WordPress

GDPRがわかりにくい!個人サイトはどう対応すべき?僕はとりあえずこの方法で!

投稿日:2018年6月2日 更新日:

2018年7月18日追記:

この秋から日本はデータ移転の禁止措置が解かれる見込みです。

EU=ヨーロッパ連合はことし5月に日本を含む域外に個人情報を持ち出すことを禁止する規則を施行しましたが、日本側は、交渉の結果、こうした個人情報の移転がこの秋から可能となる見通しとなったことを明らかにしました。

出典:NHK NEWS WEB (2018年7月18日 5時33分)


 

2018年5月25日より欧州で施行された個人情報保護に関する法律「GDPR(General Data Protection Regulation: 一般データ保護規則」に、個人サイトはどう対応すべきなのか、どうにもよくわかりません。いろいろ検討してみたのですが、推測の域を出ない。

そこでとりあえず安心を得るためにGDPRの規制対象からほぼ外れるであろう対策を考えてみました。

それはGDPRが施行されているEEA域内からのアクセスを一切遮断することです。EEA域内の国名、遮断する具体的な方法については後述します。

またGDPRに関連するGoogle アナリティクスやAdSense、WordPressなどの設定も、できるだけ法に触れないような形になるよう検討してみました。こちらも詳細は後述します。

あるいはそこまでやる必要はないのかもしれません。でも問題ないと確証が得られるまでGDPRに悩まされずに済みます。

ビビりな僕はこれでスッキリしました。もしよかったらご参考にしてみてください。

 

gdpr

Photo by Noelle Otto from Pexels

 

GDPR対策のベストな方法

僕がいまのところ考えるGDPR対策として最も理想的な方法は、

(1)cookieを含む個人情報が収集されることに同意の可否が選択できるアラートをアクセスと同時に表示する
(2)もちろん「否」を選択した訪問者は閲覧できない
(3)一方「可」を選択した訪問者のためにはGDPRに準拠したプライバシーポリシーを掲示する

もしもGDPRの規制対象となるサイトであっても、ここまでやっておけば問題はないはずです。

しかし僕は

(1)(2)技術的な知識が乏しく設定方法がわからない→WordPressで作成しているので基本機能としてあるいはプラグインとしてかんたんに設定できるようになるまで待ちたい
(3)GDPRに対応する企業のプライバシーポリシーをマネて作成をチャレンジしてみましたが、cookieに関する記述に自信が持てない→個人サイト向けのひな形が流通するまで待ちたい

と、それぞれ判断しました。

そして次善の策として、ちょっと極端化もしれませんが、とりあえずEEA域内からのアクセスを遮断することにしました。

上記(1)(2)の施策が自分の技術能力でむずかしいのであれば、その前段階である対象となる国からのアクセスに対し閲覧できないようにすればよいという考えです。これなら自分でできそうです。

本来はヒトでもモノでも情報でも自由な往来が保証されているのがベストです。しかし法的に制限されるのであれば従わざるを得ません。

 

GDPRの対象国は

では、具体的に対象国からのアクセスを遮断するにはどうしたらよいでしょうか。

まずGDPRの対象国を特定しなくてはなりません。

GDPRはEEA域内で施行されています。

ではEEA域内に含まれる国はどこか。ウィキペディアによると

(2018年6月1日)現在EEAには、スイスを除くEFTA加盟国のアイスランド、リヒテンシュタイン、ノルウェーと、EUに加盟する28か国が欧州共同体(EC)の枠組みとして参加している。

出典:ウィキペディア

具体的には

アイスランド、リヒテンシュタイン、ノルウェー、オーストリア、ベルギー、ブルガリア、クロアチア、キプロス、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、イギリス

出典:ウィキペディア

となっています。

 

アクセスを遮断する方法

前述の国々からのアクセスをGoogleアナリティクスのフィルタ機能によって遮断します。

 

Googleアナリティクスで国をチェック

遮断する前に念のため、自分のサイトにどの国からアクセスされているのかチェックしておく必要があります。もしもEEA域内が過半数を占めていたら、別の方法を考えなくてはなりませんからね。

1.Googleアナリティクスにログイン

2.対象アカウントの「ホーム」画面で「セッション数(国別)」をチェックします。

gdpr01

そらよりの場合、「過去7日間」では圧倒的に日本が多い。しかし欧州からのアクセスもわずかにあるようです。

上記画面右下の「地域のサマリー」をクリックしてみましょう。

gdpr02

国別のセッション数が表示されました。EEA域内のフランス、ドイツ、ベルギーからアクセスがあります。しかしその比率は3ヵ国を合計しても0.5%に届きません。

ここは削除しても問題ないようです。

そらよりの特殊事情

じつはそらよりはベルギーにSNSで親しくさせていただいている友人がいます。ベルギーからのアクセスを遮断するなんてとてもできません。大問題です。そこでベルギーはEEA域内ですが、遮断対象から除外します。高額の罰金より友情が大切。まあ、これくらい大目に見てくれるでしょう。

 

Googleアナリティクスでフィルタをかける

Googleアナリティクスのフィルタ機能の設定方法を解説します。

1.Googleアナリティクスにログイン

 

gdpr03

2.対象アカウントの「ホーム」画面左メニューから[1]「管理」ボタンを選択し、表示された「管理」画面で[2]「フィルタ」をクリックします。

 

gdpr04

3.「フィルタ」画面で「フィルタを追加」をクリック。

 

gdpr05

4.「ビューにフィルタを追加」画面で

[1] 「新しいフィルタを作成」にチェック。
[2] 任意の「フィルタ名」を入力。僕は「GDPR対象国除外」としました。
[3] 「カスタム」を選択。
[4] 「除外」がチェックされていることを確認。
[5] 「国」を選択。
[6] 「フィルタパターン」を入力。
入力には特別な記述方法が定められています。EEA域内の国内を入力する場合は以下をコピー&ペーストしてください。

アイスランド|リヒテンシュタイン|ノルウェー|オーストリア|ベルギー|ブルガリア|クロアチア|キプロス|チェコ|デンマーク|エストニア|フィンランド|フランス|ドイツ|ギリシャ|ハンガリー|アイルランド|イタリア|ラトビア|リトアニア|ルクセンブルク|マルタ|オランダ|ポーランド|ポルトガル|ルーマニア|スロバキア|スロベニア|スペイン|スウェーデン|イギリス

すみません。下記が正しい表記のようです。

Iceland|Liechtenstein|Norway|Austria|Belgium|Bulgaria|Croatia|Cyprus|Czech Republic|Denmark|Estonia|Finland|France|Germany|Greece|Hungary|Ireland|Italy|Latvia|Lithuania|Luxembourg|Malta|Netherlands|Poland|Portugal|Romania|Slovakia|Slovenia|Spain|Sweden|England

上記の記述方法はアナリティクスヘルプ「地域によるフィルタ」に準拠しています。国名の間にある「|」はOR 条件を作成します。

[7] 「このフィルタを確認する」をクリック。正常に作動するか確認します。

 

最後に「保存」をクリックし、設定を確定します。

これでEEA域内からのアクセスを遮断できるはずです。

 

GDPRに関連するGoogle アナリティクスやAdSense、WordPressなどでの設定

なお、Google アナリティクスやAdSenseに登録し、あるいはWordPressでブログサイトを運営していると、GDPRに関連し、つぎの五つの設定が可能です。

(1) Google アナリティクスで「データを永続的に保持する」か否かの設定
(2) Google アナリティクスの「データ処理に関する修正条項」の設定
(3) AdSenseで「パーソナライズされていない広告」の設定
(4) WordPressでプライバシーポリシーページの指定
(5) Akismetでコメント記入欄下への注意書きの設定

すでにEEA域内からのアクセスを遮断しているので、GDPRに関する各設定はほぼ不要ですが、念のため確認しておきます。(4)に関しては日本国内の改正個人情報保護法に対応するためGDPRに関係なく設定しておきたい項目です。

じつは僕はさっき慌てて設定しました。たしか数千人規模の個人情報でなければ不要と認識していたのですが、それは間違いでした。改正によって規模に関係なくプライバシーポリシーを明示する必要があるようです。

 

(1) Google アナリティクスで「データを永続的に保持する」か否かの設定

GDPRの施行にあわせ、サイトが自動的に取得したcookieなどの個人データの保持期間をGoogleアナリティクスで設定できるようになりました。

gdpr07

[1] 「管理」をクリック。
[2] 「トラッキング情報」から「データ保持」を選択。

 

gdpr08

「ユーザーデータとイベントデータの保持」画面が表示されるので、プルダウンメニューから保持期間を選択します。

ここでは「永続的に保持する」が選択できます。しかし、それはGDPRの精神にいささか反する設定であるように思えます。僕は控えめの「26か月」に設定しておきました。

設定方法の詳細はこちらで確認できます。

https://support.google.com/analytics/answer/7667196?hl=ja

 

(2) Google アナリティクスの「データ処理に関する修正条項」の設定

Googleアナリティクスにログインすると2018年6月現在、画面の上部につぎのメッセージが表示されています。

gdpr09

右端の「詳細」をクリックすると、こちらのページに誘導されます。

https://support.google.com/analytics/answer/3379636

Googleのデータのプライバシーとセキュリティ「データ処理に関する修正条項」のページです。

ここでは「Google の広告データ処理規約」の対象者に「連絡先情報の入力」が求められます。また対象者であれば「データ処理の修正条項に同意する」必要があります。

しかし個人サイトであればこの設定は不用です。

なぜなら前文につぎのように記載されているからです。

Google の広告データ処理規約は、欧州経済領域(EEA)の加盟国またはスイスの領土内に拠点を置く企業、またはその他の理由で一般データ保護規則(GDPR)の適用対象地域に拠点を置く企業を対象

出典:Googleプライバシーとセキュリティ「データ処理に関する修正条項」

個人サイトは「企業」ではありません。

 

(3) AdSenseで「パーソナライズされていない広告」の設定

AdSenseでは「表示する広告の種類」が選択できます。

・パーソナライズド広告
・パーソナライズされていない広告

以上のいずれかを選択する仕組みです。

AdSenseにログインすると2018年6月現在、画面の上部につぎのメッセージが表示されています。

gdpr10

左端の「操作」をクリックするとこちらのページに誘導されます。

https://www.google.com/adsense/new/u/0/pub-5578027508751057/main/allowAndBlockAds?tab=gdprTab

gdpr11

上部の本文には

ユーザーに対して特定の情報を開示して、Cookie などのローカル ストレージの使用と、パーソナライズド広告の使用について同意を得る必要があります

と記述されています。

僕は個人情報の利用がより少ないと思われる「パーソナライズされていない広告」を選択しました。

しかし、こちらを選択しても、下段につぎのメッセージが表示されます。

gdpr12

注意したいのはつぎの文言。

Cookie の使用について、お客様はユーザーの同意を得る必要があります(該当する場合)

「パーソナライズされていない広告」を選択しても、GDPRに該当していないと確信が持てない限り、この設定だけでは不十分ということです。

冒頭で「ベストな方法」として例示した

(1)cookieを含む個人情報が収集されることに同意の可否が選択できるアラートをアクセスと同時に表示する

が、求められるというわけです。

僕がEEA加盟国からのアクセスを遮断しようと判断したのはこれが一因となっています。

 

(4) WordPressでプライバシーポリシーページの指定

WordPressを使用している場合、プライバシーポリシーページが指定できます。

ただしWordPressが自動的に作成してくれるわけではなく、自分でプライバシーポリシーを策定し、固定ページを作成し、閲覧できるようメニューに加えなくてはなりません。

従ってこの指定に何の意味があるのか不明ですが、GDPRに適合したプライバシーポリシーが明示できなくても、せめて日本国内の改正個人情報保護法に準拠するため、とりあえず設定しておきました。

WordPressのダッシュボードで設定>プライバシーへと進み「プライバシー設定」ページを開きます。

gdpr13

すると既存(自分で作成した)の固定ページを選択するか、新たに「新規ページを作成」するかが選べます。

ちなみにプライバシーポリシーは日本国内の改正個人情報保護法に照らすと、個人サイトでも必要とされているようです。

nec-nexs「個人情報保護法対策室」ホームページによると

(改正個人情報保護法の対象となる)「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人、地方独立行政法人を除いた者をいいます。ここでいう「事業の用に供している」の「事業」とは、一定の目的の下で継続して遂行される同種の活動のことで、社会通念上事業と認められるものをいい、営利・非営利の別は問いません。また、個人情報データベース等を事業の用に供している者であれば、データベースに含まれる特定の個人の数の多寡にかかわらず個人情報取扱事業者に該当します。さらに、法人格がなく権利能力のない社団(任意団体)又は個人であっても、個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当します。

出典:nec-nexs「個人情報保護法対策室」ホームページ

とあります。

ここでは上記の「個人情報データベース等」をどこまで拡大解釈するかが問題となります。

国民生活センターによると

クッキーは利用者の追跡により個人情報を取得することが可能ですが、EUでは個人情報、アメリカでは個人に紐ひもづかなければ個人情報には当たらないと判断され、わが国では容易照合性がある場合には個人情報になると考えられます。

出典:個人情報保護法改正のポイントを学ぶ(2) - 国民生活センター

またITmediaエンタープライズでは

(cookieは)アクセスログを解析することにより個人を特定する情報を見つけたり、IPアドレスやクッキーの整理番号によって個人を識別した上で、ほかの情報と照合することで個人を特定することは可能です。場合によっては特定が容易なことも多いと思われます。したがって、サイト管理者側では、クッキーの機能を利用して収集する情報も「個人情報」に該当するとの前提での取扱いを行うべきでしょう。

出典:ITmediaエンタープライズ

としています。

つまり「個人情報データベース等」にcookieも含まれるのなら、個人サイトでも十分「個人情報取扱事業者」となると解釈しました。

(自分のことは棚に置いておきながら偉そうなことは言えませんが)プライバーポリシーページをまだ作成していない方はぜひこの機会に取り組んでみてはいかがでしょうか。

使えるひな形がこちらで公開されています。

Webサイトの利用規約

http://kiyaku.jp/hinagata/privacy.html

 

(5) Akismetでコメント記入欄下への注意書きの設定

WordPressの無料プラグイン「Akismet」を利用されている方はコメント欄の下にGDPRに対応した注意書きを添えることができます。

WordPressのダッシュボードからプラグイン>Akismet Anti-Spam (アンチスパム)>設定で「設定」画面を表示。

gdpr14

「プライバシー」項目で「コメントフォームの下にプライバシーに関する通知を表示する」にチェックを入れると、コメント欄の下につぎのメッセージが表示されます。

This site uses Akismet to reduce spam. Learn how your comment data is processed.

直訳すると「このサイトは、スパムを縮小するためにAkismetを使用しています。あなたのコメント・データがどのように処理されるか知ってください」となります。

上記画像の下本文では「あなたや読者がヨーロッパにいる場合は有効化する必要があります」となっています。

僕はヨーロッパに住んでいません。EEA加盟国からのアクセスを遮断しているので読者もいません。よって英語表記でむやみにGDPRに準拠していると誤解されないため「プライバシーに関する通知を表示しない」を選択しています。

 

GDPRの規制対象はどのサイト?

さて、ここからは僕のお粗末な推理の詳細です。乏しい知見による判断のため、まちがっているかもしれません。でも不安に感じている部分をシェアするだけでも何かしらの価値はあるでしょう。GDPRの施行国からのアクセスを遮断した理由がおわかりいただけると思います。

まずGDPRで僕がとまどったのは以下の点でした。

・そもそも個人サイトは対象なの、対象外なの?
・物販やサービスを実施していなければ対象外なの?
・EEA域内からのアクセスならEEA域外のサイトの広告掲示も対象?
・EEA域内からの来訪者に対してcookieを収集すること自体が対象?

 

GDPRのポイントは「取得・活動場所」と「直接提供」

JETROによると

GDPR は、EU を含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを EEA 域外に移転することを原則禁止している。

出典:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)ジェトロ

とあります。

つまり個人データの取得場所はEEA域内であることが条件となります。

また

GDPR は、処理が行われる場所が EEA 域内か EEA 域外どうかに関わらずEEA 域内の管理者または処理者の拠点の活動に関連してなされる個人データの処理に適用されます。「拠点」とは、「固定的な体制を通じて、実効的かつ現実に活動を実施する場合」を意味しています。固定的な体制の法的形態は判断要素とはなりません。拠点とは、支店、子会社または、その業務を遂行するために必要なすべての機器を備えた事務所をもつ個人も含まれます

出典:「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)ジェトロ

としています。

文章が複雑で初見ではよくわからないと思います。これはつぎのように解釈できないでしょうか。

EEA域内で活動する事務所をもつ個人も含め規制の対象になる。

一方フランス・パリに本部を置くマーケティング企業Criteoは

EU圏外の企業・団体でも、EU圏内在住者に対して商品またはサービスを直接提供する場合は、GDPRの規制が適用

出典:Criteo

と指摘しています。

こちらは「直接」が曲者です。

たとえばEEA域内からのアクセスに問い合わせフォームで氏名や連絡先などの個人データを登録させ、メールや電話などで顧客サービスを提供する場合も「直接」と捉えることができ、規制の対象になると考えられます。

 

そらよりブログはGDPRの対象か

では具体的にそらよりブログはGDPRの規制対象となるのでしょうか。

そらよりブログは
・個人が運営するサイトです
・ITや暮らしの情報を発信しています
物販やサービスの提供を行っていない(つもり)
EEA域内に事務所を置いていない
・AdSenseの広告を掲示しています
・Amazon.co.jpアソシエイトです
・アフィリエイトサービス(A8など)と提携し広告を掲示しています

前項の基準に照らすと、まず「サービス」の定義に問題の発生する余地があるように思われます。

たとえばEEA域内からのアクセスに問い合わせフォームで氏名や連絡先などの個人データを登録させ、直接メールでITに役立つ情報を回答・提供した場合「直接」「サービス」と認定され、GDPRの規制対象になるかもしれません。

さて、ここで冒頭の疑問です。

・そもそも個人サイトは対象なの、対象外なの?

前項では個人が規制の対象になることが、またEEA域内に事務所を置いていなくても直接サービスを実施すれば対象になることがわかりました。よって答えは個人サイトも規制の対象になり得る、と考えられます。日本国内の改正個人情報保護法が「個人」を事業者として指定しており理にかなう解釈です。

また

・物販やサービスを実施していなければ対象外なの?

こちらはとりあえず答えはイエスと考えてよいでしょう。ただし前述のように「サービス」をどうとらえるかといった問題が残ります。「サービス」を「提供するソリューション」と定義すると、個人サイトであって「サービス」を提供している主体と捉えることは可能です。

しかし、となると恐い側面が見えてきます。

φ(.. )メモメモ

問い合わせの相手がEEA域内からのアクセスとわかっていれば「直接」「サービス」と疑われるような対応を避けることでGDPRの規制対象から外れることができます。しかしEEA域内からのアクセスに気付かなければ、知らないうちにGDPRの規制対象になっていることがあるわけです。

安心して何の対策も施さないでいたらある日突然…ということがあるかもしれません。

 

広告の掲示だけではGDPRの判断はできない

では広告やアフィリエイトはどうでしょうか。

・EEA域内からのアクセスならEEA域外のサイトの広告掲示も対象?

GDPRの規制のポイントは「取得・活動場所」と「直接提供」と理解しています。その点でGDPRの規制対象として判断されなければ広告やアフィリエイトの有無は問題ないはずです。

ただし「知らないうちのサービスの直接提供」があり得る限り規制の対象になる可能性があります。よってパーソナライズされた広告の表示には注意が必要かもしれません(じつはパーソナライズされていない広告にもcookieに関するアナウンスが必要なことがあとでわかりました)。

 

cookieの収集はどうか

・EEA域内からの来訪者に対してcookieを収集すること自体が対象?

こちらも広告同様、GDPRの規制のポイントは「取得・活動場所」と「直接提供」でしょう。広告同様cookieの収集にも注意が必要です。後述しますが「EUではcookieは個人情報」と規定されています。

以上がそらよりブログがGDPRの規制の対象に十分になり得ると、そして対象外になるためには遮断するのが最もかんたんと考えた理由です。ちょっとビビり過ぎかもしれませんが、ほかによい手が思いつかなかったのでそうしました。

以上「GDPRがわかりにくい!個人サイトはどう対応すべき?僕はとりあえずこの方法で!」でした。

最後までご覧いただきありがとうございました。

 

-WordPress
-,

Copyright© IT-SORAYORI , 2018 All Rights Reserved.