EUでは、2018年5月25日にGDPRが施行されました。5月に入ってから、様々な企業からプライバシーポリシーの改定について案内が多数届いていますね。
このGDPRって日本のブロガーには関係ないと思っていませんか?
実は、日本にも影響がある場合があります。
だからといってどうすればいいんだろうなんて悩む必要はありません。
やるべきことは2つ。
- 個人情報を適切に管理すること
- プライバシーポリシーに、個人データの利用を分かりやすく記載すること
これさえできていれば個人ブログはOKです!
難しくて何のことか理解できないという方に向けて、GDPRについて簡単にまとめてみました。
GDPRについて、施行された5月時点での情報をもとにまとめました。GDPRは施行されたばかりで、解釈の仕方が抽象的な部分、分かれる部分など多数あります。最新の判例や情報収集を行っていただくようご注意ください。
GDPR(EU一般データ保護規則)とは
GDPR(EU一般データ保護規則)は個人データの保護を目的とした法律です。個人データの適切な管理が求められており、違反すると高額な罰金が科せられます。
GDPRのポイントは3つ。
- 公開情報をわかりやすく表現しているか
- 個人データを扱う企業の事業部門(担当)が対策を取っているか
- 個人情報漏えいなど事故発生時に72時間以内に報告できるか
GDPR(一般データ保護規則)の前進は、1995年にEUで採択され日本の個人情報保護法にも影響を与えた「データ保護指令」です。
この法律を現在の環境に合わせたものが、GDPR(一般データ保護規則)です。
※GDPRは、General Data Protection Regulationの略称です。
GDPRはなんのためにあるの?
GDPRは、自分で自分の情報をコントロールできるようにすることが望ましいよねということで作られました。
あなたも、ブログにアクセス解析(Google Analyticsなど)を導入していると思います。どこのページから流入したのか、どのページを閲覧したのか、どのくらい滞在したのかといった様々なデータを取得・保存しています。
それらの情報やクッキー情報を複合的に紐づけることで、個人を特定することもできます。
そういった情報を、自分の意思で削除できるようにしようよ!という法律です。
いずれ、日本の個人情報保護法もこのGDPRと同じレベルでの法律になることが予想されます。だからこそ、GDPRに準拠するブログづくりをした方がよいですね。
GDPRでの個人データの定義
個人データとは例えば次のようなものがあります。
- 氏名
- 電話番号
- メールアドレス
- キャッシュに保存される識別番号
- 住所
- IPアドレス、クッキー
- クレジットカードの情報
- パスポートや運転免許証の情報
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する情報
氏名・メールアドレス・位置データといった個人を特定できる情報のこと。氏名ではなくても、メールアドレス+位置情報+端末情報といったように、組み合わせれば個人を特定できる情報も対象となる。
GDPRの個人データの範囲は?
- 短期出張や短期旅行でEU内に滞在する日本人の個人データを日本に移転する時
- 日本企業から EU内に出向した従業員の情報(元は日本から EU内に移転した情報)
- 日本から EU内に個人データを送付する場合(基準に沿って EU内において処理されなければならない)
- 日本から EU 内に個人データが送付され、EU内で処理された個人データを日本へ移転する場合
つまり、EU(EEA)に拠点や現地法人を持たない日本企業のサイトであっても、EUからアクセスできる公開サイトに、お問合せやメルマガ購読のような名前やEmailアドレスを入力するフォームを設置したり、GoogleアナリティクスやAdobe Analytics(やCookieに固有IDを保存するマーケティングツール)を一つでも導入しているだけでGDPRの規制対象になる、というのが今のところの私の理解です。
GDPRに違反したときの罰則
罰金の最高額は、2000万ユーロ(1700万ポンド、2400万ドル、26億円)、または年間売上セールスの4%(どちらか大きい方)
GDPRはブロガーに関係あるの?
個人的な見解です。個人であっても、ブログでGAの設定をしている場合(キャッシュに保存される識別番号)や、メルマガを発行している場合(メアドや氏名など)、販売をしている場合(氏名・住所・メアドなど)は、EU居住者が購読する可能性もあるので対象になるものと考えています。
そのため、取得した情報をどのように使うのか明確に記載し、どのように管理するのか、いつ削除するのかといったことを明確に決めたほうが良いでしょう。
個人ブログのGDPR対策
個人ブロガーがしたほうがよいGDPR対策についてまとめました。項目ごとにわけていますが、基本的にやることは下記の3点です。
- お問合せフォームに「同意」のチェックボックスをつける
- プライバシーポリシーにクッキーを使用していることを明記する
- 個人データの削除申請ができるようにする
個人ブログのメルマガのGDPR対策
メルマガをナーチャリングに使用している方も多いですよね。
- メルマガに登録してもらうとき
- 既にメルマガ会員情報を持っているとき
- メルマガを配信するとき
に注意するポイントを紹介します。
メルマガに登録してもらうとき
- メルマガ配信登録フォームに個人情報の取扱いについて明記する
- メルマガの解除方法を明記する
- 個人情報の取扱い者の情報を明記する
メルマガを登録してもらうときに、氏名・メールアドレスをセットで取得することが多いでしょう。その場合は、必ず個人情報の取扱い(プライバシーポリシー)について、氏名・メールアドレスを取得すること、利用目的を明記しましょう。
(例)氏名・メールアドレスを取得します。いただいたこれらの情報は、メール配信や新商品の案内などに利用します。
既にメルマガ会員情報を持っているしているとき
プライバシーポリシーを変更したことを会員に通知する必要があります。
確実な方法をとるならば、案内メールを配信し改めてメルマガ登録をしてもらうことです。
メルマガ配信をするとき
メルマガ本文に解除方法について記載する
解除方法を必ず記載してください。私もいろいろな個人ブロガーのメルマガに登録していますが、これができている人ってほぼいません。
GDPRの目的は、各個人が自分の意思で個人情報の取得を許可・拒否・削除依頼ができるようになることです。
必ず、メールの文中に解除方法について記載しておきましょう。
氏名を取得して大丈夫です
取得しないと案内されているケースもありますが、メルマガをナーチャリングや最終的に購買につなげるために利用している方がほとんどだと思います。そんななか、氏名を取得しないという提案は現実的ではありません。
きちんと利用方法を明記し、削除の依頼があればすみやかに削除すればよいだけのこと。当たり前のことを当たり前のように管理をしていれば問題ありません。
もちろん余計なリスクを負う必要はないので、ブログの更新情報を発信するためだけにつかっているならば氏名を取得しないほうが良いでしょう。
但し、クッキー情報とメールアドレスで個人を特定することも可能ではあります。どのような場合でも、使用目的や対処方法は記載しておいた方がリスクヘッジにはなりますね。
GDPRの6つの基本原則にあるように、メールアドレスの使用目的を事前に説明する、不必要な情報を集めない、保管しないが重要です。
ホワイトペーパーをDLさせるとき
ホワイトペーパーをダウンロードするときに、氏名・メールアドレスなどを取得する場合。
ダウンロードした方に対して、メール配信を行ったり、個別に連絡をする場合があると思います。
その場合は、必ずダウンロードフォームの個人情報の取扱いについて、個人情報の利用目的(営業の連絡をすること)を明記しましょう。
ブログにプライバシーポリシーを明記する
個人ブログにもプライバシーポリシーを設定します。アクセス解析やアフィリエイトをしているかたは、クッキーを使用しているということを記載します。
ちなみに私のブログのプライバシーポリシーはこのような形。
https://marronote.com/articles/privacypolicy/
ブロガーが気をつけるGDPRの注意点
- EU加盟国に支店・現地法人などが無くても、ネット取引などでEU加盟国に住んでいる人の個人データをやり取りする場合は対象になる
- 組織の規模・公的機関・非営利団体等関係なく対象になる(但し、中小零細企業に一部例外措置あり)
- データ保護責任者(Data Protection Officer:DPO)やEU内に代理人(Representative)の選任が必要になるケースがある
GDPRの対応が間に合っていない企業だ大多数?
#EU 一般データ保護規則(#GDPR)の施行には、米IT大手によるデータの囲い込みに対抗する狙いもあります。ただ、資金力で勝る #フェイスブック などは着々と準備を進めているのが実情。その一方で、欧州の企業からも対応が間に合わないとの声が相次いでいます。 https://t.co/6YhjoTdz5G
— 日経新聞 法務報道部 (@nikkei_legal) 2018年5月24日
ブロガーが気を付けること
- 必ず個人情報の取得時にはオプトインさせること(同意を得る)
- プライバシーポリシーにわかりやすく明記すること
- 個人情報を適切に取り扱うこと(不要なデータは削除すること)
- 商品の購入者、サービスの提供者がEU国内に居住している場合は含まれる点に注意
結論
EU圏外に拠点を置く組織でも、GDPRが適応されます。
日本に本社を置く組織であってもEU市民のデータを処理するあらゆる組織は、GDPRの対象となり違反したときには罰則が科されます。
しかし、2018年5月25日に試行されたばかりで、判例もなくどこまでが許されるのか、解釈があいまいな部分も多々あります。
なので、常に情報収集を行うようにし、すぐに対処できるよう担当者をつけることが望ましいでしょう。
EUデータ新規制GDPR、主要企業8割が対応未了
EU一般データ保護規則(仮訳)について
アップル、「データとプライバシー」のページを公開–GDPR施行を控え
マイクロソフト、GDPRの権利を世界中で提供へ
GDPRとは? Web担当者やWebアナリストはどう対処すればいい?
GDPR用語解説
EEA(欧州経済領域)
EU加盟国 28か国 + 3か国(ノルウェー、アイルランド、リヒテンシュタイン)が加盟する、欧州における共同市場およびその枠組み。
個人データ
個人データとは、いわゆる個人情報のこと。
たとえデータ単体では個人を識別することができなかったとしても、複数のデータを組み合わせることで個人を識別することができると考えられる場合、個人データとみなされます。
https://marronote.com/gdpr-weburl/