多言語サイトを運営するなら対応したいGDPRまとめ
公開日:2020年9月25日
多言語サイトを運営するなら対応したい「GDPR(一般データ保護規則)」についてまとめました。多言語サイトがGDPRに受ける影響や対策方法について。
GDPRとは何か?
2018年5月25日にEUで施行された規則で、正規名称は「General Data Protection Regulation(一般データ保護規則)」と呼ばれます。
GDPRは一般的なデータ全般に適用されますが、ここではWebサイト運営者と利用ユーザーというケースで見てみます。
GDPRがサイトに課す義務と罰則
GDPRがサイトに課す義務は下記の通りになります。
- 利用ユーザーに自分に関するどのようなデータが収集されるかを認識させる
- 利用ユーザーが希望したら、サイト運営者はその利用ユーザーの個人データを削除する義務がある
- 利用ユーザーが、自分のデータをサイト運営者から別のサイト運営者へと移動できるようにさせる
- サイト運営者は、利用ユーザーからデータを収集する前に、明確な同意を得る必要がある
- 個人データは暗号化しなければならない
- 個人データは特定の個人に結びつかないように、「仮名化」する必要がある
- 権限を持たない人物が、個人データを閲覧することがあってはならない
- 個人データが外部に公開されてしまうデータ漏えいの被害に遭ったサイト運営者は、迅速に関係当局に通報する必要がある
- GDPRが適用されない地域内にある第三者、または非準拠の第三者と個人データを共有することはできない
- ある一定の規模を持つサイト運営者は全て、専任のデータ保護担当者を配属させる必要がある
参考:GDPRと在宅勤務| GDPRリモートアクセスポリシー | Cloudflare
そして、GDPR違反とされた場合、「前年度の全世界売上高の4%もしくは2000万ユーロ(約25億円)のどちらか高い方」が制裁金として課されます。
多言語サイトがすべきGDPR対策
クッキーバナーなどの「個人情報オプトイン」
通常、ユーザーデータはCookieなどに識別子を保存します。これらの識別子を個人情報と紐づける際の宣言は、多くのサイトの会員登録をする際にプライバシーポリシーや規約で明示していることでしょう。
しかし、GDPRに関しては「ユーザー識別子は個人情報だ」という見解に立っているとの見方が多いため、名前やメールアドレスなどの個人情報に紐づかなくても、Cookieなどで識別子を取得した時点で個人情報と見なされる可能性があります。
識別子はログインしていない一見さんユーザーに対しても全て発行するのが一般的ですから、「Cookieなどで識別子を発行する = オプトインが必須」と考えた方が良いでしょう。
このCookieは自社発行のものだけでなく、Google Analytcsなどの外部ベンダーが発行するものも含まれますので、外部ベンダーを利用している場合は、ベンダーのGDPRへの対応を確認しておきましょう。
EU域内ユーザーを想定しないのであれば、ブロックで一時的対応
運営しているサイトが多言語サイトで国外ユーザーの割合が多い場合でも、EU域内のユーザーが多いとは限りません。
もし、EU域内のユーザーが圧倒的に少ないのであれば、一時的にEU域内のユーザーをブロック(ジオブロック)するというのも緊急措置としてはアリです。
例えば、匿名掲示板の5ちゃんねる(旧2ちゃんねる)は同様の対応をしているようです。
5ちゃんねる、GDPRに対応するためEUからのアクセスを遮断
ジオブロックについては、様々な方法がありますが、一般的にはAWSのRoute 53やCloudflareなどのDNSサービスを使ってIPジオロケーションを取得して、オリジンサーバー側で表示NGページを出したりする形になるでしょう。
多言語サイトを運営するなら対応したいGDPRについて見てきました。
多言語サイトをGDPRに適用させるのか、EUユーザーを除外するのかは運営者の判断となりますが、どちらにせよ、サーバー側やサイト側で対応が必要なため、運営チームでしっかりと対策をするようにした方が良さそうです。