「GDPR」 Web担当者やWebアナリストはどう対処する?

gdpr突然ですが「GDPR」ってご存知ですか?

2018年5月にヨーロッパにおける個人情報保護法ともいえる「一般データ保護規則」(General Data Protection Regulation:以下、GDPRと略します)が施行されました。

施行後、半年以上経ちましたが、「GDPR」について何か対策を行っていますか?

「日本のことじゃないから関係ない」「何の対策も取ってない」という方も少なくないかと思います。

現状、日本国内では大きな影響はないかと思われますが、場合によっては影響を受ける法人も出てくると考えられます。

そこで、今一度「GDPR」とは何かを見直していきましょう。

「GDPR」とは

「GDPR」(EU一般データ保護規則)は、EU(正確にはEEA)内の、すべての個人のプライバシー保護を強化するために2018年5月25日に施行された法律です。

すべての個人というのは人種や国籍、市民権は無関係です。移民も旅行者も、権利が保護される対象となります。

つまり、日本からの駐在員や現地で日本語を話せる人も権利が保護される対象になるので、現地に拠点や法人があるなしにかかわらず、です。

 

では、何が保護の対象になるのでしょうか。

それは、「個人で持っている例えばオンラインストアの会員ID」や、「ポータルサイト、ブログサイトといったユーザー名、Emailアドレス」はもちろん、「スマホやパソコンなどデバイス毎に固有のIPアドレス」、「Cookieに保存されるブラウザ毎に固有のオンライン識別子(たとえばGoogle AnalyticsのClient IDやAdobe Analyticsのvid, mid, ecidといったものを一つでも導入しているだけで)」も規制対象になります。

EC圏での規制ですが、日本のWebサイトであってもこれらが該当すれば、「GDPR」対象です。

例えば、日本人旅行者がEEA内で日本のECサイトを利用した場合や、ターゲティング広告の出稿をしていた時に、そのアクセスデータを自社アカウントで集めている場合も同様です。

拡大されたプライバシー情報

会員IDやユーザー名、Emailアドレスが保護されるというのは、世界共通の認識であり、ある種私たちの常識の範囲内といえます。

重要なのはこの共通認識以上の範囲まで[デバイス毎に固有のIPアドレス、Cookieに保存されるブラウザ毎に固有のオンライン識別子]も規制対象になる点です。

広告ツールだけでなく、接客ツール、LPOツールなど、固有IDをCookie保存するものを利用している場合は注意が必要です。

EU内からアクセスできるWebサイトに、会員IDやメールアドレスを入力するフォームの設置がなされていると、これはプライバシー情報の入力となり、保護規制の対象となります。

プライバシー情報の何が保護されるのか

保護の内容については上記(「GDPR」とは)で説明しましたが、では、プライバシー情報の何が保護されるのでしょうか。

保護の内容を簡単に説明すると、下記4つが保護対象となります。

 

  1. 「取得されることを拒否する権利」
    個人は企業へ提供する自分の個人データに対して、メールアドレスやアクセス履歴などを「取得されることを拒否する権利」が保護されます。
    企業は取得同意を得ずにこれを実現することはできません。
  2. 「アクセスする権利」
    企業はアクセスできない内容の確認や修正を迫られる可能性が出てきます。
  3. 「消去する権利」
    個人にとって不都合な書き込みや情報を「消去する権利」が保護されます。
    これにより企業は削除依頼に応じなければなりません。
  4. 「持ち運ぶ権利」
    企業は個人がほしいと思う情報に対し、エクスポートできるよう取り計らわなければなりません。

サイト運営社がすべきこと

企業やサイト運営側の対策・対応は、Webサイトの運営者(事業会社・団体)、データの保管を請け負うツールベンダー(GoogleやAdobe)などの立場によって変わってくるでしょう。

例えばGoogle Analyticsを利用している企業の場合、ユーザーに対して

 

  • サイト訪問者へデータを取得することをわかりやすく説明する箇所を設ける。またそれに同意するフォームを作る
  • GDPRに対応できる体制、ノウハウを持ったツールや委託先を選択
  • 訪問者からのデータ確認、削除要求に対応する
  • 保管期間を過ぎたデータは削除

また、例えばツールを扱っているベンダー会社の場合、

  • GDPR対応に必要な機能を実装する
  • データの安全な保管・処理を行う
  • 利用規約のGDPR仕様への変更

などが考えられます。

まとめ

最終的にGDPRに対してどこまで対応すべきかについては、企業ごとに違ってくるかと思います。

しかし「GDPR対策」ありきではなく、お客様の視点から何が必要なのか、何が要求されているのかなどを予め検討して実現することができれば、おのずとよいサービスが提供できるのではないでしょうか。

  • このページを共有する