトのプライバシーポリシーを参考に、当ホームページにおける個人情報保護方針に追記をしていきます。

GDPR施行に伴い追加したプライバシーポリシー
アクセス解析ツールについて
当サイトでは、Googleによるアクセス解析ツール「Googleアナリティクス」を利用しています。

このGoogleアナリティクスはトラフィックデータの収集のためにCookieを使用しています。このトラフィックデータは匿名で収集されており、個人を特定するものではありません。この機能はCookieを無効にすることで収集を拒否することが出来ますので、お使いのブラウザの設定をご確認ください。この規約に関して、詳しくはここをクリックしてください。

お客様のアクセスログについて
当社のホームページでは、アクセスされた方の情報をアクセスログという形で記録しています。アクセスログは、アクセスされた方のドメイン名、IPアドレス、使用しているブラウザの種類、アクセス日時などのアクセスに関する履歴であり、ウェブサイトの保守管理や利用状況に関する統計分析のためやサイトの充実に活用されますが、それ以外の目的で利用されることはありません。このアクセスログには個人を特定できる情報は含まれません。

SSLについて
当サイトでは、個人情報を保護するために「SSL」を使用しています。安全機能を支持するブラウザを使うことにより、お客様が当サイトにアクセスして、名前と電子メールアドレスを含む個人情報を入力しサーバーに送信する際、サーバーに受信される時に、第三者が自動的に暗号化します。したがって、送信されたデータが、誰かに傍受された場合でも、内容が盗まれる心配はありません。
お客様がSSLを支持しないブラウザを使用する場合は、当サイトにアクセスできないか、情報のインプットができません。

リンク先のウェブサイトについて
お客様にとって有用と思われる情報を入手して頂く為に、本ホームページの一部コンテンツから、他のホームページへ移動(リンク)できるようになっています。リンク先のホームページは当社が運営しておりませんので、本ポリシーの対象外となります。

法令、規範の遵守と見直し
※なお当サイトは、保有する個人情報に関して適用される日本の法令、その他規範を遵守するとともに本ポリシーの内容を適宜見直し、上記の内容は改定することがございます。定期的にご確認頂きますようお願いします。

※重要※
なおにGRPR法では、以下の通り「GPS、IPアドレス、クッキー識別子」など、日本における改正個人情報保護法の例示にはない情報も含まれる様になりました。さらにこの先GDPRより怖いと言われる EUが準備中の「クッキー法」も控えているそうです。なお私のサイトはGoogleアナリティクスを使用しています。そこで、アナリティクスが使うCookieの説明を入れたプライバシーポリシーに致しました。同様にアクセスログという形でIPアドレス等の注意書きも加えています。

GDPR(第4条)
  • 氏名
  • 識別番号
  • 技術的な情報(GPS、IPアドレス、クッキー識別子など)
  • その他身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
日本における改正個人情報保護法
  • 氏名、生年月日
  • 生体データに関する個人識別符号(DNA、顔、虹彩、声紋、歩容、指紋、静脈など政令で定められたもの)
  • 公的機関が生成する個人識別符号(マイナンバー、旅券番号、年金番号、運転免許証番号など政令で定められたもの)
つまり、もしアフィリエイト広告などを使用しているサイトの場合、Cookieが使われている可能性が高いので、同じ様に以下の様な文言を追加する必要がありそうです。
アフィリエイト広告を導入している場合
アフィリエイトプログラム
当サイトは以下のアフィリエイトプログラムに参加しています。これらのプログラムにおいて取得・収集される情報については、各プログラムのプライバシーポリシーをご確認ください。
・Google AdSense
・Amazonアソシエイト
 等々…
これは、サイトごとに記載内容が異なってくる事を意味します。つまり、今までの様に単純にプライバシーポリシーのテンプレートをコピペできなくなったという点に注意が必要です。

2.Googleアナリティクス対応

もしGoogleアナリティクスをご使用されている場合は対応が必要です。対応していない人の場合、ログインすると上部に青いバーとともに謎のメッセージが現れるハズです。

上記メッセージの詳細をクリックするとヘルプが表示されます。そのヘルプ通りに設定を行えばOKです。

まず対象のサイトを選択し[管理] をクリックします。

[アカウント] 列で [アカウント設定] をクリックします。

[データ処理の修正条項] で [修正条項を確認] をクリックします。

修正条項を確認したら、[完了] をクリックします。

もう一度 [完了] をクリックすると、アカウント設定が保存されます。

2.Googleアナリティクス対応 その2

また、もう一点重要な点があります。GDPR施工に伴い「Google アナリティクス」に以下の「ユーザーデータとイベントデータの保持期間」を変更する機能が追加されました。

これはGDPRの「忘れられる権利」に対応する為です。使わないデータを持ち続けることはリスクがある為、ある一定期間を過ぎると破棄する様にGDPRに明記されています。そこでGoogleは、アナリティクス利用者がデータの保持と削除を管理できるよう、新しい機能を提供しました。なお、こちらの設定変更は不要です。通常はデフォルトの「26ヵ月」のままで大丈夫でしょう。

3.Wordpressプラグイン「Privacy & Cookies Policy」

サイトによっては、以下が必要だと説明している人も居ます。

Googleアナリティクスで必要な対応
無償版の場合は以下のような対応が必須となってきます。
1.修正条項への同意
2.GAを設置するサイト内のプライバシーポリシーにCookie情報取得していることとデータ保持期間の記載
3.プライバシーポリシーとGA管理画面のデータ保持期間の統一
4.Cookieを取得しているようサイト内で同意を得る
 ※会員登録時の利用規約の同意以外に、ポップアップ等が方法としてあたると思います

上記1,2、3については説明致しましたが、4の対応をするには仕組みを構築する必要があります。
もしWordpressをお使いの場合なら、以下の様な文言を表示できるプラグイン「GDPR Cookie Consent」があれば、先の仕組みを簡単に構築できます。

WordPress「Privacy & Cookies Policy」プラグイン

4.Wordpress4.9.6より公式にGDPRへ対応

もしWordpressをお使いなら、他にも必ずやっておきたい事があります。それは最新版へのアップデートです。WordPressはバージョン4.9.6より公式にGDPRへ対応致しました。

まず、WordPress 4.9.6へアップデート
WordPress 4.9.6へアップデートすると以下の画面が表示されます。

これは何かと言うと、
・個人データをエクスポート(抽出)する機能と消去する機能が増えた
・プライバシーポリシーページについて設定するように促す
というお知らせです。この吹き出しの先に「個人データとプライバシー」というメニューが追加されているのが解ると思います。

プライバシーポリシーページのひな形

この「プライバシー設定」というページは上の通りで、原則としてWordPress側はプライバシーポリシーを適切に設定するように促して、そのページがどの固定ページになるかを指定します。またプライバシーポリシーページのひな形も提供してくれています。残念ながらバージョン4.9.6時点の日本語版の文言は翻訳が良くなく使い物になりませんが、それでも何が必要なのか、多少は参考になります。

忘れちゃいけない一番重要な対策

これで、とりあえず対外的に見える場所(プライバシーポリシー)の対応は完了です。ですが一番重要な事は見栄えじゃありませんよね? 何より「GDPRを正しく理解することに努めて、正しく施策を実施すること」です。固い事を言うようですが、データ保護責任者を置き、日々のチェック行わせる。同時に社内教育を実施し、皆に個人情報保護違反とは何かを周知徹底させる、という事が最も大事です。また私の様な技術者の場合、先にあげたWordpressのプラグイン「GDPR Cookie Consent」等の様な、タグマネジメントできるデジタルマーケティングツールの検討も重要です。 タグマネの中でも代表格のTealiumなら、ユーザーの同意を得られない場合には、タグ自体を出さない。ユーザーからの明確な同意が得られた場合には、適切なリージョンに記録させるなどの対応ができるようになります。また、Webサイトのヘルスチェックツールを使用し、個人情報が不適切に表示されたページが無いか、日々、監視する事も大切な作業と言えます。

Print Friendly, PDF & Email