最近よく聞くGDPR…
対応しないと多額の罰則が課せられると聞いて急遽対応に追われている方も多いと思います。
でもGDPRってなに?webサイトでどうやって対応すればいいの?
そんなあなたに今回はそんなGDPRについて要点と具体的な実装方法をお話していきたいと思います!
GDPRってなに?なぜ重要視されているの?
さて、最近よく耳にするGDPR。
なぜここまで話題になっているのでしょうか?まずは簡単にGDPRについての説明をしていきたいと思います。
GDPRは、2018年5月から適用されているEU一般データ保護規則(英: General Data Protection
Regulation)の略語で、EU加盟28ヵ国およびアイスランド・リヒテンシュタイン・ノルウェー(=欧州経済領域(EEA))における個人データの処理と移転についての法律です。
ポイントが個人データの処理と移転で、ここにはいままでの個人情報保護の法律で含まれていなかったcookieなどのオンライン識別子なども保護の範囲に含まれるようになりました。
また、GDPRの対象がEEA圏内に事業所や支所があるなしなどに関わらず、EEA圏内からのWebアクセスすべてが対象になりました。
これによりAmazonやGoogleなどに約970億円近くの罰則が課せられたため、日本やその他各国でもEEA圏内で閲覧される可能性があるwebサイトを作製する場合は急遽対応に追われており、各所で話題になっています。
EEA(欧州経済領域)
EU加盟28ヵ国およびEFTA(アイスランド・リヒテンシュタイン・ノルウェー)のこと
GDPRの概要
以下がGDPRについての公式文章の日本語訳となります。
私達WEBサイト制作の現場の中で関係がありそうな情報としては下記が挙げられます。
・氏名
・識別番号(マイナンバー)
・位置情報データ
・クレジットカード番号
・パスポートの番号
・オンライン識別子(IPアドレス・Cookie)
海外からのアクセスが想定されるサイトにてこれらの情報の取り扱う場合は、GDPR対応をする必要があります。
GDPRについてWeb制作で気をつけるポイント
取り扱い頻度が高そうなクッキー・IP情報取得
冒頭でもお話したCookie情報などのようなオンライン識別子に代表される日本においては個人情報に該当しないデータでも個人データの対象になる点です。
普段何気なく使っているcookieやIPアドレスなどもGDPRでは厳重に扱わなければなりません。
収集だけではなくありとあらゆる取り扱いが処理とみなされる
GDPRにおける処理とは、個人データに対する収集・保存・編集・開示などのあらゆる行為をまとめたものです。
EEA域内の個人データを扱うことはすべてGDPRの対象になる可能性があると認識しておけば間違いないでしょう。
EEA向けに情報を発信していなくてもアクセスがある場合は要注意
警戒すべきなのはサイトに対するEEA域内からのアクセスです。英語版サイトを運用しているなかで広告のタグを設置しているだけでもリスクがあります。
現在の自社サイトのアクセス解析でEEA域内からのアクセスがそこそこあるようであれば、ただちにGDPR対策を考えたほうがいいです。
Webサイトで具体的になにを対策すべきか
さて、いままでのポイントを踏まえて実際にwebサイト上ではどのような対策をする必要があるかを具体的な方法を交えて説明していきます。
cookie使用の同意を得る
webサイトで主にGDPRでの対応となるのは主にcookie周りの扱いとなります。
cookieについては割愛しますが、webサイト上ではGoogle AnalyticsやYoutubeの埋め込みなど様々なところで使用されています。
ですので、webサイトにアクセス時に明示的に同意を得ることが必要となります。
明示的にというのは文章による暗黙的な同意、例えば閲覧を続けると同意したことになります。などの文書だけでの同意だとGDPR違反となってしまいます。
最近よく用いられているのは以下のような同意を促すポップアップの表示となります。
上記のサイトのようにポップアップでcookieを使用していることを明示して、そのあとボタンを押下させることで同意をユーザーに明示的に選択させるのが重要となります。
次に具体的な実装方法をお話します。
フルスクラッチで実装
1つ目はwebサイト上で使用されているcookieに対してフルスクラッチで制御するシステムを作成する方法です。
こちらの方法ですと下記で記載する外部サービスを使用するのに比べてコストが掛からないというメリットがありますが、使用しているcookieなどを逐一把握してそれぞれ適切に対応する必要があります。
外部サービスを利用して実装(One Trust)
OneTrustとはOneTrust社が提供する、GDPR等の個人情報保護規則への準拠状況についてのマネジメント・モニタリングを行うためのクラウドサービスです。
日本でもone trustの代理店が多数存在しますので、そちらでも対応を行うことができます。
おおよそのランニングコストの目安としては一つのドメインにつき年間5〜6万円(月額5000円前後)のものが多いようです。
そちらでGoogleアナリティクスのように発行されるタグを運用しているWebページに埋め込むことで簡単にGDPRの対応を行うことができます。
まとめ
いかがだったでしょうか?
今後CCPAや日本の改正個人情報保護法など様々な個人情報保護への対応が必要になってくると思われます。
その時のためにもより多くの知識を入れておきたいですね。