GDPRへの個人ブログでの対策・対応方法は?とりあえず必要な対策まとめ

 

2018年5月25日から新たに適用が開始された「EU一般データ保護規則」(General Data Protection Regulation 略称:GDPR)。

このGDPRに、日本の個人ブロガーはどの程度対応すればよいのか?

 

アナリティクスやアドセンスなどの各種グーグルサービスを利用している個人ブロガーには、Googleからの英文でのGDPR対応依頼メールが届いたり、アナリティクス、アドセンス上に、GDPR対策のインフォメーションなどが表示されていたりするので、「これ、なにか対策が必要なのかな?」と感じている方も多いのではないかと思います。

この記事では、個人ブログ運営者向けに、GDPRの超簡単な概要説明と、とりあえず必要となりそうな、やっておいた方がよい対策をまとめています。

※この記事は法的な確実性を担保するものではありません。また、個人ブログを対象としており企業運営のサイトは対象にしていません。対策は自己責任でお願いします。

 

スポンサーリンク

GDPRとはEUで施行された「個人情報の保護に係る法律」

 

GDPRとは、超簡単にいうと、EUで施行された日本の「個人情報保護法」のような、個人の情報とプライバシーの保護に係る法律です。

「ふーん・・・施行されたのはEUなんだね。」「完全に日本語で書かれた、日本人向けの私のブログには関係ないね」と思われる方もいらっしゃるかもしれませんが、ちょっと待ってください。

 

このGDPRには、以下の大きな2つの特徴があります。

①域外適用される EU地域向けにサービス提供、情報発信をしており、EU加盟国からアクセスがあればEU地域外でも適用される。
②対象となる情報の範囲が広い 個人情報だけでなく、IPアドレスやCookieも個人情報として規制の対象になる。

 

特に大きいのが①です。EU地域向けにサービス提供、情報発信をしており、さらにEU加盟国からアクセスがあるのであれば、EU地域外のサイトでも適用されてしまうのです。おいおい・・マジかって感じですよね。

試しに、グーグルアナリティクスで自分のHPの閲覧者のユーザーデータを確認してみてください。実は、一定程度EU圏内からのアクセスってあるはずです。

 

例えば、日本在住の旅行者が、旅行先のローマから私のサイトを訪問した場合、この閲覧者は日本人です。この場合、GDPRの規制対象になるのでしょうか?

答えは「YES」です。実は、GDPRはEU域内のすべての個人の情報が対象となり、国籍は関係ありません。このため、日本人の個人情報であっても、EU域内からのアクセスであれば、GDPRで定める個人情報保護の対象者となる、ということになります。

 

スポンサーリンク

本当に完全に日本人向けの個人ブログが①域外適用によるGDPRの適用対象になるのか?

さて、このGDPR「域外適用」ですが、本当に完全に日本人向けに書かれた日本語の、しかも個人のブログが、GDPRの域外適用の対象になるのでしょうか。

これ、実は法律をそのまま読んでしまうと適用対象になってしまうのですが、一般的には「さすがに、適用対象にはならないだろう」といわれています。

 

また、GDPRは原則として法人(企業)を対象とした法律です。従業員250人以下の中小規模の企業であっても組織であれば対象となる、とされていますが、個人が運営しているサイトまで対象なるかについては実は定かではありません。

また、そもそも「EU地域向けのサービス提供、情報発信をしている」サイトなのかどうか、というところもポイントになります。

 

つまり、「EU向けに発信はしていないけど、たまたまEUから閲覧があった」というサイトまで規制対象とするか、というところまでは、まだ明確な判例が出そろっているわけではないんです。

  1. 完全に日本国内向け日本語ブログであり、EU圏内のユーザー向けの情報発信、サービス提供は行っていない
  2. 完全個人運営のブログである

 

このため、上記2つの条件がそろったブログであれば、まずGDPRの域外適用の対象ではないのではないか、と判断しても良いと思います。

 

スポンサーリンク

GDPRの6つの基本原則を理解する

 

このように、EU地域向け、EU圏内在住者向けの情報発信は一切しておらず、もちろん日本語以外の英語等での記述すらない個人運営サイトの場合、たまたまEU圏内からアクセスがあるからといって、即座にGDPR対応が必要かというと実はそんなことはない、といえそうです。

ただ、今回EUで施行されたGDPRの6つの基本原則を理解しておくことは、運営するサイトでの実際のGDPR対策/セキュリティ対策上も、この後ご説明する各種グーグルサービスでの対策を理解するうえでも有益だと思いますので、簡単にご紹介しておきます。

 

このGDPRは、以下の6つの基本原則から構成されています。※左記公式サイトに記載されているGDPRの基本原則を私が端的に英訳したものです。

  1. 個人情報は、法律に則り、公平・透明に取り扱う
  2. 明示された正当な目的のために利用され、目的外に利用されない
  3. 必要の無い個人データは収集しない
  4. 個人データは常に正確に保ち、不必要なデータは消去する
  5. 個人データの保管は必要最低限に
  6. 個人情報は適切なセキュリティの下で取り扱う

 

ちなみにこの6つの原則、日本の個人情報保護法とほぼ同じなんですよね。だから、対策は別に難しいことでもなんでもないっていう事です。

ただ、前述のとおり日本の個人情報保護法と比べると、Web上のユーザーの識別子やCookieなども対象にしており、対象が広いので、Cookieなども対象に、幅広に個人情報保護対策が必要になるのは確かです。

 

個人情報に加え、Cookieなども含める前提で、個人ブログで対策を強化しておいた方がよさそうな主な事項は以下のとおりです。

項 目 対 策
ブログ記事のコメントフォーム 個人情報
ブログに対するお問い合わせフォーム
グーグルアナリティクス Cookie、個人識別子等
グーグルアドセンス
その他Cookieを利用するアフィリエイト
レンタルサーバーでワードプレスを利用

 

コメントフォーム、お問い合わせフォームなどを設けている方は多いと思いますが、このフォームからは、メールアドレスなどの個人情報を収集ことがあります。このフォームに対し、EUからの閲覧者に向けたGDPR対策を検討する必要があります。

また、アナリティクスやアドセンスなど、その他のCookie、個人識別子を利用しているサービスについては、プライバシーポリシーで一括して対応を施しておくことなどが考えられます。

 

コメント/お問い合わせフォームへの個人情報取得対応

 

コメント/お問い合わせフォームには、多くの方がワードプレスのプラグインである「Akismet」を利用していると思います。

Akismetでは、このGDPR規制に対応するために、コメントフォームの下にプライバシーに関する通知を表示する機能を実装していますので、この機能を使うのも一つの手ですね。

 

すると、こんな感じでGDPR対応の注意書きが表示されます。これだけで対応可能なので、表示させるだけ表示させておいても損は無いと思います。

 

Cookie取得への対応はプライバシーポリシーにしっかり書かれているか確認しておこう

一方、グーグルアドセンスやアナリティクスの利用については、気を付けるべきなのはCookieなどの利用目的を、サイト閲覧者に通知しているかどうか、ということにあります。

プライバシーポリシーなどにしっかりアドセンスとアナリティクスを利用している旨と、これらの(アドセンス広告などの)広告表示の最適化のためにCookieを利用している旨が記載されているか、再度確認しておけばまず大丈夫でしょう。

 

ちなみに、本気でGDPR対応をしようと思うと、Cookieを利用して例えば閲覧者ごとに最適な広告を表示させる場合、EUからの閲覧者に対しては個別にCookieの利用について同意を取る必要があります。

が、そんなことはまず不可能ですし、そもそも日本国内の個人ブログの場合GDPRの適用対象外であることが想定されますので、一括してプライバシーポリシーに記載しておけばとりあえずは大丈夫でしょう。

 

また、念のために、プライバシーポリシーに「このブログは、日本国内居住者をターゲットにしており、EU圏内のユーザーへの情報発信は行っていない」旨を書き添えておくと、EU圏への情報提供をしていない旨が伝わるので、より良いかもしれません。

私のブログのプライバシーポリシーにも追記しましたので、良ければご参考までにご覧ください。

 

スポンサーリンク

GDPRを契機に、サイトのセキュリティとプライバシーポリシーを再度見直そう

 

ここまで説明したとおり、そもそも日本国内向けの個人ブログの場合、限りなくGDPR規制の対象外といえます。

このため、実はGDPR対策という観点からは、ここまで説明した対策も不要かもしれません。

 

が、グーグルをはじめとした検索サイトは、個人情報保護を含めたセキュリティ環境が整っているかをそのサイトの信頼性を評価する大きなポイントとして、重視しています。

例えばGDPRの基本原則6「個人情報は、適切なセキュリティの下で取り扱う」の対策には、自分のサイトのSSL化などの対策も含まれます。

 

セキュリティに関する事項や、プライバシーポリシーを見直しておくことは、自分のサイトのより良い評価にもつながっていきますので、この機会に見直しておくと良いかもしれません。

 

スポンサーリンク

グーグルアドセンス、アナリティクスへの対応

 

ここまでのご紹介で、個人ブログで、EU圏内のユーザーへの情報発信を意図しているブログでない場合、ブログそのものに対するGDPR対策・対応は実はほとんど必要なく、実施したとしてもそんなに難しくないことはお分かりいただけたと思います。

あえてやっておくとすれば、プライバシーポリシーを見直すことと、できる限り早期にサイトをSSL化するくらいでしょう。

 

ただし、グーグルサービスの利用者限定ではありますが、実はもう一つ重要な対策、グーグルアドセンス/アナリティクスに対する対応も、併せて確認しておく必要があります。

というのも、グーグルは、言わずと知れた世界的な大企業です。もちろん、EU在住者向けの商品・サービスの提供も行っていますので、もろにGDPRの適用対象企業となります。

 

このため、グーグルも当然対策を打ち出してきているのですが、この対策について、個人ブロガーも含めた利用者と一体となった対策が必要になってくるんです。

とはいえ、繰り返しになりますがEU向けに情報発信していない個人ブログであれば、実は対策はそんなに難しいことではありません。

 

グーグルアナリティクスでの個人ブロガーの対策内容

グーグルアナリティクスで確認/対応が必要な内容は、大きく以下の2つになります。

  1. データ処理に関する条項への同意
  2. データ保持期限の変更への対応

 

スポンサーリンク

①データ処理に関する条項への同意

Google アナリティクス(GA)、アトリビューション、オプティマイズ、タグマネージャ、データスタジオで取り扱われる個人データについては、Google はデータ処理者となります。

これらのサービスのデータ処理に関する条項については、すでに同意していただける状態です([管理者] → [アカウント設定] ページ)。

欧州経済地域で Google アナリティクスをご利用のお客様を対象とする規約には、データ処理の条項がまもなく含まれる予定です。欧州経済地域以外で Google アナリティクスをご利用のお客様と、Google アナリティクス 360 をご利用のすべてのお客様は、Google アナリティクスの管理画面でこの条項に同意していただけます。

 

上記は、グーグルアドセンスやアナリティクスを利用しているユーザーに向けグーグルから発信されたメールの抜粋です。

『グーグルはサイト運営者から提供されるデータの「処理者」になるから、グーグルアナリティクスユーザーは、データ処理に関する条項に同意せよ』、と書かれています。

 

これ、簡単にいうとどういうことかというと、グーグルアナリティクスって、ユーザーのサイトから訪問者のCookieなどの情報を受け取って、これを統計情報として処理してユーザーに閲覧できる形で返しているんですよね。

例えばEUのユーザーが私が運営するサイトに訪問した、という情報はCookieなどを通じてグーグルに提供され、処理され、私はアナリティクスを通じてその統計データを見ることができる、ということになります。この意味で、グーグルは「データの処理者」といっているんです。

 

この「データ処理者」となるグーグルのGDPR対策は、前記GDPRの6つの原則の4番目「個人データは常に正確に保ち、不必要なデータは消去する」に対応することになります。

このため、データの処理に対する条項に同意を求められるんですが・・・

 

上記赤枠内のとおり、これはあくまでGDPRの規制対象サイトに該当する場合にのみ必要な対応になります。日本国内向けの個人ブログの場合、そもそもGDPRの規制対象サイトでは・・限りなくないはずですので、対策は原則として不要です。

私は何となく同意しておきましたが、とりあえずは同意しなくても問題ないと思います。

 

②データ保持期限の変更への対応

Google アナリティクスをご利用のお客様がデータの保持と削除を管理できるよう新しい設定を提供します。

 

これも同じく、グーグルから利用者に向け発信されたメールの抜粋です。

これは、前記GDPRの6つの原則の5番目「個人データの保持は必要最小限に」に対応した対策です。

 

この設定は、実は2018年5月25日から自動的に適用されています。

具体的には、グーグルアナリティクスの「管理」→「プロパティ」→「トラッキング情報」→「データ保持」という欄が新設されていて、ユーザーデータとイベントデータの保持が「26か月」に自動的に変更されています。

 

この設定により、「不必要に個人データは保持しない」・・つまり、26か月前のCookieや個人識別子などのデータは自動的にグーグルアナリティクス上から消去されることになります。

 

この設定、実は上記のように「自動的に期限切れにならない」ように設定を再度変更することもできるんですが、これはこのまま26か月にしておいた方が無難だと思います。

個人ブログで、26か月を超えてアナリティクスを利用してデータを分析するということはほぼ無いと思います。このため、この設定はこのまま適用しておくのが正解です。

 

以上が、グーグルアナリティクスに必要となる対応になります。

ここまでご覧になってお分かりのとおり、個人ブログの運営者の場合、能動的に対応が必要な項目は実はほとんどありません。

 

アナリティクスにログイン後、最上部にこのように「対応してください!」って感じに表示されますが、前述のとおり実は対応ほほぼ不要ですので、あまり焦る必要はないということです。

 

グーグルアドセンスでの個人ブロガーの対策内容

次に、グーグルアドセンスで確認/対応が必要な内容をご紹介しますが・・アドセンスは、以下の1つに対応するだけで当面は大丈夫だと思います。

  1. EU圏内のユーザーに対する「パーソナライズされていない広告表示」の設定

 

①EU圏内のユーザーに対する「パーソナライズされていない広告表示」の設定

DoubleClick for Publishers(DFP)、DoubleClick Ad Exchange(AdX)、AdMob、AdSense で取り扱われる個人データについては、Google とお客様が独立したデータ管理者となります。

これらの新しい条項では、個人データを処理する際のそれぞれの責任が明確にされ、データ管理者としての立場に関してお客様と Google の双方が保護されます。

Google はこれらの条項を履行することで、上記のサービスに関連して個人データを扱う際に、一般データ保護規則で定められた Google の義務を果たしてまいります。また、この条項ではお客様にも同様の履行が求められます。

 

上記は同じくユーザーに向けグーグルから発信されたメールの抜粋です。

『Adsenseで取り扱われるデータは、グーグルとサイト運営者がそれぞれ独立したデータ管理者となる』と書かれています。

 

つまり、サイト閲覧者から取得するCookieなどの個人情報は、ユーザーも、グーグルも、お互いの共同責任で利用しているということになります。

この条項は、前記GDPRの6つの原則の2番目「個人情報は、明示された正当な目的のために利用され、目的外に利用されない」に対応しています。

 

詳しいことは割愛しますが、このGDPRの2番目の原則はかなり厳しくて、サイト運営で取得したCookieなどを利用して、個人の興味にあった広告を表示するいわゆるグーグルの「パーソナライズ広告」を表示する場合、そもそも「Cookieを個人の興味にあった広告を表示するために利用しますよ」ということについて、明確な同意を得てからでないと、表示してはいけない、ということになっているんです。

じゃあ、実際にEU圏内の閲覧者に限定して、一々「Cookieを利用して、あなたの興味に合った広告を表示しますよ」という許可を取ることが現実的かというと、そんなことは絶対に無理です。

 

このため、アドセンスの設定で、「EU圏内の閲覧者には、パーソナライズ広告を表示させない」という設定ができるようになっています。

この設定を行うことで、EU圏内からの閲覧者には、Cookieを利用したパーソナライズ広告が表示されなくなります。つまり、Cookieは取得しても、広告の表示に利用していないので、個別の明確な同意を取る必要がなくなるということです。

 

この設定も、注意事項としてアドセンスの管理画面の最上部に表示されていますので、「操作」をクリックして、「パーソナライズされていない広告のみ表示」に設定しましょう。

 

アドセンスの設定は「取り合えず」これだけでOK・・のはず

グーグルアドセンスでのGDPR対策のための設定は実はこれだけにとどまらず・・同意年齢に満たないユーザーからの広告リクエストに対するタグの設定など、かなり広範囲に亘るのですが、とりあえずはこれだけで大丈夫なのではないかと思います。

というのも・・繰り返しですが、そもそも日本国内向けの情報提供を目的とした個人ブログの場合、GDPRの規制対象とならない可能性が高いです。

 

確かに、EU圏内のユーザーに対しパーソナライズ広告を表示する場合、Cookieの利用について事前同意が必要になるため、共同責任を負う自分のためにも、そしてグーグルのためにも、この広告は表示させない設定にしておいた方が無難だと思います。

ただ、これ以外の設定については、そもそもが規制対象ではない前提にたてば、そこまでの設定は、現時点では不要ではないかと思います。(もちろん、そもそもEU向けの情報発信を行っているなど、GDPR規制対象のサイトでないことが前提です)

 

スポンサーリンク

まとめ 個人ブログのGDPR対策・対応は実は簡単

 

以上、日本国内向けの情報発信を目的とした個人ブログで必要になるGDPR対応についてご紹介しました。

そもそも、日本国内向けの個人ブログは、GDPRの規制対象にならないと想定されますので、個人ブログ上では、「プライバシーポリシーの見直し」「サイトのSSL対応」を実施するくらいで大丈夫だと思います。

 

また、グーグルサービスでは、アナリティクスでの「データ保持期限の26か月対応」(設定は自動なので黙認で可)を。

そして、アドセンスでの「EUユーザーへのパーソナライズ広告の非表示」をそれぞれ設定しておけば、とりあえずの対策としては十分だと思います。

 

後は、後発の情報も参考にしながら、必要な設定をしていきましょう。

以上、個人運営ブログに必要となるGDPR対策をまとめてみました。

※この記事は法的な確実性を担保するものではありません。また、個人ブログを対象としており企業運営のサイトは対象にしていません。対策は自己責任でお願いします。

 

国内線航空券をビシバシ予約できるだけのマイルが貯まる!陸マイラーのはじめ方はこちら▼から

【まずここからご覧ください】当ブログにアップされている年間50万マイル貯める方法、マイルの価値、そしてマイルの使い方は、以下▼にまとめています。順に読んで行くだけで、陸でマイルを貯める方法が誰でも簡単に理解できます。

関連記事:ANAマイルの貯め方、使い方、価値を徹底解説。年間50万マイル簡単に貯める方法まとめ【2018年4月最新版】

 

私はポイントサイトを利用して、夫婦で年間60万ANAマイルを貯めています。え・・そんなにマイル貯まるの?と興味が湧いた方は、ぜひこちら▼も併せてご覧ください。

関連記事:【陸マイルの貯め方】年間50万マイル以上貯める方法を、丁寧に解説する

 



AD