最近WebサイトでやたらCookieの同意に関するモーダル画面が多いと思うが、それの主原因がGDPRといっても過言ではないと思われる。
そのGDPRについてまとめてみた。

※ 専門家ではないので、内容に誤りがある可能性があります

参考文献:

GDPRとは

GDPRとは、General Data Protection Regulation の略称であり、EUにおける個人情報保護に関する法律のこと。
2016年4月に制定、2018年5月25日に施行された。

EU:欧州連合、ヨーロッパを中心に27ヵ国が加盟数政治経済同盟のこと。イタリア、スペイン、ドイツ、フィンランド、フランス、ベルギーなど

なお、厳密にはEAA(European Economic Area – EUにアイスランド、リヒテンシュタイン、ノルウェーを加えた国々)もGDPRと同内容の法律を制定しているため、EUとEAAの国々が対象となる。

個人データ(個人情報)とは

日本の個人情報保護法についてもほとんど意味は等しいが、GDPRのほうが広い範囲となる。

どちらも「個人を特定できるための情報のこと」に変わりはないが、まずはその説明について、

例えば「田中太郎」という氏名が流出したときに、日本に数千人「田中太郎」がいれば、それは個人の特定にならない。
住所もセットで流出した場合には、個人の特定になるため、それは個人データと言える。

グレーなところだと、メールアドレスがある。
「info@example.com」というメールアドレスがあり、流出したとするとこれがグループで使用しているものか、一人の人が使用しているものなのかわからない(流出することで自体顧客データの流出という別の問題が発生するが今回はそれは置いておく)。
ただこれが「tanaka_taro@example.com」などだと個人で使用する可能性が高く、また苗字と紐付けられた情報であるため特定の個人につながる情報として捉えられる。

このようにメールアドレスは個人情報保護法ではグレーなのだが、メールアドレス自体流出することが悪であり、個人情報と言わざるおえない状況ではある。

一方でGDPRでは、合理的な可能性のあるすべての手段を考慮に入れて、直接または間接的に自然人が識別できる「可能性」があれば、個人データとなる。

なので、メールアドレスはもちろん、電話番号についても個人データ(個人情報保護法では個人情報にあたらない)となり、大袈裟にいえば、家庭の使用電力量などについても個人の支払いを決定するものとして「識別可能な自然人に関する個人データ」であると考えられる。

これ以外にも、GDPRは個人情報保護法にはない「オンライン識別子(Cookie を意識したもの)」という言葉が明確に記されており、IPアドレスなどは他のデータと組み合わせることで個人データにつながる場合は対象となる。

ちなみにGDPR、個人情報保護法のどちらも、法人に関する情報は基本的には保護されない。GDPRでは具体的には「法人と関係する個人データの取扱い」「法人として設立された事業者と関係する個人データの取扱い」についてはGDPRの規制対象ではないとしている。
ただし、明確に規程されているわけではないが、「法人の従業員の個人データについては、業務上のメールアドレスも含めてGDPRの適用範囲に含まれる」との言及がある。

匿名加工情報について

匿名加工情報とは、個人情報を個人情報として識別できないように加工した情報であり、データの復元によって個人を判別可能にできないようにした情報のことである。
GDPRでもほとんど意味は同じく、個人情報を再識別することを何人にとっても不可能とした場合に限り、匿名加工情報として扱うことができるとされている。

匿名化とはデータ主体を判別することができないようにした情報のことであり、匿名化された情報は個人データではないので、GDPR・個人情報保護法の対象外である

GDPRが話題の理由

罰則が厳しい

GDPRに違反した事業者は

  • 1000万ユーロまたは全世界売上高の2%のいずれか高額の方
  • 2000万ユーロまたは全世界売上高の4%のいずれか高額の方

上記金額を上限とした制裁金が課される可能性がある。

最近だと、フランスでGDPR違反により Google に 1億ユーロ、アマゾンに3500万ユーロ、合計約170億円もの罰金を課した例もあるなど、実際に高額の罰金が請求されている事例が多数ある。

現在のレートだと、1000万ユーロは約12〜13億円程度。

ちなみに「軽微な違反行為については制裁金の代わりに注意処分を行うことができる」とも定められており、注意処分で済む可能性もあるにはある。
が、GDPRの目的のひとつには制裁(みせしめ)が含まれているため、期待しすぎてはいけない。

適用範囲が広い

EU域内に拠点がない事業者であっても、

  1. EU域内のユーザーに対する商品やサービスの提供
  2. EU域内のユーザー行動のモニタリング

に関する個人データの処理がGDPRに適用されると明記されている。
つまり、日本しか拠点のない企業であっても適用範囲となる可能性がある。

1 については、 EU域内ユーザーへのサービスや商品を提供する意図が明白であることが必要である旨が示されており、単にEU域内のユーザーがアクセスできるというだけや、英語で書かれたWebサイトだからといってEU域内のユーザーへのサービスとして該当することはない
具体的には次のように明記されている。

  • EU加盟国で用いられている言語や通貨を用いて注文を行えるか
  • EU域内の利用者を想定した言及がなされているか

基本的には日本円のみの決済システムや日本語のみで提供されているサービスについては1の要件はクリアできると考えられるため、わざわざIPアドレス制限をかけるなどの対策を取る必要はない
しかし、「EU域内」と記載されている通り、GDPRはユーザーを国籍ではなく所在で保護対象を決めている
つまり、ユーロやポンド建ての決済に対応していたり、フランス語でサービスを提供していたり、EUに住む日本人の方には特別キャンペーンを打ったり、EU在住の方向けのプライバシーポリシーなどを作成すると、1の要件にあたる可能性がある

2 に関しては「情報主体に関する判断をする場合や、情報主体の個人的な嗜好、行動及び傾向を分析又は予測するためにインターネット上で追跡されているか」どうかが判断基準となる旨が記されている。
つまりWebサービスにおいては、個人の嗜好を分析してパーソナライズする機能を付けたり、広告のリターゲティングを行ったりする目的で情報を収集すると対象となり得る
また位置情報をトラッキングするのも 2 に該当する可能性が大いにある。

日本の個人情報保護法よりも厳格に個人データの扱いについて規程されている

日本の個人情報保護法では公表または通知している利用目的の範囲内で個人情報を取り扱うことができるが、GDPRでは定められた要件に該当する場合以外は、個人データの取得・保管・分析・加工・廃棄等のあらゆる処理が認められない
取扱いが適法になる場合は、次に掲げる少なくとも一つの項目が適用される場合に限られる。

  • データ主体が、一つ又は複数の特定の目的のために自己の個人データの取扱いに同意を与えた場合。
  • データ主体が当事者となっている契約の履行のために取扱いが必要な場合、又は契約の締結前のデータ主体の求めに応じて手続を履践するために取扱いが必要な場合。
  • 管理者が従うべき法的義務を遵守するために取扱いが必要な場合。
  • データ主体又は他の自然人の重大な利益を保護するために取扱いが必要な場合。
  • 公共の利益又は管理者に与えられた公的権限の行使のために行われる業務の遂行において取扱いが必要な場合。
  • 管理者又は第三者によって追求される正当な利益のために取扱いが必要な場合。
    ただし、データ主体の、特に子どもがデータ主体である場合の個人データの保護を求めている基本的権利及び自由が、当該利益に優先する場合を除く。

また、個人情報保護法では、利用目的の変更等において必要となる「本人の同意」について特段の方式の指定はないが、GDPRにおいて本人が同意したと認められる要件は非常に厳格である。
同意に関しては、後述する。

その他注意すべき点

対象事業者にDPO(Data Protection Officer – データ保護担当者)を任命するように義務付けているが、すべての事業者ではなく、公的機関だったり、大規模に個人情報を収集して処理したり、医療データや政治データを取り扱っている場合は義務がある。

またDPIA(Data Protection Impact Assessment – 個人データ保護影響評価)の実施義務があり、そのために個人データの取得から消去・廃棄に至るまで、取扱いの仕組み全体を網羅的に把握した上でリスク評価を行うことが望ましいとされる。
そのためには、データフロー図などを作成し、関係者や関連システム、個人データの流れを明らかにして、評価対象を事前によく整理しておく必要がある。
なお、関連するシステムについては、さらにシステム構成図などを作成して、技術的対策の評価対象とすべきネットワークやハードウェア、アプリケーションなどを事前に細かく特定しておく必要がある。

ほかにも実際に漏洩したときには、監督機関に管理者が検知してから72時間以内に報告する必要があったりする。

GDPRの基本原則

個人データの基本原則

下記の原則にしたがって、個人データを扱わなければならない。

  • 適法性、公正性及び透明性:個人データは適法(法に認められるようなこと)、公正に取扱されなければならず、透明性(明瞭・容易なアクセス・わかりやすさ)を確保しなければならない
  • 目的の限定:個人データは明確な目的のためにのみ使用でき、追加的取扱は認められない
  • データの最小化:個人データは必要なデータのみに限定しなければならない
  • 正確性:正確であり、最新の状態にしなければならない
  • 記録保存の制限:個人データの取扱目的を達成しているような場合までデータ主体が識別できるような状態にしておいてはならない
  • 完全性及び機密性:個人データが安全性とは改ざんされていないこと、機密性とは権限を持つ者のみが個人データにアクセスできること

データ主体(ユーザー)の権利

  • アクセス権:自らが個人データにアクセスできる権利
  • 消去権(忘れられる権利):自らが個人データを削除することができる権利
  • データポータビリティの権利:自らが個人データを取得した管理者から別の管理者に送信させる権利

つまり、個人データを扱うWebサイトの場合は、データ主体自信が自らの個人データにアクセス可能であり、かつ退会時には自分のデータを削除することができる必要がある

アカウンタビリティ(説明責任)

GDPRでは、上述の基本原則が遵守されていることを説明しなければいけないとしており、管理者や処理者に対して、取扱活動の記録やデータ保護影響評価などを求めている。

個人データを扱う場合

GDPRで個人データを扱うためには同意の条件を正確に理解した上で、データ主体からの同意を取得する事が必要である。
同意を得るためには、GDPRでは、「自由意志に基づいて任意で行われた」「特定され」「情報提供を受けた上での」「明確な」同意であることが求められている。

具体的には下記のようなもの。

  • 任意性
    一例として、同意しなければサービスを利用できない、という作りにしてしまうと「自由に与えられた同意ではない」とされる可能性がある。また、雇い主が従業員から同意を取得するようなケースでは、構造的に同意の任意性を期待できないため、適切な同意を得たと言えないのが原則であると考えられています。
  • 特定性
    あらゆる個人データの目的外利用について、一括で同意を得るような作りにしてしまうと、特定されていないと見なされる可能性がある。 目的外利用をユーザーの同意に依拠して行う場合には、目的ごとに個別に同意を取得する必要がある。
  • 情報提供
    管理者の身元、個人データの処理の目的、収集・利用するデータの項目、同意を撤回できること、といった情報を提供する必要がある。 日本の個人情報保護法を前提とするプライバシーポリシーでは「同意を撤回できること」に触れているケースはほとんどないという点には特に注意が必要。
  • 明確性
    同意の意思が明確でない場合、具体的には同意の意思を確認するチェックボックスにデフォルトでチェックが入っている場合や、利用規約の一部に同意する旨を定めておいて、利用規約全体に同意をとったことをもってGDPR上の同意とする場合などは、明確性が否定される可能性がある。

Webサイトにおいて、「同意する」のようなチェックボックスに元からチェックが入っている場合はもちろん、スクロールやスワイプなどの動作に応じて同意されるような形式のものは、任意性の範疇にはならないため、適切に同意があるとみなされるようにユーザーに行動を促すべきである。

上記注意点に加え、「同意を得ており、それが撤回されていない」ことを証明できるよう、撤回できる仕組み、および適切にログを管理することも重要である。

ただ、個人的にはクリエイターとして、この規程によってユーザビリティを失うようなことはあってはならず、そのような場合は情報社会の発展を阻害するため、ある程度線引きして対応する必要があると考えている

子供の個人情報の取扱いについて

GDPRでは原則として親の同意が必要である。
ただし、国によって子供の年齢の定義が異なるため、各国々ごとに対応を変更する必要がある。

Cookieについて

前述のようにGDPRではCookieも個人データに入ることから、原則としてCookieを使用しているページに対しては同意を取得する必要がある。
そのため、ほとんどのWebサイトでは上述のように同意するような仕組みを取らなければならない。

CMP(Consent Management Platforms)について

データ主体からの同意取得に関しては、同意していないユーザーのデータを保持しないための機能を実装する必要があり、エンジニアリングとしてかなり高負担になりうる。
そのため、CMPという同意管理サービスがいくつか提供されている。

サービス目的としては、同意に関する手続きを効率化し適切なデータ運用につなげるための手段として開発されている。
自分のデータがどのように取り扱われるのかが一目でわかるためデータ取り扱いの透明性と説明があった上で同意を行うことができる。

プライバシーポリシーに書くべきこと

同意を得るためにプライバシーポリシーのページは必須となる。
その場合には、下記のようなことを明示する必要がある。
以下引用。

引用元:https://blog.craftz.dog/inkdrop-now-complies-with-gdpr-f51e68081f04

# いつどうやって収集するのか
まずは方法から明確にします。サービスに登録した時なのか、サイトにアクセスした時なのか、アプリを利用した時なのか、などなど。

# 何を何のために収集するのか
次に、具体的に収集するデータの内容を説明し、その目的も説明します。ユーザの投稿データを蓄積するならその旨と目的を。サーバログを蓄積するなら、IPアドレスやURLなど。

# データが不要になり次第削除すること
IPアドレスなどが記されたサーバログなどは数週間以内に削除する旨を明記します。ただし、サーバ障害対応など必要に応じて長く保持することもあることを記します。

# 支払情報はどのように取り扱われるのか
カード情報は特に貴重なので詳しく説明します。どの外部システムと連携して請求を行うのか、カード情報は誰が受け取って保管するのかなどを明記します。不要になり次第消去されることを記載します。

# データがどこに保存されるのか
データが保存されるサーバはどの国にあるのかを明記します。開発のためにデータを一時的に取得する場合も、取得者はどの国にいて作業するのか記します。

# どうやってユーザのデータにアクセスするのか
ユーザは自分のデータにどうすればアクセスできるのかを明記します。エクスポートの方法も記載します。

# データの削除方法
「忘れられる権利」を満たすための機能を説明します。ユーザはいつでもデータを削除できることを記載します。アカウントを削除すると何が起こるのかを明記します。データが削除される代わりに匿名化される場合はそれを明記します。必要があればそれも削除できることを説明します。

# どのサードパーティサービスを使っているか
Google Analyticsに代表されるようなサードパーティーツールを使って個人情報を取り扱う場合は、全ての使用サービスを列挙します。つまりAWSやHerokuなどを含め、データの保存や処理するために使っているサービスをすべて書き出します。

# 個人情報を機械的な判断に用いているかどうか
例えばパーソナライゼーションやリターゲティングのために個人情報を使っている場合は、その旨を詳しく説明します。やっていなければ、していないことを明記します。

十分性認定について

十分性認定とは、EUと域外国の間で個人データの移転を図る枠組みのことで、「個人データの移転を行うことができるだけの十分なデータ保護の水準があることを認めること」である。
日本では、2019年1月23日に十分性認定がなされた。
これによって互いのデータ移転の際に、本人の同意は必要なくなったが、移転時に補完的ルールに従う必要があり、また使用の際には継続してGDPRと個人情報保護法の適用範囲に従う必要がある。

日本の個人情報保護法の将来について

Google Chrome によるサードパーティ Cookie の廃止や Apple の個人情報保護方針の強化などの動きも鑑みると、テクノロジーの高度化によるDX変遷等々踏まえ、情報保護の担保責任が高まりを見せている。
また、GDPRの元となったデータ保護指令が波及して、日本の個人情報保護法に関しても影響を与えたと言われていることも加味すると、日本の個人情報保護法についても強化される可能性があるため、GDPRを標準の考え方として捉えたほうが良いのかもしれない。

まとめ

ルールは必ず人間が定め、人間が守ることになるので、人によって解釈の仕方が異なる。だからGDPRはサイトによって施策の方法が異なっている。

経費の範囲や弁護士がいるのと同じ理由で、自分の中で道筋を立ててそのルールを具体化することが大事。

もちろんそのためには、そのルールをしっかりと理解することが大切であり、誠実に個人情報と向き合う必要がある。