欧州一般データ保護規則(GDPR)に対応するプラグイン
EU圏においてデータに関する保護規則が制定されたのは1995年のことで、日本の個人情報保護法(2003年)の制定より古い。通信技術の進歩やプライバシーに関する意識の変化に対応するため、新たに2018年5月25日欧州一般データ保護規則として施行されることとなった訳だが、その規制対象者はEU圏内の法人や個人に留まらないことから世界中を巻き込んだ騒動に発展している。
私の本業はEU圏と取り引きもなく職場では全くと言っていいほど話題に上がらないこの規則だが、こうやって個人や零細・小企業の方にサイト作成のツールを紹介する以上気になって勉強中。そもそも規制の対象者となるのか、そうならば何をしなければならないのかあれこれ考えみます。
1 データ保護規則制定の背景
2013年6月にアメリカ国家安全保障局が世界中の個人情報を収集していることを同国中央情報局のエージェントが告発した事件「スノーデン事件」に世界中が動揺した。この事件がGDPRの議論を加速させたのは時系列的に見て間違いないと思う。
しかし、GDPRの提案が公開されたのは2012年1月とスノーデン事件より前であることから規制強化の下地はあったものと推測される。
「Googleが世界中の本をスキャナーで読み取りデジタル化する」という取り組みが発表されたことを覚えているだろうか。2003年のことである。
当時、私は「アメリカの企業は凄いことを考えるなぁ」「ネットで検索して見ることができるようになると便利かもしれないな」と純粋に感心して期待したのを覚えているし、事実、Google Booksのように書籍や文献の検索の手助けをしてくれている。
しかし、これは表の顔であり、表があるなら裏の顔も存在する。
Googleは純粋に書籍の検索のためだけでなく書籍や文献に書かれている情報を秘密裏にAI開発にも利用していたのだ。これに気が付いた欧米のアカデミーは、一企業が論文や文献を独占することに対して警戒感を持ち、その是非を法廷に求める事態に至った。(参考:ウィキペディア)
そしてもう一つ。
アマゾンや楽天で買い物をしようとしたり、ネットでサイトを見ていると様々な広告が表示されるが、この広告は利用者ごとに異なる広告が表示されていることにお気付きだろうか。
インターネットの技術的な向上により、ネット利用者がどのようなサイトを見ているのか、情報が収集分析されて趣味や嗜好に合わせた広告を出すことに利用されているのだ。
この機能を便利で有り難いと感じる人も多くいるだろう。しかし、気味が悪いと感じる人もまた多くいるだろう。問題は、個人の趣味や嗜好に合わせた広告を表示するために、サイトの閲覧履歴などの情報が同意を得ずに知らぬ間に収集されて利用されているということである。
EUに加盟する欧州各国は、アメリカ政府機関やアメリカ企業の情報の収集方法や利用方法に対して疑念を抱き、それらに対して規制をかける目的で制定されたのが今回の欧州一般データ保護規則である。
2 欧州一般データ保護規則の内容
GDPRは、個人データを処理し、欧州経済領域(EU加盟28ヶ国+アイスランド、リヒテンシュタイン、ノルウェー)から第三国に移転するための法的な要件を規定したものである。言い換えれば、個人データの移転は原則禁止、要件を満たせば適法化されると言える。
規制対象となるもの
識別された又は識別可能な自然人に関するすべての情報
・名前
・住所や電話番号
・識別番号
・e-mailアドレス(私的又は職務上を問わず)
・個人の身体的、生理学的、遺伝子的、精神的、宗教的、経済的、文化的などに関すること
・オンライン識別子(IPアドレス、クッキー識別子)
規制対象となる処理
自動的又は手動的に行われる個人データに対して行われる全ての操作又は組織単位の操作
・e-mailアドレス
・クレジットカードの詳細情報
・顧客情報(氏名、住所など)
・従業員の勤務評価情報
・名簿や住所一覧
などの収集・保管・開示・閲覧・作成・削除
規制対象となる移転
第三国の第三者に対して個人データを閲覧可能にするためのあらゆる行為
・個人データを含んだ書面又は電子形式の文章を郵便又はメールを通して送付する。
GDPRを遵守する対象者
・欧州経済領域に支店、子会社、事務所を持つ中小・零細企業、公的機関、地方自治体、非営利団体又は個人。
・欧州経済領域の個人に対して商品やサービスの提供を行う場合は、同領域に支店等現地法人を置いていない場合でもGDPRの適応を受ける。
GDPRの罰則
・1,000 万ユーロ以下または、企業の場合には前会計年度の全世界年間売上高の 2%以下のいずれか高い方
・2,000 万ユーロ以下または、企業の場合には前会計年度の全世界年間売上高の 4%以下のいずれか高い方
ちょっと調べてだけですが、何だか広範囲な定義に対して非常に厳しい基準が設けられている感じがします。
欧州経済領域内に事業拠点を持っていればGDPRの適応を受けるのはある程度理解できますが、同域内に事業拠点を持っていない場合でも個人データを処理・移転すれば規制の対象になる訳ですから世界に与える影響は大きいと言えます。
にもかかわらず、新聞やテレビといったマスメディアは、連日「もりかけ、もりかけ」にしか興味がないかの報道姿勢をみると正にマスゴミとしか・・・。
3 零細・小企業や個人サイトはGDPRの対策は必要か?
欧州経済領域に事業拠点を持っている場合は、会社の規模に係らず細かなGDPRの基準が適応されるので会社の法務部や外部の専門家を交えて対策を行う必要があるので、対策はその方々に委ねます。
問題は、同領域内に事業拠点を持たないが、同領域内の人に商品やサービスの提供を行うために個人データを取扱う場合です。
ですが、その場合でも、今のところ「同領域内の言語で」という条件が入るようです。
ですから、日本語で作られたサイトでフランスに居住する人がネット注文をしても、その個人データはGDPRの適応を受けないと解釈されるようです。
「今のところ」と書いたのは、法律は制定されるまではあれこれ検討されます。しかし、一度制定されるとその基準に適合しているかだけを判断することになります。そして、その判断はあれこれ検討された結果を無視して、拡大解釈される傾ことがしばしばあるからです。
では、英語やフランス語など同領域内の言語で商品やサービスを提供するサイトを作った場合の個人データはどうか? と言うと、個人データの直接取得と見なされGDPRの適応を受けるようです。
ですが、この場合の個人データの移転は、「データ主体が当事者となっている契約の履行のために処理が必要な場合、または、契約締結前にデータ主体の求めに応じて手続きを履践するために処理が必要な場合」に該当するものと解釈でき、データ主体の同意を得れば適法化されるようです。
データ主体の同意には二つの種類があり、
「個人データの処理の適法性の根拠としての同意」
「個人データの EEA 域外への移転を適法化するための同意」
さらに「十分性決定および適切な保護措置がないことによって、当該移転によってデータ主体に対して生じ得るリスクについて情報提供を受けた後、データ主体がその提案された移転に明示的に同意を求める」必要があるとのこと。
英語やフランス語などで商品やサービスの提供を行うサイトを作成する場合は、さらに細かな条件があるのでよく確認してください。
参考文献
日本貿易振興機構
「EU一般データ保護規則に係る実務ハンドブック(入門編)」
「EU一般データ保護規則に係る実務ハンドブック(実践編)」
「データポータビリティの権利」
ウィキペディア
「EU一般データ保護規則」
4 データ主体の同意を得るプラグイン
もう一度整理してみます。
個人や零細・小企業がインターネットを通じて欧州経済領域の人に現地の言語や通貨で商品やサービスを提供する場合、氏名や送付先住所などの個人データだけでなくIPアドレスやクッキーなどの情報もGDPRの規制を受ける恐れがあます。
また、ワードプレスでサイトを作成している場合、ワードプレス自体キックーを使用しているためプラグインでクッキーの取得を止めることはできません。
よって、データ主体の同意への現実的なアプローチは「暗黙の同意」を得るというスタンスを取るべきです。IPアドレスやクッキーの取得を拒否するという選択肢を与えず、同意を得るだけのメッセージを表示させて了承のクリックをもらうか、スクロールしたり他ののページを参照したら同意をしたとみなす表示をするという訳です。
これだけのことなのでThemify Popup Pluginでも十分に作成できますが、専用に作られたプラグインを使った方がもっと楽に設定することができます。
お勧めは「EU Cookie Law」です。
このプラグインの特色は
・同意するまでiframe、スクリプト、オブジェクトを停止することができる
・同意の意思表示はクリック、スクロール、ナビゲーションから選べる
・詳細説明ページをポップアップページにすることができる
・クッキーを使用して再表示する期間を設定できる
・タブレットやスマホに対応している
・WPMLプラグイン(多言語プラグイン)に対応している
・Jetpackと互換性がある
詳細説明をポップアップ画面で表示できるのでユーザビリティが高いです。他のプラグインは同じページで開くか新しいタブを開いてしまいます。
その他のプラグインとしては、
があります。
基本的な機能はどれも一緒です。
忘れていけないのは、これらのプラグインは暗黙の同意を得るためのプラグインなので、これらのプラグインを入れたからGDPRに適合している訳ではないという点です。個人データの漏えい対策やデータ主体からの削除要請などのGDPRで求められる対策は必要になるのでご注意ください。
Googleやフェイスブックなどアメリカ企業と欧州連合による広告収入を巡る利権争いのような感も否めない気がしますが、そこに全く割り込もうとする意思すらない日本に住む以上、世界の基準に合わせていくしかありません。
規制当局の運用を見守りながら粛々と作業を進めていきましょう。
5 アイキャッチ画像に16歳未満の子供の写真は避けるべき理由
2018年5月23日追記
もう一つGDPRで重要なことを記載するのを失念していました。
個人データにかかる事項ですが、
「GDPRの保護対象となる国の16歳未満の子どもに関する同意は、子供の親又は保護者の同意が証明できる必要があり、その同意は取り消すことができる。」という条項があります。
欧米の児童に対する権利や保護意識は、日本よりも遥かに高いです。
よって、欧州経済領域との取り引きが無くGDPRの対象とならないサイトでも16歳未満の子供の写真などは規制の対象になってくるかもしれません。
サイトを作成するのにアイキャッチ画像やコンテンツ内の画像に、著作権を放棄した写真サイトなどから画像を使用することが多くあります。問題は、著作権を放棄している写真に写っている子供の親若しくは保護者の同意の証明できないということです。
もちろん、個人データの保護対象となるのは欧州経済領域の国の子供なので、これらの国の子供以外は親や保護者の同意を証明する必要はありません。我々日本人は、日本人と中国人と朝鮮人の違いを顔立ちや服装などから見分けることが大よそできると思いますが、同じように欧米人の顔立ちや服装などからこの国の人かわかるか という事です。
見分けることは難しくないですか?
そもそも、欧州にはアフリカや西アジアからの移民も多くいます。肌の色や顔立ちなどから判断すること自体が不可能なのかもしれません。
そうなると外国人の子供の写真は、同意の証明が出来ない限りアイキャッチ画像やコンテンツ内に画像に、外国人の16歳未満の子供の写真を使用することは避けた方が無難だという結論になろうかと思います。
子供のフリー画像を使用する際には充分注意が必要です。
この記事があなたのお役に立てたら幸いです。
またこの記事がお役に立てれたならhatena・Facebook・Twitterでシェアして頂けると励みになります。
