WordPress

GDPRがわかりにくい!個人サイトはどう対応すべき?僕はとりあえずこの方法で!

投稿日:2018年6月2日 更新日:

2018年7月18日追記/11月5日修正:

この秋から日本はデータ移転の禁止措置が解かれる見込み(その後続報がないため、この見込情報はいったん取り下げます)。

EU=ヨーロッパ連合はことし5月に日本を含む域外に個人情報を持ち出すことを禁止する規則を施行しましたが、日本側は、交渉の結果、こうした個人情報の移転がこの秋から可能となる見通しとなったことを明らかにしました。

出典:NHK NEWS WEB (2018年7月18日 5時33分)


 

2018年5月25日より欧州で施行された個人情報保護に関する法律「GDPR(General Data Protection Regulation: 一般データ保護規則」に、個人サイトはどう対応すべきなのか、どうにもよくわかりません。いろいろ検討してみたのですが、推測の域を出ない。

そこでとりあえず安心を得るためにGDPRの規制にかかる部分をなるべく減らす方法を考えてみました。

それはGDPRが施行されているEEA域内からのアクセスを部分的にでも遮断することです。

EEA域内を対象としていない、ということの意思表示であり、こちらのTokoAruga.comさんの記事「個人ブログのGDPR対策ガイド」が引用・解説されているフォーブスの記述と趣旨は同じです。

 

2018年9月7日追記

「すみませんが匿名でお願いします」さんから以下のコメントを頂戴しました。

残念ながらグローバルIPの遮断によってGDPR適用が免除されるという条文は
GDPRのどこにもありません。

たとえば欧州在住の人がVPNで米国のサーバ経由であなたのブログにアクセスしても
GDPRは適用されます。

不適切な表示がありましたこと深くお詫び申し上げます。

 

gdpr

Photo by Noelle Otto from Pexels

 

GDPRの対象国は

具体的に対象国からのアクセスの一部を遮断するにはどうしたらよいでしょうか。

まずGDPRの対象国を特定しなくてはなりません。

GDPRはEEA域内で施行されています。

ではEEA域内に含まれる国はどこか。ウィキペディアによると

(2018年6月1日)現在EEAには、スイスを除くEFTA加盟国のアイスランド、リヒテンシュタイン、ノルウェーと、EUに加盟する28か国が欧州共同体(EC)の枠組みとして参加している。

出典:ウィキペディア

具体的には

アイスランド、リヒテンシュタイン、ノルウェー、オーストリア、ベルギー、ブルガリア、クロアチア、キプロス、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、イギリス

出典:ウィキペディア

となっています。

 

アクセスの一部を遮断する方法

前述の国々からの直接のアクセスをGoogleアナリティクスのフィルタ機能によって遮断します。

 

Googleアナリティクスで国をチェック

遮断する前に念のため、自分のサイトにどの国からアクセスされているのかチェックしておく必要があります。もしもEEA域内が過半数を占めていたら、別の方法を考えなくてはなりませんからね。

1.Googleアナリティクスにログイン

2.対象アカウントの「ホーム」画面で「セッション数(国別)」をチェックします。

gdpr01

そらよりの場合、「過去7日間」では圧倒的に日本が多い。しかし欧州からのアクセスもわずかにあるようです。

上記画面右下の「地域のサマリー」をクリックしてみましょう。

gdpr02

国別のセッション数が表示されました。EEA域内のフランス、ドイツ、ベルギーからアクセスがあります。しかしその比率は3ヵ国を合計しても0.5%に届きません。

ただしこれは推定値であることにご注意ください。他国を経由してのアクセスはカウントされません。厳密に切り分けることができない以上、この数字を参考にするしかないことをあらかじめご了承ください。

ここは削除しても問題ないと判断しました。

そらよりの特殊事情

じつはそらよりはベルギーにSNSで親しくさせていただいている友人がいます。ベルギーからのアクセスを遮断するなんてとてもできません。大問題です。そこでベルギーはEEA域内ですが、遮断対象から除外します。高額の罰金より友情が大切。まあ、これくらい大目に見てくれるでしょう。

 

Googleアナリティクスでフィルタをかける

Googleアナリティクスのフィルタ機能の設定方法を解説します。

1.Googleアナリティクスにログイン

 

gdpr03

2.対象アカウントの「ホーム」画面左メニューから[1]「管理」ボタンを選択し、表示された「管理」画面で[2]「フィルタ」をクリックします。

 

gdpr04

3.「フィルタ」画面で「フィルタを追加」をクリック。

 

gdpr05

4.「ビューにフィルタを追加」画面で

[1] 「新しいフィルタを作成」にチェック。
[2] 任意の「フィルタ名」を入力。僕は「GDPR対象国除外」としました。
[3] 「カスタム」を選択。
[4] 「除外」がチェックされていることを確認。
[5] 「国」を選択。
[6] 「フィルタパターン」を入力。
入力には特別な記述方法が定められています。EEA域内の国内を入力する場合は以下をコピー&ペーストしてください。

Iceland|Liechtenstein|Norway|Austria|Belgium|Bulgaria|Croatia|Cyprus|Czech Republic|Denmark|Estonia|Finland|France|Germany|Greece|Hungary|Ireland|Italy|Latvia|Lithuania|Luxembourg|Malta|Netherlands|Poland|Portugal|Romania|Slovakia|Slovenia|Spain|Sweden|England

上記の記述方法はアナリティクスヘルプ「地域によるフィルタ」に準拠しています。国名の間にある「|」はOR 条件を作成します。

[7] 「このフィルタを確認する」をクリック。正常に作動するか確認します。

 

最後に「保存」をクリックし、設定を確定します。

これでEEA域内からのアクセスをある程度遮断できるはずです。

 

僕が考える個人サイトのGDPR対策3点セット

1.クッキー使用の了解・拒否設定の選択メッセージを表示する(WordPressのみ)

すでにお気づきのようにIT-SORAYORIではランディングページにクッキー使用の了解・拒否設定の選択メッセージを掲示しています。これはWordPressプラグイン「GDPR Cookie Consent」を使用しています。

設定方法はこちら「Fukuro Press」さんの解説がとてもわかりやすかったのでおすすめします。

ただしrejectボタンの設定方法が変更されています。またその使用方法をアレンジしています。それぞれ解説しておきます。

 

reject(拒否)ボタンの設定方法

従来、基本設定に「Reject Button」の表示項目がありましたが、なくなってしまいました。

そこで

gdpr181128_01

ダッシュボード「GDPR Cookie Consent」で「Cookie Law Settings」の項をクリック。表示された画面で[1]「Customise Buttons」タブ、[2]「Reject Button」の順で選択。[3][cookie_reject]の文言を選択・コピーします。

 

gdpr181128_02

[1]「Customise Cookie Bar」タブを選択。[2][cookie_button]と[cookie_link]の間に、先ほどコピーした[cookie_reject]の文言をペーストします。最後に保存して完了です。

 

reject(拒否)ボタンをプライバシーポリシーの解説項目にリンク

単に「了解」「拒否」ではなく後者を「「Cookie拒否設定」としました。というのもプラグイン“GDPR Cookie Consent”で拒否ボタンを設けても自動的にブラウザをCookie拒否の設定にするわけではないからです。単に「拒否」とした場合、訪問者に誤解を生む可能性があります。

そこでボタンの表示を「Cookie拒否設定」とした上で「プライバシーポリシー」に記載した「Cookie情報の送受信の許可・拒否について」の項が表示されるようにしました。

これにはふたつの設定が必要です。

A. 「プライバシーポリシー」にアンカータグを設置

「プライバシーポリシー」ページの編集画面で右上のタブから「テキスト」モードを選択します。

次項でご紹介するひな形で「Cookie情報の送受信の許可・拒否について」の記述の直前の行につぎのタグを挿入します。

<a name="cookie"></a>

cookieの部分は任意の文字列でかまいません。

B. プラグイン「GDPR Cookie Consent」で「Reject Button」を設定

WordPressダッシュボード「Cookie Law Info」>「Cookie Law Settings」を選択。「Customise Buttons」の「Reject Button」の項で以下の設定を行います。

cookie

Link Text:ここでは「Cookie拒否設定」としましたが任意の文言でかまいません。

Action:つぎの項で指定するURLを開く「Open URL」を選択。

Link URL:ここでは「https://it.sorayori.com/policy/#cookie」と記述しています。前項A.で指定したタグ「<a name="cookie"></a>」の「cookie」の部分に「♯」を付け「プライバシーポリシー」のURLの後ろにつけたものです。大文字小文字、スラッシュ「/」のありなしも区別されるので正確に記述してください。

以上で設定は完了です。

なお同プラグインの「Using the Shortcodes」でDelete CookiesまたはClick here to deleteを「Cookie Law Message Bar」の「Message」に挿入・表示することで「Cookie Law Infoによって設定されたCookieが削除」されるようです。ここまで細かい設定は不要と考え今回は使用していません。

 

2.必要十分なプライバシーポリシーを掲示する

国内の個人情報保護法とGDPRのどちらにも適合すると判断できる最善のプライバシーポリシー・ページを作成します。

IT-SORAYORIはこちら「ブログチップス」さんの記事をひな形に作成しました。とてもわかりやすく大助かりでした。

完成したIT-SORAYORIのプライバシーポリシーはこちらです。一部の条項を加筆してあります。自由にコピーしてお使いください。

 

3.GDPR対象国からのアクセスを遮断する姿勢を見せる

三つめはこの記事のことです。冒頭でも説明しましたが、よい言葉がようやく見つかりました。「遮断する姿勢を見せる」ことが大事なのではないでしょうか。そこで完全に遮断できなくてもGDPR向けのサイトではないことの証として具体的なアクションを講じることにしたのです。

IT-SORAYORIではプライバシーポリシー内に「本サイトは日本国内の居住者のみを対象にしたブログ及びサービスであり、EU圏内へむけた情報発信はしておりません」の文言を明記しました。これにプラスしてGoogleアナリティクスでの地域によるフィルタリングを実施しようというわけです。

このような措置が有効と思われる根拠はすでにご案内のとおりTokoAruga.comさんの「個人ブログのGDPR対策ガイド」が引用・解説されているフォーブスの記事にあります。

 

GDPR対策が不安な方は、よかったらご参考にしてみてください。

スポンサーリンク

スポンサーリンク

スポンサーリンク

お役立ち記事

171106twittertsuchi2 1
pdfedit 2
Twitterスパムアイキャッチ 3
photo_gallery10 4
spotify_1807 5
ipodアイキャッチ 6
yahoo_auc_eye 7
プリンター250 8
Evernote新機能01 9
無線LAN04-2 10
zenfone_filedelete46 11
kensaku05 12
googlesite02 13
spotify_sf_size01 14

-WordPress
-,

Copyright© IT-SORAYORI , 2018 All Rights Reserved.