EUのGDPR(一般データ保護規則)とは?
個人情報の保護を目的とした規則です。罰則規定があります。
基本的には、
- 個人情報の取得許諾をユーザーから必ず得ること
- ユーザーが個人情報を削除・移行などの管理ができること
- データを暗号化すること
- EU域外に個人情報を持ち出さないこと
などが規定されています。
対象となるのは、EU域内の企業やサービスだけでなく、「EU域内のユーザーにサービスを提供する(Webサイトで言えば、アクセスされた)全ての企業・団体」となります。
つまり、日本語のサイトであろうと、海外ユーザーを前提としてないサイトであろうと、EU域内のユーザーがアクセスした瞬間にGDPRの対象サイトになります。
アクセス解析はGDPRの対象になるのか?
これはアクセス解析でどこまで取得しているのかに依存します。
GDPRが言うところの「個人情報」とは、
- 氏名
- メールアドレス
- 住所
- 生年月日
- カード情報
- 銀行情報
といった、いわゆる決済時に使うデータがメインですが、実は、
- IPアドレス
- クッキー等のユニークな識別子
といった、何かしらの手段で個人が特定できる(取得時点で出来なくても、将来的に出来る 可能性が少しでもある)データも対象とするしており、この場合は、アクセス解析は漏れなく対象になります。
「個人データとは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、または当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な一つ、もしくは複数の要素を参照することによって、直接的にまたは間接的に、識別され得る者をいう。」(GDPR 第4条)
アクセス解析をGDPRに対応する
取得するデータを削る
アクセス解析はユーザーの氏名や住所などの個人情報を取得することはありませんが、IPアドレスや識別子を個人情報と言われてしまうと、アクセス解析でもGDPR対策が必要になります。
Google Analyticsなどのサードパーティ解析サービスの場合は、ユーザーのIPアドレスを取得すること出来ませんが、オリジンサーバーではApacheやNginxなどがログデータとしてIPアドレスを取得しているため、対処が必要でしょう。(ここも対象と言われると辛いところですが。。。)
また、matomoなどのOSS解析ツールを使っている場合、デフォルトでIPアドレスやアクセス元地域などのかなり細かいデータを取得していることがあるので注意が必要です。
解析に必要なデータでないのであれば、取得データから外しておきましょう。
クッキーバナーを出す
Cookie対策として一番ポピュラーな方法がいわゆるクッキーバナーです。
サイトに最初に訪問した際に、「クッキー(など)で識別子を保存するけど良いか?」と言う許諾をもらうバナーを出します。EU域内ユーザーが訪問することが多い海外サイトは、概ねこの方法を取っています。
対応としては、
- 許諾ボタンを押す -> Cookieを使う & 許諾したことをCookieに保存する
- 拒否ボタンを押す -> Cookieなどの識別子を消して閲覧を続ける or 前のページへ戻す
と言う形になるでしょう。
ただし、ユーザーが許諾ボタンを押したとしても、日本のサイトがEU域内のユーザーデータを閲覧する場合は「EU域外へのデータ送信」に当たるので、「EU域外でもデータを利用することへのユーザー同意」が必要です。プライバシーポリシーの見直しも同時に行いましょう。
EUユーザーを拒否する
かなり強引な方法ですが、GDPRの対象は「EEA(European Economic Area、つまりEUユーザー)内に所在する個人(国籍や居住地などを問わない)」なので、EUユーザーからのアクセスを拒否してしまえば、少なくともGDPRの適用外になります。
AWSのRoute 53などDNSで弾くのが現実的でしょう。
EEA地域は、
- EU加盟28カ国
- アイスランド
- リヒテンシュタイン
- ノルウェー
となります。
アクセス解析でGDPR(一般データ保護規則)の関連と、対策をまとめました。
日々のEU域内からのアクセスが一桁くらいであれば、基本的にはすぐに対応しなくても問題ないと思われますが、月間UUが10万を超えるようなサイトは、自サイトのユーザーをしっかりと調査して、必要な対策を取るようにしましょう。