インターネットが日常生活に深く浸透する今日、個人情報の保護の重要性が増しています。欧州連合(EU)で施行された一般データ保護規則(GDPR)は、現在、世界でもっとも厳しいプライバシー保護の法律と言われれており、個人データの取扱いに厳格なルールを定めています。
GDPRに類似した法律は、各国で次々と制定・施行されており、今やプライバシー保護関連の法制度のスタンダードになっています。これまで様子見を続けていた企業も、このまま具体的な対策を講じなければ、将来的になんらかの法律に抵触し、義務違反として制裁金を課されるのではないか、とリスクを危惧する声が次第に強まってきています。
では、GDPRに対応するためには、具体的にはどのような対策を行えばよいのでしょうか?
この記事では、Webサイト運営の観点から、GDPR対策について見ていきます。
目次
GDPRに対応したWebサイト運営は今や必須
プライバシー保護を強力に推進するGDPR、Webサイト運営者はどのような対応を求められているのでしょうか。
サイト運営においてGDPRを意識しなければならない理由
GDPRが保護の対象としているのは、EU域内の居住者の個人データです。EU域内に居住する現地法人の従業員、EU圏から日本国内に旅行に訪れている人、これらの個人データはすべてGDPRで保護対象とされています。
個人データは、氏名や住所、メールアドレス、画像や写真などの個人情報のほか、IPアドレス、Cookie、GPS、端末情報などのオンライン識別子などを含み、個人情報よりも広範囲に定義されています。そして、GDPRは、個人データの所有者はデータ主体である個人であると定義しています。
GDPRでは、個人データの収集において、データ主体の同意を得る「オプトイン」を必須としています。例えば、企業がWebサイトでCookieを使用する際は、利用目的、取得項目、保管先、保管期間、第三者提供の有無、などを明示し、各ユーザからオプトインを得なければなりません。
Webサイト運営において、これらの人を識別した上でWebサイトの訪問データの取得可否を判断したり、オプトインに基づく制御を行うことは現実的には不可能であるため、運営者は自社のWebサイトを訪れたすべてのユーザの個人データを取扱う際に、GDPRの規定に基づいた対応を行う必要があります。
さらにGDPRは、企業にデータの収集・保管・運用の各プロセスにおいて、データ主体からオプトインを得ることを求めています。オプトインされていないデータは収集・保管してはなりません。また、運用フェーズにおいて一度はオプトインしたユーザが、自身に関するデータ削除を求めたときには、企業はすみやかにその要求に応じなければなりません。
GDPRは、企業の責任でシステムと運用体制を構築し、維持することを求めています。一定の条件下においては、DPO( Data Protection Officer)の選任と設置を義務付けるなど、運用体制面の構築・維持にまで、その法的な拘束力は及んでいます。
DPOに企業における組織横断的な権限とデータ保護に関する強力な地位を与えることにより、企業にコンプライアンスを強く促しています。
【参考】:「データ保護オフィサー(DPO)に関するガイドライン 」
GDPR対策のポイントや考え方を、こちらの記事でも紹介しています。合わせてご覧ください。
【関連記事】:日本企業はGDPRに対応する必要はある?いま実施すべき対策を紹介
GDPR対策を怠るリスク
GDPR対策を怠り、法律に抵触すると最大で年間売上の4%に相当する金額の制裁金が課される可能性があります。システムの運用体制の構築と維持、場合によってはDPOの選任や緊急時の報告義務対応における連絡先の整備など、GDPR対策は多岐に渡りますが、これらの運用体制の不備も義務違反の指摘対象となり得ます。
自社が求められている対策の内容や範囲について法的要件を明確にした上で、必要な対策を講じていくことが大切です。GDPRの義務違反から、高額な制裁金を課された具体的な事例はこちらの記事で紹介しています。合わせてご覧ください。
【関連記事】:GDPR違反は罰金を課される!?日本企業を含めた違反の事例を紹介!
GDPRを遵守し、ユーザのプライバシーを尊重しながら、同時に積極的にビジネスを展開するサステナブルな仕組みの構築とその維持は、社会全体の利益につながります。GDPR対策は、単なる法規制への対応だけではなく、長期的なビジネスの成功と繁栄、企業の大切な顧客である各ユーザのプライバシーと人権の保護に寄与する重要なステップとなります。
Webサイト運営で意識したいGDPRに準拠するための視点
WebサイトをGDPRに対応させるためには、様々な検討事項があります。
ここでは、GDPRに準拠するための要素を「開発」と「運用」2つの視点で紹介します。
Webサイトの開発視点
・必要以上にユーザのデータを収集しない
・強度の高いセキュリティ対策
・ユーザの意思でデータ削除や利用停止を行える仕組みを実装する
Webサイトの運用視点
・ユーザにcookieの使用やデータの収集について明確に説明し、同意を得る
・ユーザが自分のデータをどのように管理しているかを確認できるようにする
・ユーザのデータを安全に保管し、不必要になったデータは適切に削除する
・セキュリティポリシーの最新化や公開
・法令やデータ取り扱いの継続的なチェックや評価
GDPRの規定については、こちらの記事でも詳解しています。合わせてご覧ください。
【関連記事】:GDPRがWebマーケティングに与えた影響は?情報収集を諦めない方法を考察
開発と運用は密接に関係しています。システム要件のみならず、GDPRの法的要件についても、可能な限り、システムの設計段階から考慮することが望ましいでしょう。システムと法律、両方の要件を満たしたシステムを開発し、適切に運用することが大切です。
GDPRは、運用の体制面にもその規定が及んでいます。構築した仕組みを確実に実行し、定期的に見直すことで継続的に運用を改善できる管理体制を維持していくことが求められています。
Webサイト運営に不可欠なアクセス解析、GDPR対応のポイント
Webサイトには、目的に応じてさまざまな種類がありますが、共通した取組みのひとつに「ユーザ情報の収集・分析によるPDCA」が挙げられるでしょう。
GDPRに抵触することなく適切に情報収集を行うには、どのようなポイントがあるのでしょうか。
従来のアクセス解析ツールの課題
ほとんどの企業でWebサイトのアクセス解析には、Google Analyticsが採用されています。無料かつ高機能なツールであり、ユーザの行動トラッキングはもちろん、コンテンツ単位でのアクセス評価も高精度に分析できるため、非常に多くの企業で現在も活用されています。
しかし現在、Google Analyticsは、オーストリア、フランス、イタリアなどのEU各国で、GDPR違反として国レベルで使用を禁止する動きが出ています。従来の延長線で漫然と継続使用せず、「Google Analyticsの業務使用は、現時点で自社にとって問題はない」ということを定期的にリスクアセスメントし、常に企業判断を明確にしておくことは有効な手段のひとつです。
リスクアセスメントの結果によっては、Google Analyticsと遜色のない情報収集機能を備えた、より安全でGDPRに準拠したツールにリプレースする、という判断に至ることもあるでしょう。
【関連記事】:GDPRがgoogle analyticsの利用に与える影響とは?
自社サイトのアクセス解析手法の見直し
長期的なWebサイト運営を見据えたとき、Google Analyticsに不安がある場合は、別のアクセス解析ツールへの移行を検討しなければなりません。
自社が求める機能や精度を備え、かつセキュリティやプライバシー保護の対策が、少なくともGDPR等の法が定める基準をクリアしているなど、選定基準を明確にし、サービスやツールを調査し、比較検討を進めましょう。より自社に適したツールを選ぶことで、コンプライアンス違反の不安なく、Webサイトの運営を継続することができます。
ユーザの趣味嗜好やサイト上での行動は、企業のブランディングやサービス提供に必要となる重要な情報です。しかし、GDPRをはじめとしたユーザのプライバシー保護の流れにしっかりと対応しなければ、不適切な情報収集を行っている企業として見られてしまう恐れもあります。
関連法制や周辺環境の情報を常にアップデートし、定期的にリスクアセスメントを行い、自社のビジネスの現状に合致した手法を判断した上で採用し、万全なWebサイト運営を行いましょう。
Webサイト運営に寄り添いGDPR対応を実現するRTmetrics
法令や主要ブラウザによる規制やユーザ側のプライバシー意識の高まりなど、「適切なユーザデータの活用」を実現するための仕組みは大きな変化を迫られています。
ユーザ同意ツールの実装やユーザのデータ削除への対応など、どのソフトウェアやツールを採用し、設計開発を行い、システムを構築運用するか、といった観点で考えがちですが、時にはもう一段階上位のレイヤに目を向けてみると新たな気づきが得られることがあります。
なぜその仕組みが必要なのか?必要とされる理由や背景は何なのか?といった法的な要件を知ることで必要な対策や最適な運用設計の本質が見えてきます。GDPRに関して言えば、「データのライフタイムを定義し、全プロセスにおいてオプトインに基づくデータ管理を行うこと」を求めていると言えるでしょう。
RTmetricsは、オンプレミスで稼働するアクセス解析ソフトウェアであり、設置場所はユーザが自身で決めることができます。オンプレミスのため、セキュリティ管理も自社のポリシーに従った運用設計を確実に行うことができます。
実機環境、クラウド環境のどちらでも実装できますので、稼働場所を選びません。Webビーコン、サーバログ、パケットキャプチャとWebサイトの設置場所に合わせてデータ収集方式を自由に選定できます。
GDPRに代表されるプライバシー保護の関連法規は、今後も各国で増え続けることが予想されます。安全で確実なアクセス解析の環境を手にしておくことで今後の法制度やEU諸国のGA使用禁止のトレンドに左右されることなく、業務に取り組みたい方は、RTmetricsを検討してみて下さい。