今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた

こんにちはこんにちは。5月25日ですね。

今日からGDPR施行じゃないですか。 ヤバくない? 何もしてなくない? やっべえな、というWEBサイト担当者/アプリ開発者のためにブログをしたためます。 内容的には「GDPR、何をしたらいいかも何もわからん」という人向けです。これでバッチリ適法、というレベルになるわけではないことは理解して読んでね。

できる限り適切に書いているけれど、この通りにしたら酷い目に遭ったぞなどのクレームは受け付けません(免責)。

あと、プライバシー保護ガチ勢の人はユルい内容に怒らないで欲しい。間違いへのツッコミかあれば歓迎ですが優しくお願います。

長いからこれだけ読んでおくと大丈夫

① 欧州圏からアクセスできるとかユーザー1人いるとGDPR対象事業者になる、わけじゃない ② プライバシーポリシー更新してるだけで対応済みとしている企業も多い

セキュリティコンサル的な会社が専門用語と巨額の制裁金で煽って「対応するの無理。やばそう。でも制裁金こわい」みたいな雰囲気にしている流れがありますが、完璧対応しないならコワクナイヨー。はじめの一歩を踏み出そう。

「一人でも欧州ユーザーがいたら駄目」みたいな微妙に間違った知識が出回っていて、発作的にEUからのアクセスをブロックしてしまうWEB担やアプリ管理者もでてきているようです。

まあ、おちつけ。

最低限の対応くらいは小さい企業でもできます。

もちろん、最低限で大丈夫ってわけではないですが、とりあえず実務的に対応できそうなレベルからやるってことで何もしないより良いじゃない。

あ、でもセンシティブデータ(人種とか健康に関するデータ・性的指向に関するデータ)を扱っていなくて、大企業や大規模サービスではなく、欧州向けにサービス提供してないし、完全に日本向けだよという人に向けてこれを書いています。

大規模サービスやセンシティブデータを扱ってる人は、僕の書くようなユルい対応ではなくガチ対応してくださいね。

欧州圏からアクセスできるだけでGDPR対象事業者になるぞ!巨額の制裁金ガーとかいう煽り記事に乗せらせないように

欧州圏からアクセスできるとか。欧州からアカウント作成できるだけでGDPR対象事業者になるぞ!巨額の制裁金ガーーーという煽り記事を沢山見ます。

まあ、おちつけ(2回目)。

欧州域「外」でサービス提供をしていても、域内にいる人(国籍などを問わず物理的に域内にいる人)の個人データを扱う場合が対象になることがあります。

個人データにはメールアドレス、IP、Cookieなども含まれますので日本でよく言う「個人が特定できる情報」より範囲は広いと思ってください。(GDPR第3条2)

これは個人運営であろうと、無償サービスであろうと対象です…………って、すべてのWebサイトが対象じゃねーか!?!?!と考えてしまいますが、実は違います。落ち着け。

 

GDPRには「管理者または処理者が欧州連合内役務を提供しようとする意思が明確かどうかを確認しなければならない。」とあります。

またGDPR前文23によると、域外でサービス提供をしていても「1つ以上のEU加盟国に所在するデータ主体(人)に対し、サービス提供をする意思があることが明白である場合」には、GDPR適用されるとされています。

つまり、実態として欧州連合に向けてサービス提供していなければ「アクセスできるだけ」では対象事業者とはならないというわけです。

「サービス提供の意思が明白か」の判断として、域内の国で一般的に使用される言語や通貨が使えるか、サービス説明やサポート文言などに欧州域内ユーザーについて書いてあるか、などがあるとのことで個別かつ総合的な判断になります。

日本語サイトでも域内ユーザーが利用するなら対象になるということでもあるので、あくまでも総合的かつ個別に判断されるのでルールはありませんが、

  • - 客観的に見ても明らかに日本国内向けのサービス
  • - 日本語のみでサービス提供している
  • - 決済手段が日本向け(日本円のみなど)であることがわかる
  • - 欧州へのサービスの提供について特段の記載がない
  • - 実態としても欧州ユーザーがほぼいない(例外レベルの数はいるとしても)

といった条件を全て満たすなど、99.9%日本向けサービスだけど「何か間違って欧州にいるユーザーが混ざる可能性が微粒子レベルで存在する」くらいなら対象外 と考えても良さそうということです。

 

「日本人向けサービスであはあるが、第三者から見てもまあ欧州ユーザーも少しはいる」くらいになると、数は少ないが状態的に欧州ユーザーへサービス提供していることになりGDPRの対象となるんでしょうね。

例えば、オンライン宿泊予約サービスがあったとして、利用者のほとんどは日本人だけど欧州からの利用もイレギュラーでないことを認識できたら、それはGDPR対象ということらしいんですね。日本語サービスだったとしても。

 

 

ちなみに、英語版もあるサービスは判断が難しくなります。 英語は欧州でも広く用いられていますが、米国や豪州など欧州域外の国でも広く用いられているので英語サイトだと一義的にGDPRの適用の有無が決定されるものではないようです。

その場合はより総合的な個別の判断となるので、かなりグレーです。グレー。 欧州ユーザーが実態としてどのくらいいるかとか見られそうだなと思います。

 

 

ちなみにGDPR対応したくないあまりに「欧州ユーザーは個人情報を書くな」とか記載してしまうと、欧州ユーザーにサービス提供していると見なされてGDPR対象となる可能性が高まりますのでご注意を。

簡易なGDPR対応は難しくはない。

今日、いますぐ対応しないといけないわけではないとしても、GDPRがインターネットにおける個人データ保護のスタンダードになる流れではありますので、無視し続けるわけにはいきませんね。

個人データの保護は「ここまでやったら大丈夫」というものがありません。

なので、大企業でも簡易な対応をしているところもあれば、アカウントを作っていないユーザーに対してもオプトインしてからでないと画面を表示しないようなところまで様々です。

ここでは、フジイ個人が感覚的に「何もしないよりマシかな」と思うレベル感で書いておきます(なのでこれが正解というわけではないですからね)。

 

 

以下、長くて分かりにくいのでスーパー最低限の「プライバシーポリシーにGDPRの権利を実行するときの窓口を書く、できるだけ使ってるサードパーティーサービスを書く」という2点からスタートすればOKくらいに思ってください。

GDPRに書かれている権利とか義務の確認

※ここの項は長いので読み飛ばしてプライバシーポリシーの項目だけ読むだけでも良いよ。

 

情報権(第 13条、第 14条) 管理者はデータ主体から個人データを収集する場合、データ主体に一定の情報を提供しなければならない。つまりオプトインによる確認やプライバシーポリシーでの明記が必要です。

説明責任(第 5 条(2)) プライバシーポリシーやGDPRステートメントへの記載。管理者は適切な個人データ保護指針の採択、およびその実行を含め、処理行為が適法な個人データ処理の要件をはじめとする GDPR の要件を確実に遵守し、かつそれを実証できなければならない。

アクセス権(第15条) 管理者はデータ主体から処理が行われている個人データへのアクセスの請求があればそのコピーを提供しなければならない。 全ての個人データ、DB内のデータやS3などにあるメディアファイル、サーバーログのIP等も含む格納状況の請求とエクスポートができる必要があるが実際は一部しか提供できないことが多い。実務的には「ログインしてマイページにアクセスすると見られます」で対応しているところが多いように思いますが、Slackはアクセス権を提供できる範囲を明確化していてわかりやすいです。 https://slack.com/intl/ja-jp/gdpr

削除権(第 17条(1)) データ主体は自分に関する個人データの削除を遅滞なく管理者から得る権利を有する。全ての個人データ、DB内のデータやメディアファイル、サーバーログのIP等も含む削除ができる必要がある。IPアドレスなどのログも含むし、Google Analyticsやサーバー管理ツールのログなども含む。ただ実務的にそこまでするべきかは分からないです。 一部しか削除できないのは権利を阻害しているとも言えますが、やはりこれもSlackが削除権を提供できる範囲を明確化していてわかりやすいです(ベストというわけではないですが実務的なやり方として参考になります) https://slack.com/intl/ja-jp/gdpr

訂正の権利 (第16条) 不正確な自己の個人データに関する訂正を管理者に求める権利を有する。個別対応かとは思いますので窓口の明記で対応することになるかと。

データポータビリティの権利(第 20条) 個人データのエクスポート要求があれば機械で読み取り可能なデータを提供しなければならない。全ての個人データ、DB内のデータやメディアファイル、サーバーログのIP等も含むエクスポートができる必要がある。これもSlackが参考になる。 https://slack.com/intl/ja-jp/gdpr

遵守実証の対策の実施(第24-30; 37-39条) 管理者および処理者は、個人データの処理行為の内部記録を保持しなければならない。これどこまでやるかは状況によるのかなと思いますが。

Data Protection Officer(DPO:データ保護責任者)の選任。 日本の私企業の場合は、大規模に個人を定常的かつ機械的に取り扱ったり、大規模にセンシティブ情報を取り扱ったりする事業者だと選任義務が課されます。まあ、小さい企業はいらないと思います。

制限権(第 18条) データ主体は管理者に対して一定の場合に個人データ処理を制限する権利を有する。一部のデータを管理者に秘匿する機能を提供する場合もあるが、大手サービスでの実装は少ないように思います。

異議権(第 21条) データ主体は管理者または第三者によって追求される適法な利益の目的のための処理の必要性に基づく自己の個人データの処理に異議を唱える権利を有する。窓口を明確して対応。

自動化された個人の判断に関する権利(第 22条) データ主体は、自分に対する法的影響を生じ得るような、プロファイリングを含む自動処理のみに基づいた判断の対象にならない権利を有する(例、人が介入しないオンライン上での借入申込やインターネットでの採用活動–前文第 71項)。 個人データの自動処理でセンシティブな用途に使うなどしない、またはパーソナライズ機能がある場合には明確に記載する。

Cookie どの欧州企業のWebサイトを訪問してもありますが、ファーストアクセス時にCookieを発行することについての注意とプライバシーポリシーをフロート表示するなどが一般的です。 また、プライバシーポリシーに用途やサードパーティ利用について詳細に記載する必要があります。ちなみにアプリにおけるIDFAやAAIDも同様です。

(例)アウディ https://www.audi.com/en.html (例)クリテオ https://www.criteo.com

あと、清水誠さんのブログがちょっと厳しめに書かれていますがCookieコントロールについて詳しいです。 https://makoto-shimizu.com/news/gdpr-for-analysts/

GDPRステートメント

グローバル企業はプライバシーポリシーの他にGDPRステートメントを用意していることが多いようです。日本企業はプライバシーポリシーに但し書きつけてる程度のところが多いですが、どうせ対応するならGDPRステートメント公開もやった方が良いですね。 参考) https://track.siftery.com/gdpr-checker

プライバシーポリシーに何を書くべきかと同意取得

とりあえず、プライバシーポリシーの更新だけでもGDPR対応できる場合が多いのはお分かりいただいたでしょうか。じゃあ、何をしたらいいのか。

GDPR では 「自由な意思に基づき、特定のものであり、情報に基づき、かつ不明確でない (freely given, specific, informed and unambiguous)」 同意が必要とされています。

つまり重要なのが明確なオプトインです。 「登録は規約の同意とみなします」はNGっぽいので欧州企業はかなり厳しめに運用していますが、日本企業は各社様子を見ている感じのように思います(ヌルい書き方ですみません)。。。

 

具体的にはプライバシーポリシーには「何を何のためにどうやって収集して、どんなふうに管理するのか」を書けるだけ書きます。

pixivのプライバシーポリシーあたりは、どんなサードパーティサービス使っているか書かれていて好感がもてますね。参考に見てみると良いかと思います。

https://www.pixiv.net/terms/?page=privacy

Google Analytics、AWS、広告関係はもちろん、メールマガジン配信システムやマーケティングツールなどなどデータの保存や処理するために使っているサービスをすべて書き出します。

決済がある場合に決済事業者を公開していない日本企業が多いのですがGDPR的には記載すべきなんですよね……。 どこの決済システム使っているか公開すると悪用されそうだったりする悪寒もあるのでここは迷いますが情報公開としてクレカ番号などがどう扱われているか公開すべきではあるのでしょう…。

また、pixivのプライバシーポリシー利用目的の(12)は最近GDPR対応のために更新されたのですが、同様にパーソナライゼーションやリターゲティング等で個人データを機械的な判断に用いているならそれを明記しないといけません。

日本のWEBサービス大手のプライバシーポリシーを見てみると、データの削除・ポータビリティ等のGDPRに規定された権利を行使するときは問い合わせ窓口へどうぞ、みたいに書いて対応としていることが多いようです。

これを書くだけで対応済みとしている企業もあるくらい。

EU加盟国各国に居住しGDPRの適用対象である方が、GDPR上の権利を行使する際は■■■お問い合わせください。また、適切に処理がなされなかった場合は、監督当局に対して不服を申し立てることができます。

例としては上記のような感じの一文を入れることで対応できそうですね。

ね?これくらいなら何とかなりそうでしょう?

余談ですが

GDPRには個人データ保護の先進性がありつつ、米国巨大企業に欧州の人たちのデータを利用されることに一定の牽制をかけようという政治的な殴り合いの面もあります。

インターネットにおける著作権のスタンダードはDMCA、個人情報保護はGDPRって流れなのでしょうかね。