GDPR

罰則を伴う適用の開始

2018年5月25日から。

GDPR(一般データ保護規則)の対象

ユーザーログイン機能があるようなサイト、ログイン機能がなくてもパーソナライズド広告が貼られているようなサイトは、サイトの規模、運営企業の大小に関わらず、日本語のサイトであっても、Webが世界に開かれていて、EU圏からアクセス可能である以上、GDPRに対応する必要がある。

適法を満たすために必要な対応

GDPRに対応するためには、明示的に、クッキー等の使用について、許諾を取る必要があり、更に、許諾の取り消しも可能にする必要があるだけではなく、条件はあるが、EU代理人を専任する必要がある。

現実的な対応

システム的な対応は、面倒ながら不可能ではないとしても、中小企業ではEU代理人を専任は難しい。結局のところ、EU加盟国からアクセスできないようにしてしまうのが、一番現実的な対応なのかもしれない。

AWS

WAFのGeo match conditionsでアクセスを許可する国を指定することが可能。

Azure

CDN(価格レベルStandard Verizon以上)を使えば、geoフィルタリングで国を指定してEU加盟国からのアクセスをブロックすることが可能。

EU加盟国一覧

2018年6月7日現在のEU加盟国は以下の28カ国。まだ英国も加盟国です。

EU代理人

以下は、「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)」から代理人に関する部分についての記述の抜粋です。簡単にまとめるなら、管理者がEU圏内に拠点を持たない場合、EU圏内に拠点を持つ、代理人を置かないといけないということですね。

第 3 条 地理的範囲
1. 本規則は、EU 域内の管理者又は取扱者の事業所の活動に関連してなされる個人データの取扱いに適用される。この場合、その取扱いが EU 域内又は域外でなされるか否かについては問わない。
2. 本規則は、EU 域内に拠点のない管理者又は取扱者による EU 在住のデータ主体の個人データの取扱いに適用される。ただし、取扱い活動が次に掲げる項目に関連しているものに限られる。
第 4 条 定義
(17) 「代理人」とは、第 27 条により管理者又は取扱者によって書面で指名され、本規則に基づく 管理者又は取扱者の各々の義務に関して彼等の代理をする EU 域内におかれた自然人又は法人 をいう。
第 13 条 データ主体から個人データを収集する場合に提供される情報
1. データ主体に係る個人データがデータ主体から収集される場合、管理者は、個人データを取得する際、データ主体に次に掲げるすべての情報を提供するものとする。
(a) 管理者の身元及び詳細な連絡先、該当する場合、管理者の代理人。
第 14 条 データ主体から個人データを取得しない場合に提供される情報
1. 個人データがデータ主体から取得されない場合、管理者は次に掲げる情報をデータ主体に提供しなければならない。
(a) 管理者の身元及び詳細な連絡先、もしあるならば、管理者の代理人。
第 27 条 EU 域内に拠点のない管理者又は取扱者の代理人
1. 第 3 条第 2 項が適用される場合、管理者又は取扱者は EU 域内の代理人を書面で明示しなければならない。
2. 当該義務は次に掲げるいずれかの場合には適用されない。
(a) 第 9 条第 1 項で定める特別な種類のデータの取扱い又は第 10 条で定める有罪判決及び犯罪に関する個人データの取扱いを大規模に含まず、取扱いの性質、文脈、範囲及び目的を考慮して自然人の権利又は自由に対するリスクが生じそうにない、散発的になされる取扱い。
(b) 公的機関又は団体。
3. 代理人は、データ主体が居住し、当該データ主体への商品やサービスの提供に関連して当該データ主体の個人データが処理されるか、又は当該データ主体の行動が監視される加盟国の一つに拠点を持たなければならない。
4. 代理人は、本規則遵守を確実にする目的のため、取扱いに関連するすべての問題について、管理者若しくは取扱者とともに又は代わりに、特に、監督機関及びデータ主体と対話をするため、管理者又は取扱者によって委任されなければならない。
5. 管理者又は取扱者による代理人の任命は、管理者又は取扱者自身に対して取られる法的行為を妨げることはない。

【参考ページ】

個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則(一般データ保護規則)(仮日本語訳)

【一問一答】「非パーソナライズド広告」とは?:GDPR施行に向けたGoogleの新広告

EU 一般データ保護規則(GDPR)について

WebサイトのGDPR対応用パッケージを作ったので、GDPR準拠のランディングページを作ってみた

第15回 GDPRアップデート: ウェブサイト運営者の責任について