This post is also available in: English
(スポンサー記事)
はじめに
近年急速に規制が進んできているのが個人情報保護に関する規制です。この個人情報に関する規制は世界各国で進んでいます。日本政府においても活発に議論が進んでいます。特にEUはCookieなどのWeb上で個人に関する情報を取得する手法を規制するGDPRという法律が施行されています。本記事においては特にワードプレスなどを用いたサイト運営者についてGDPRとは何でどのような対策が必要かについて解説をします。
Webページにおいて、ブラウザに情報を保存するための仕組みの1つ。ログイン情報や、端末情報などをクッキー情報として取得したり提供したりすることができます。
本記事のポイント
最初に本記事のポイントを列挙します。時間がない方はこのポイントをご覧ください。
- EU居住者から個人データをとる全ての企業が対象
- ユーザーへの情報取得の同意が必要になる場合あり
- プライバシーポリシーの更新が必要
- 個人情報取得ツールは更新やユーザー同意が必要に
- GDPRの対応を守れない場合は罰金などの制裁があり
- 日本においても個人情報保護法の改正で厳格化可能性あり
GDPRとは
まずはじめにGDPRについて説明します。GDPRは「General Data Protection Regulation」の略となります。これを日本語に訳すと「EU一般データ保護規則」と呼ばれているものです。1995年に施行された「Data Protection Directive 95(EUデータ保護指令)」に代わる法規制として2018年5月25日から施行されます。
GDPR制定の背景
GDPR制定の背景にはIT技術の発展と経済のグローバル化が影響しています。GoogleやFacebookなどの巨大プラットフォームをはじめとして、グローバルで大量のデータを活用してビジネスを拡大させる会社が増えてきました。EUでは、このような環境変化への対応を目的として、急法令のアップデート版としてのGDPRを制定しました。
GDPRの基本原則
GDPRには基本的な取り扱い原則があります。以下をご確認ください。
- データは同意が必要で、適法・公正かつ透明性のある手段で取り扱われなければなりません。
- 個人データは明確かつ適法な目的のために収集されなければならず、その目的のためにのみ取り扱わなければなりません。
- 個人データは、取り扱われる目的の必要性に応じて、適切/関連性あり/最小限に限られていなければなりません。
- 個人データは、正確かつ最新に保たなければなりません。
- 個人データは、データ主体の識別が可能な状態で可能な限り短い期間で保存されなければなりません。
- 個人データは、当該個人データのセキュリティを確保する適切な方法で取り扱われなければなりません。
- 管理者は上記の原則の責任を負い、その遵守を証明可能にしなければなりません。
GDPRの罰則
GDPRに違反した場合の 制裁金と違反例は次のとおりです。ひとたび罰金を支払うとなると非常に大きなダメージを負う可能性があります。
■「企業の全世界年間売上高の2%」または「1,000万ユーロ」のいずれか高いほう
■「企業の全世界年間売上高の4%」または「2,000万ユーロ」のいずれか高いほう
GDPRで対象となる個人データ
続いてGDPRで対象となる個人データに関して説明します。
GDPRの対象範囲
GDPRの対象範囲は以下です。
- EU加盟国
- EEA(欧州経済領域)加盟3か国
個人情報の定義
上記の対象国にいる一般消費者の情報のみならず従業員、企業担当者などを含むすべての個人について、その個人識別につながる情報となります。つまりはほぼ全員と考えていただいて差し支えないかと思います。
個人情報の具体的な例としては以下のようなものが考えられます。
- 氏名が特定できる情報:組織図、座席表、従業員管理帳簿
- ステークホルダーの氏名がわかるもの:株主名簿、顧客管理データ
- Eメールアドレス:メーリングリスト、CRMツール内のデータ
- 個人に係る情報:映像/画像/音声
個人指名が特定できるデータは漏れなく対象と考えるとわかりやすいです。また、従業員IDや携帯番号など他の情報とつけあわせれば個人を特定できてしまうデータも同様となります。こういった点で、クッキーやIPアドレスなどのオンライン識別子は他のデータと組み合わせることで、個人識別につながる場合において対象となります。
日本企業もGDPRの影響を受ける場合も?
GDPRはEUの法律ではあるものの、日本企業がこの法律の影響を受ける場合があります。主には以下のような場合に該当します。考え方としてはEU域のユーザーの情報を取得している企業全てということになるでしょう。
- EU域に子会社などが所在している
- 日本国内に所在しているがEU居住者にサービスを提供している
- EU域内の企業が収集したEU居住者の個人データにアクセスできる
- 業務委託などでEU居住者の個人データを扱っている
サイト運営者が必要なGDPR対応とは
主にGDPRの関連部署は非常に広いため、本記事においてはワードプレスなどのCMSツールを使ったビジネス側のサイト運営者観点で必要な対応を列挙します。
■プライバシーポリシーの整備
■利用者からの同意取得
■データ暗号化
■上記に関連する、プラグインチェックと更新
社内体制の整備
社内整備に関しては、まずデータの管理者をたてる必要があります。あわせて、データ管理に関する社内規程を整理する必要があります。
プライバシーポリシーページの更新
プライバシーポリシーの整備をする必要があります。プライバシーポリシーは多くの場合にサービスの利用者も閲覧できる前提であると思いますので、WEBサイトのプライバシーポリシーの更新などが必要になる場合があります。これは弁護士など必ず専門家に相談することをおすすめします。
ユーザーからの同意取得
ユーザーから個人データを取得する場合は、データ主体からの明確な同意を取得することが求められるケースがあり、データ主体が能動的に同意の意思を明示したことが確認できる記録が必要です。例えば気をつけなければいけないツールや手法は以下があげられるでしょう
- Googleアナリティクスデータ
- メルマガ
- リターゲティング広告のためのクッキー取得
- GPSなど位置情報データの取得
データ暗号化 / SSL化
データ保存場所の暗号化と、データ通信トラフィックの暗号化(https化)が必要になります。「暗号化」という用語は、GDPR内では多く言及されていないものですので、必ずしもGDPRとして必須ではありません。ただ、企業の情報管理としては基本的な内容ではあるので未整備の場合は必ず取り組んだ方がよいでしょう
プラグインのチェックと更新
個人情報の収集および保存機能のあるワードプレスのプラグインは更新する必要があります。主なプラグインとしては以下です。
■コメントプラグイン
■分析系プラグイン
■マーケティング系プラグイン
■コミュニティ系プラグイン
日本でも個人情報保護法改正が目前に
自分の会社はEU居住者にサービスを提供しないからといって安心はできません。というのも、日本においてもクッキー利用条件の厳格化などを含む個人情報保護法の改正案が閣議決定されており(2020年3月時点)GDPRと同様もしくはそれ以上の規制になる可能性があります。
最後に
本記事ではGDPRについて定義や対策のポイントを紹介しました。EUに限らず個人データの保護に関する規制は世界的に強化傾向となりますので今一度サイトやサービスを点検する機会を作ってもよいかもしれません。以上で記事を終わります。
