【対策はした？】GDPRの概要と個人でできる対策

インターネットの発展とともに、個人情報の保護については世界中で様々な議論がなされてきました。

そんな中、耳にすることが多くなった規則”GDPR”

この規則を遵守するため、多くの企業が対応に追われました。

この記事では、GDPRについて簡単な説明と、日本への影響や個人サイト運営者が取るべき対策を紹介します。

GDPRとは？

目的

GDPRは、EU圏内全ての個人データ保護を強化することを目的としています。

ここでの個人データとは、「個人を識別できる情報及び複数の情報を組み合わせることで個人の識別ができる情報」のことを指します。

具体的には、氏名や連絡先、クレジットカード情報はもちろん、IPアドレスやCookieも含まれます。

規制対象者

規制の対象者は、下記の通りです。

• EU圏内において、個人データの管理、処理を行う全ての会社、個人
• EU圏内に拠点がなくても、商品やサービスを提供するためにEU圏内の居住者の個人データを扱う会社、個人

義務内容

規制の対象者は、おおまかに次のポイントを押さえて会社やサイトを運営していく必要があります。

• 個人情報の処理（収集・保管・変更・開示・閲覧・削除）を適切に行うこと
• 個人データが漏洩した場合、直ちにその旨通知と対処を行うこと
• EU圏外にデータを移転する場合、本人の同意を得るなどの要件を満たすこと

罰則

GDPRで定められた義務内容に違反した場合、前年度の全世界売上高の4%もしくは2000万ユーロのどちらか高い方を支払わなければなりません。

日本におけるGDPR

日本においてGDPRの影響を受けるのは、「EUに子会社、支店、営業所、事務所がある会社」と「日本からEUに商品やサービスを提供している会社や個人」です。

EU圏内に拠点がある場合、顧客はもちろん、従業員として現地の方を雇えば、その人の個人データも保護の対象になります。

見落としがちなのが、日本でサイトを運営している場合です。

現在、自社のホームページを作ったり、個人のサイトでも、解析ツールなどを使って情報を収集し、マーケティングに活用することがほとんどです。

直接、売買などの取引がある場合はもちろんですが、サイトにEU圏内からのレビューがあっただけで、私達はその人のCookieを取得しています。

このように、海外との直接の取引がなくとも、自分のサイトを持っている限り、たとえ日本にいてもGDPRの影響は受けてしまいます。

個人でサイトでの対策

物品やデータの販売を行なっていない場合でも、Google Analyticsなどを導入しているとCookieやIPアドレスを収集する他、コメント欄にメールアドレスなどがありますよね。

今後、サイトをこういった制度を守りながら楽しく運営して行くために、私は下記の対策をしました。

プライバシーポリシーの作成、開示

これは、必須です。

GDPRの施行を受けて、WordPressでもページの作成と紐付けが必要となりました。

それでは、具体的にどんなことを書き記したら良いのかですが、

• いつ、どのように、何を、何のために情報を収集するのか
• データの保存場所はどこか、保存期間は何日間か
• データ削除の対応（削除の基準や削除方法）に関すること
• どのようなサービスを使っているのか(アフィリエイトサイトや解析サイトなど)

これらの項目がきちんと伝わるように作成しましょう。

日本語であれば、検索でテンプレートが見つかると思いますので、そちらを利用すると良いと思います。

訪問者へCookieを取得する旨を通知

義務内容にある「本人への同意」を求めるために、サイトがCookieを使用していることをポップアップで表示し、同意を得る設定にしています。

ヨーロッパのサイトを見ていると、この通知がないことはほとんどなく、日本でもGDPR施行の後に増えたような気がします。

私は、WordPressのプラグイン『Cookie Notice』を使いました。※日本語でポップアップの作成は可能ですが、プラグインは日本語対応しておりません。

GDPRのことを知って、対策をしておこう

EUの規則であるGDPRは、遠い国のことで私たちに関係がないことのように思えるかもしれません。

ですが、インターネットに国境はありません。

外国人向けのサイトを運営している場合はもちろんですが、日本人に向けてサイトを運営している場合も、プライバシーポリシーを作るなど、必ず対策をしておきましょう。

個人レベルのサイトに罰金は求められないと思うかもしれませんが、何があるか分かりません。

自分のサイトを守れるのは自分だけですよ！