【WebサイトのGDPR対応】
第1回 GDPR(EU一般データ保護規則)に対応しよう

12億円の請求とか、来たらもう笑うしかないよね

こんにちは!

世間は師走、お歳暮シーズンにもなりますが、 「お歳暮はAmazonギフトカード以外送っちゃダメ」 みたいな条例できないかなと、せつに願っているあらたまです!

みんなしあわせ。みんなハッピー。

さて本記事シリーズ「WebサイトのGDPR対応」では、
Google Analytics
Google Adsense
を使っているWebサイトの GDRP対応を進めていきたいと思います。

まず今回はあらためて、「GDRP」って何だろうというところから入っていきたいと思います。

ご注意事項 本記事シリーズはGDRPへの対応に関わるプログラムの実装方法の内容を示すものであり、 「ここに記載されたことを実施すればGDRPに確実に適合される」ということを保証するものではありません。 GDRPへの確実な適合については法務担当者や弁護士にご相談のうえ、ご自身でご判断をお願いいたします。

GDRPって?

「General Data Protection Regulation」省略形で、日本語では「EU一般データ保護規則」と言います。

EU一般データ保護規則

欧州議会・欧州理事会および欧州委員会が欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している。

データの収集および利用目的(第7条、第4条の規定)について、有効な同意が明示的に行われなければならない。(…省略…)データ管理者は"同意"(オプトイン)を証明できる必要があり、その同意は取り消されうる

ウィキペディア (Wikipedia): フリー百科事典より引用・抜粋
更新日時 2018年11月28日 (水) 17:21

GDPRは欧州連合 (EU) 内のユーザーの個人情報保護を目的としたものであること。 データの収集・利用には同意が必要であること。 同意の証明ができるようにすること。同意の取り消しもできるようにする必要があること。 などが書いてありますね。

GDRPの指す「個人情報」

これだけだと日本の「個人情報保護法」と変わんないじゃんって思ってしまいますが、 ひとつの大きな違いがその「個人情報」の適用範囲の広さです。

EU 一般データ保護規則(GDPR)について

個人データ
識別された、または識別され得る自然人(「データ主体」)に関するすべての情報
 自然人の氏名
 識別番号
 所在地データ
 メールアドレス
 オンライン識別子(IPアドレス、クッキー識別子)
 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブックより引用

下から二番目のところで、IPアドレス、クッキー識別子が「個人情報」に含まれていますね。

「Googleアナリティクス」も「Googleアドセンス」もクッキーを使ってユーザーの情報を収集しています。

そのためこれらのサービスを自身のWebサイト上で動かす場合は、動かす前にユーザーの同意を取らなければいけないということになってしまいます。

違反した場合の罰則

さらに日本の「個人情報保護法」との大きな違いに、違反とみなされた場合の過料金額が莫大である、ということです。

EU一般データ保護規則

処罰
(…省略…)
企業の場合、10,000,000ユーロ、または、前会計期間の全世界の売上高の2%のうち、いずれか大きい方の過料(第83条4項)
企業の場合、20,000,000ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料(第83条5項および6項)

ウィキペディア (Wikipedia): フリー百科事典より引用・抜粋
更新日時 2018年11月28日 (水) 17:21

「10,000,000ユーロ」、桁数だけでも安くないことはわかりますが、日本円に換算すると約12億円です。

12万円じゃないですよ、12億円です。

もう突然こんな請求がきたら、笑うしかありませんね。

すべてのWebサイトが対象なの?

EUなんて、僕らからすればはるか西のかなた。
はたして、私たちも気にする必要があるのでしょうか。

GDPR の適用範囲(第 2 条および第 3 条)

GDPRは、管理者、または処理者が EEA域外で設立されたものである場合であっても、以下のいずれかの場合には適用される。  EEAのデータ主体に対して商品またはサービスを提供する場合
 EEAのデータ主体の行動を監視する場合

JETRO「EU一般データ保護規則(GDPR)」に関わる実務ハンドブックより引用

EEAとは「EUを含む欧州経済領域」のことです。

上を読む限り、欧州経済領域にいる人に対して商品やサービスを提供する場合、 あるいはその人の行動を監視する場合、対象となるということですね。

そうなると、日本語で作成した日本国内向けのWebサイトなら気にしなくて大丈夫そうです。 一方でたとえ日本語で作成してあっても、欧州にいる日本人向けにWebサイトを作ったら対象となりそうです。

英語で書いたWebサイトの場合は?

あくまで欧州経済圏内にいる人を対象としているかどうか が判断基準ですので、英語の場合もそこで判断されるようです。

どのような言語や通貨が使用されているか、EU域内の個人に関する言及があるか、 商品やサービスの提供範囲等を考慮して判断され、 単に英語のウェブサイトを載せているだけでは適用されません。

個人情報保護委員会「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」より引用

でも「考慮して判断され」って、あいまいな線引きだけに何気に怖いですよね。

万が一に変な難癖付けられて12億とか、笑えません。。

なのでちょっとの手間で済むなら、少しでも不安なら対応していたほうが無難かな、と考えたりしています。

今回はここまでです!

次回からはWebサイトの対応に入っていきたい思います。

次回へ続く