一般データ保護規則が5月25日に施行

gdpr 1 w640EU の一般データ保護規則コンプライアンス(GDPR: General Data Protection Regulation | DSGVO: Datenschutz-Grundverordnung)が5月25日に正式に施行されました。
個人サイトも対象になるので対応策が必要,さもないと多額の罰金が科される,という脅しに近い警告だけが公私メディアで声高に語られながら,デッドラインを迎えた感じです。

ヨーロッパ独自の厳しい個人データ保護法が経済界の反対を押し切って施行されたこと自体は評価できます。しかし,一般の人には,管理サイトのセキュリティーに関する説明文を誰でも理解できるように易しく明示的に書くことを義務付けながら,当の委員会が作成した260ページにおよぶ法規(日本語無し)は,一般の人にはとても理解できない複雑さ。
個人サイト向けの対応ガイドラインなど全く提供されないまま,罰則の厳しさだけを強調するのは,どう考えても無責任だと思います。

だからといって何もしないわけにはいきません。
個人もこの法規に注目し,サイト保有者は,最低限の対応策だけは徐々にでも進めるしかありません。

対応の緊急度

規模を問わず個人サイトも対象になっているのは事実ですが,先日偶然お会いしたデュッセルドルフ市の課長も語っていた「個人のブログなどのささいな欠陥に対して罰金を科することは当面考えられない」の方が信憑性が高いと思います。
それでは,どんなサイトが目を付けられる可能性が高いのか?

■ 早急に準備すべき人たち

  • EU諸国内でショップサイトを運営している人(個人・法人,規模の大小は問わず)
    ユーザー情報の保存なくしてE コマースは機能しないので,審査過程で全オンラインショップがリストアップされると思います
    対応: サイト機能の中でも,特に,ユーザー情報の取得・保存から使用目的や削除するまでの詳細な説明を記す
  • (日本発でも)欧州居住者がアクセスできるゲームやアプリをオンラインで提供している人
    ダウンロードできるプログラムの提供者は有償・無償を問わず,一番危ない人たちです
    対応: 一般取引条件は必須ですが,誰も読まないような長文の条件と合意・拒否の選択だけを迫る方法は不可。ユーザーの個人情報やアプリ使用中の動向などを複数のアドレスに自動的に送信する隠れたコードが含まれていると捕まるのは時間の問題。プログラムの訂正後でもGDPR対応の確認がなければ,欧州向けのプログラム提供は一時控えることも良策。
  • 個人情報の収集または提供を行っているサイト
    大小を問わず,数十人でも数百万人の個人情報でも同じ,名前とメールアドレスだけでも立派な個人情報として取り扱われます
  • 一般の人が登録できる機能が含まれているサイト
    欧州発着の億単位のサイトを手動でチェックするとは考えられないので,個人サイトでも一般の人が登録できるプログラム機能が含まれていたら,フィルターにかかる可能性があります。

■ いずれは必ず必要になるので早い時期に対応したほうがいい人たち

(自分が設定していなくてもサイトプログラムの中に含まれていることもあるので要注意)

  • クッキーを使用しているサイト(Wordpress などのCMSサイト)
  • グーグルアナリティックスを使用しているサイト
  • グーグルアドセンスなど,アフィリエイト的な広告が掲載されているサイト
  • ソーシャルメディアと連携しているサイト
  • IP アドレス収集機能が有効になっているサイト
  • プライバシーポリシーのページが無いか古いサイト(個人サイトで何も個人情報を収集していなくても,収集していない旨のテキスト追加要)
  • 多言語サイト(各言語での注意文が必要 *)

* グーグル翻訳でもいいと思います
「当ウェブサイトでは、Cookie等を使用して訪問者がどのようにサイトを使用しているか理解し、個々のニーズに合わせた経験をお届けしています」
おかしいと思いませんか? ドイツの3大新聞のひとつ,FAZ のオンライン版です。

■ 在欧邦人への注意点

個人サイトや小規模サイトなどにおいて,GDPR一般データ保護規則に反する不備が発見された場合,「XXXを訂正しなさい。XX日までに訂正されない場合はXXの罰金を科す」という警告書が送られる,と記され,EUのGDPR委員会理事長もその旨発言しています。
ただ,日本人だからといって日本語で書かれていることは考え難いので,警告メールが送られてきてもスパム扱いしたり,無視してしまう可能性もあります。
起訴されてから「知らなかった」にならないよう,注意が必要です。
自分が直接携わっていなくても,あなたの名前がサイトの管理者(所有者)として登録されている場合,該当サイトの責任を負うのはサイト所有者です。

また,現時点ではそれほど主テーマになっていませんが,個人の情報や写真を本人の承諾なくインターネットに載せたり送信したりする行為が法規に反するだけではなく,受信したデータを別の人に渡す行為(再送信)も違反ですので,ソーシャルメディアなどのデータ渡しを軽いノリで行わない注意が必要です。

法人サイトは専門家の助言なしには対応が極めて困難

gdpr 4 w640ドイツをはじめ,欧州で活動している日系企業は,すでに大分前から準備をしていると思いますが,我が社は小企業だから,または個人商店だから関係ないと思っていたり,万が一 GDPRって何,という方がいたら,今すぐ必ず,情報収集してください。
一般人には難解な260ページ(99条)もある(外国語の)規則を読んで理解,そして正しい対処まで考えることはほぼ無理ですから,企業は法律事務所や国際会計事務所など専門家に依頼,または少なくとも助言を仰ぐ必要があると思われます。

逆にいえば,個人サイトはまずは自分でできる範囲で対応策を施しながら様子をみるのがいいと思います。
GDPRの不安を煽ったサービス提供メール,詐欺メール,フィッシングが出始めているので,在欧邦人は特に十分ご注意ください。

問題は,語学学校などの各種教室・学校,旅行代理店,個人医院,各種団体,フィットネスクラブなど,オンライン登録機能が含まれていたり,ニューズレターなどのために会員・生徒のメールアドレスがサーバーに保存されているサイトです。
日本人のみを対象としていても,個人サイトとは異なり,しっかりとしたGDPR遵守対策が必要です。

WEBサイトを持っていない人や企業に責任が及ぶことはありません。でも知っておいて損はない大切なEU規則ですので,この機会に少し調べたら如何でしょうか。

法人ではなくても,完全な個人サイトおよび家族専用サイト以外のすべてのサイトが対象

gdpr 2 w640法人,自営業者,個人店舗,フリーランサー,または副業的にショップなどを営んでいる人たちはもちろん,単なる個人のブログサイトも,GSPR コンプライアンス規則に抵触する恐れは十分にあります。
「完全な個人サイトおよび家族専用サイト」というのは,サイトが仲間同士や家族・親戚などのみを対象としたテキストおよび写真で構成され,何らかの形で金を稼ぐことが可能な機能が一切含まれず,第三者を呼び込むためのリンクなどもないサイトです。
このような完全な個人サイトは大丈夫です。

しかし最近の多くのサイト,特にCMS(Wordpress など)では,IPアドレスの収集だけではなく,アクセスした人の分析や操作を行う機能を設置することが可能ですから,そのような機能を利用している人は,他人のプライバシー侵害は何も行っていないようにみえる個人ブログでも要注意です。

ただ,専門家に依頼するほどの予算はなし,だからといって対処法マニュアルがあるわけでもないので,5月25日に向けた準備をしようにも困惑している人がほとんどではないでしょうか。
海外向けページも作成しているECサイトを除くと,日本の多くのサイトは今のところ関係ないにも拘わらず,ネットには結構日本語で書かれたインフォメーションも多いので,いろいろ調べることはできると思います。
筆者も同じ状況なので,今少しづつ対策を練っています。
繰り返しますが,個人でもショップを営んでいる人は,規模を問わず必ず影響が及びますから,緊急に準備を整えてください。

蓋を開けてみないと分からない部分も多い規則

gdpr 6 w640プライバシーを害する恐れのある個人の名前や写真が掲載されていたり,アフィリエート,ソーシャルネットワーク,広告リンクなどがあれば個人ブログでも警告を受けたり罰金が科させる可能性がある,と記された情報サイトがあるかと思えば,サイトの更新頻度が低かったり,個人情報といえども法や人権に反するような繊細な情報でない限り,個人のブログが問題になることはないだろうと記されていたり,ネット情報の内容の中でも線引きが難しい部分が多い印象です。

EU 一般データ保護規則(GDPR)について - JETRO
GDPR の条項(欧州各国語)
ドイツ連邦データ保護・情報自由化・監査委員(対応方法および雛形) - ドイツ語

不安・不明な場合はしばらくの間,サイトを無効にするのも方法

dailynews offline対応準備をしていたけれども期限(5月25日)が来てしまった,今気が付いた,どうしていいかわからない,という場合は,サイトを一時閉めるのも悪くない方法だと思います。
大企業ですら(大企業だから?)5月25日からオフラインになっているサイトも結構あるのですから。

★ GDPR一般データ保護規則への対応に関するお問合せなどがありましたら,私が理解している範囲でお答えいたします。

下のコメント欄をご利用ください。
(ドイツ(EU諸国)で個人サイトや小規模ビジネスサイトを公開されている一般の方,またはEU圏の居住者向けに発信しておられる方に限らせていただきます)

 

プログラム提供元: CComment