GDPRとは? Web担当者やWebアナリストはどう対処すればいい? – Web担当者Forum (プレスリリース) (ブログ)

Home » 起業・独立 » 個人事業 » GDPRとは? Web担当者やWebアナリストはどう対処すればいい? – Web担当者Forum (プレスリリース) (ブログ)
個人事業, 起業・独立 コメントはまだありません



GDPRなんて関係ない」と思っていたところ、突然Googleからデータ削除についての英語メールが届いて右往左往した人も多いと思います。結局どうすれば良いのか?一般論ではなく、GoogleアナリティクスやAdobe AnalyticsのようなWebの分析ツールを利用しているアナリストやマーケターは実際にどうすべきか?という観点で、調べた結果をまとめました。

以下は個人としての見解です

  • 2017-05-17 7:00 記事公開
  • 2017-05-17 10:00

EUに物理的に存在する個人のプライバシーを守る

まずは原則から。GDPR(EU一般データ保護規則)は、EU(正確にはEEA)内の全ての個人のプライバシー保護を強化するために2018年5月25日に施行される法律です(一般論は割愛するので詳細はWikipediaやGoogleで調べてください)



対象は幅広い

人種や国籍、市民権は無関係なので、日本からの駐在員や現地で日本語を話せる人も権利が保護される対象になります。EEA内に拠点や現地法人があるかどうかも無関係。

拡大されたプライバシー情報

人単位で異なる会員IDユーザー名Emailアドレスは当然として、デバイス毎に固有のIPアドレスや、Cookieに保存されるブラウザ毎に固有のオンライン識別子(GAのClient IDやAdobe Analyticsのvid, mid, ecid)も対象になります。昨今は分析に限らず、ターゲティングやA/Bテスト、接客、LPO、EFOなど多くのツールが固有IDをCookie保存するので、要注意ですね。

つまり、EU(EEA)に拠点や現地法人を持たない日本企業のサイトであっても、EUからアクセスできる公開サイトに、お問合せメルマガ購読のような名前やEmailアドレスを入力するフォームを設置したり、GoogleアナリティクスやAdobe Analytics(というよりほとんどのマーケティングツール)を一つでも導入しているだけでGDPRの規制対象になる、というのが今のところの私の理解です。

データ主体、つまりWebの訪問者に与えられる権利

EU(EEA)内の個人は、企業へ提供する自分の個人データについて

  • 取得されることを拒否する権利(同意)
  • アクセスする権利(内容確認・修正)
  • 消去する権利(削除)
  • 持ち運ぶ権利(エクスポート)

が保障されます。

では、どう対応すべき?

立場によって異なります。

Webの運営者(事業会社・団体)

Webの運営者(事業会社・団体)は、データ管理者 (Controller)として、次の対応が必要になります(アナリティクス関連のみを抽出)。

  • 事業に必要なデータの用途と処理過程を定義する
  • それを訪問者へ分かりやすく説明する(プライバシーポリシーやCookieポリシー、入力フォーム掲載ページで)
  • GDPRに対応できる体制やルール、機能を持ったツールや委託先を選ぶ
  • データ取得と用途について、訪問者から事前の明示的な同意を得る
  • 訪問者からデータの確認や削除要求を受けた場合は対応する
  • 目的達成に必要な保管期間を過ぎたデータは削除する

データの保管を請け負うツールベンダー(GoogleやAdobe)

データの保管を請け負うツールベンダー(GoogleやAdobe)は、データ処理者 (Processor)として、次の対応が必要になります(アナリティクス関連のみを抽出)。

  • データをセキュアに保管・処理する
  • GDPR対応に必要な機能を実装する
    • 指定IDのデータを表示・エクスポート・削除できる機能
    • 用途に不要なデータの匿名(仮名)化
    • 保管期限を過ぎたデータの自動削除機能 など
  • 利用規約をGDPR対応にする

Googleはデータ処理者としての責務を果たしているだけ

という状況の中で、GoogleはGoogleアナリティクスの自動データ削除を実装し、メールで管理者へ通知しました。

それだけに反応して「データが消えると困るから無期限にしよう」「変えるのは危険だからデフォルトのままにしておこう」と近視眼的に対応するのは、どちらも不正解です。

アナリストやコンサルタントがすべきこと

分析を請け負ったアナリストやコンサルタントは、データ処理者として、委託を受けたデータやアカウントをセキュアに管理し、必要がなくなったら削除する必要があるのは当然として、要注意なのは、制作や集客などの受注ついでに無料だからとGAを導入した場合ですね。クライアント企業が状況やリスクを把握できていない可能性があるので、誰が導入して誰が利用しているのかに関わらず、運営企業にはGDPR対応の義務とリスクが生じることを説明する責任があります。

コンサルタントとしては、「こうしないとダメ」という指摘だけではなく、法務と連携し、対応方針策定や必要なツール選定と実装、運用プロセスの構築まで踏み込んで提案や対応するケースもあるでしょう。対応できない、する価値がない場合は、タグやデータを削除する、という決断も必要です。

具体的にすべきこと

Webの制作や分析を受託した企業や個人事業主がすべきことをまとめてみました。

プライバシーポリシーやCookieポリシーの更新を手配する

規約の文面は事業会社が主体となって法務部門や専門家に作成を依頼する必要がありますが、その必要性の説明や、ツールが取得するデータに関する情報提供、フッタからの確実なリンク設置の手配や確認は可能ですね。

実は、Googleアナリティクスの場合、その利用規約の中で、導入企業はプライバシーポリシーにおいてGAについて追記することを求めています。

お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても必ず開示するものとします。この情報の開示は、「ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用」のページwww.google.com/intl/ja/policies/privacy/partners/ や、Google が随時提供するその他の URL)へのリンクを目立つように表示することで実施可能です。お客様は訪問者の端末上での Cookie やその他の情報の保存や、そうした情報へのアクセスについて、そうした行為が本サービスに関連して発生する場合、およびかかる行為に関する情報の提供と訪問者からの同意が法律で求められている場合は、訪問者に明確かつ包括的な情報を提供し、同意を得るように商業上合理的な努力を払うものとします。

Googleとしては責任を逃れられるように規約を定めているだけなので、違反しているからとGoogleから訴えられることはないと思いますが、GDPRをきっかけとして、主体的かつ本質的な対応をしたいところです。

特にCookieに関しては、個別のCookieごとに用途や内容、保管期間を列記した詳細表を含むCookieポリシーを別途定める企業も存在します。事業会社がこのCookieポリシーが必要と判断した場合、ツールのベンダーやその導入を提案した代理店、コンサルタントは、必要な情報をまとめて事業会社へ提供する必要があるでしょう。

お問い合わせやメルマガ購読など、個人データを含む送信フォームを含むページを制作する場合は、どんなデータを何のために取得し、どう扱うのかの説明を入力フォーム付近に記載することも漏れなく提案し、実現しましょう。フッタからのリンクだけでは不十分です。

オプトアウトの方法を説明する

プライバシーポリシーの中でオプトアウト方法を説明し、それが可能なページにリンクすることが多いようです。ツールによって方法やリンク先が異なるので、その方法を整理して伝えましょう。

データ取得の同意を得るUIを実装する

2018年に入ってから、英語のサイトは次々に導入を進めています。サイトを初めて訪問したときにページの上や下にオーバーレイ表示されるアレです。

JavaScriptで自作しても良いですが、実はこの同意を管理するソリューション(Consent Manager)が数多くリリースされています。

この中ではOneTrustとCivicが無料プランを提供しています。駆け込み需要で忙しいのか、OneTrustは審査待ちのまま2週間を過ぎてもアカウント発行の連絡がありません…。

タグマネージャーをオプトイン対応する

同意を得るUIを実装したら、その結果に応じてアナリティクスの計測を停止する必要があります。タグマネージャーで対応するのがおすすめ。詳しい方法は別途記事を書きます。

不要な個人データは取得停止や匿名化する

これを機に、事業の運営や改善のために不要な個人データは取得をやめることを検討しましょう。

  • IPアドレス: GAやAAにはIPアドレスを匿名化する機能があるので、それを有効にする
  • カスタムディメンションやユーザーID: Client IDや会員IDを取得している場合は、その必要性を再検討する
  • ページやURL: URLにEmailや会員IDが含まれていないか確認し、サイトを修正する

特にURLは要注意。サンクスページなどで動的にIDやEmailアドレスをURLクエリパラメータに付与していると、それがアナリティクスによって計測されてしまいます。知らない間に個人データを計測していることもあるので、今すぐ確認を。

保管期間を過ぎたデータは削除する

目的を達成するために合理的に必要となる保管期間をツールごとに定めて、それをプライバシーポリシーで訪問者へ説明してから、自動削除機能があるツールに関しては、その設定を行います。

Googleアナリティクスの場合、まずは期限設定機能がリリースされましたが、細かい制御はできません。

Adobe Analyticsの場合は、設定期限後の自動削除に加えて、どのデータが個人データに該当するのかを区別するためのラベル付け機能と、訪問者が自分のID(オンライン識別子)を調べるためのJavaScriptライブラリ、要求を受け付けた運営会社が特定IDの訪問者に関するデータをエクスポートや削除するためのAPIもリリースされました。APIなので、それを使った管理画面は自作する必要があります。Googleも追従して、このような機能をこの後リリースすると思われます。

個人データの確認や修正、エクスポート、削除の依頼に対応する

実はこれが一番難しいです。例えばFacebookの場合、設定画面の中に、自分に関するデータを全てダウンロードしたり、全て削除する機能が含まれています。

アナリティクスの場合は完全自動化が難しいので、プライバシーポリシーの中でリクエスト方法について説明し、そのリクエストを(書面やメールやフォームで)受け取った場合にデータの抽出・返信や削除を個別対応する運用プロセスを作ります。

最後に

以上、調べて分かったことと私の見解をまとめました。法律に関しては専門家に任せたりアドバイスを得る必要があるとはいえ、Web運営主体である事業会社や、そのサポートをする受託企業は、協力し合いながら、データやツールに関する情報を調べて法務へ提供したり、必要性の判断や方針策定、体制やプロセスを構築し運用していく必要があるので、他人ごとでは済みません。

GDPR対応については、Adobeの方が丁寧で先を行っているので、GAしか使っていない場合でも、動向をチェックしておくのがおすすめです。

また、情報は圧倒的に英語のサイトの方が多いので、なるべく一次ソースに近い情報を英語で読むと良いでしょう。

いずれにせよ、GDPRはプライバシー保護という善意に基づいた世界の流れの一部です。日本でも個人情報保護法が改正されたり、USの法律も変わっていくはずです。「GDPR対策のため」「リスク回避しないと」ではなく、お客様の視点に立って、誠意を持って説明や接客をしていくと、信頼を得られたりロイヤルティが高まるチャンスともいえます。

このページは急いで作ったので、間違いや漏れがあるかもしれません。随時修正や追記をしていきます。また、本サイトでも一通りのプロセスを実装・実践する予定です。その方法や結果についてもいずれ記事で公開したいと思っています。



コメントを残す