EUの新データ保護規則「GDPR」の発効でウェブサイト所有者が採るべき大きな変更とは？

EU域内で2018年5月25日から個人情報の保護に関する新規則「General Data Protection Regulation(GDPR)」が施行されます。GDPRの施行により、ウェブサイトで取得したEU域内のユーザーのデータをEU域外へ持ち出すことは禁止され、収集した個人情報の活用も指定用途のみに厳しく限定されるなど個人情報の取り扱いは厳格化され、違反には多額の罰金が科せられることになります。しかし、厳格化される個人情報保護の新規則が導入目前にも関わらず、サイト運営者の対応は遅れがちだとのこと。GDPRによってサイト運営者に求められる変化と、どのように対応すべきかについて、自身も規制を受け変化を求められているというあるサイト運営者がブログでまとめています。

Publishers Haven't Realized Just How Big a Deal GDPR is - Baekdal Plus
https://baekdal.com/strategy/publishers-havent-realized-just-how-big-a-deal-gdpr-is/

ウェブコンサルティング会社Baekdalのトーマス・ビークダル氏によると、既存のウェブパブリッシャー(ウェブサイト所有者)のほとんどが、施行目前となったGDPRについて「負担」と感じているとのこと。EU域内で事業を行っていたり、EU域内のユーザーを抱えている企業はGDPRへの対応を余儀なくされますが、大半の興味・関心はいかにしてそれまでのビジネスに影響を与えないようにするのか、規制に触れないプライバシーポリシーの修正を行うのかに集まっており、望まざる回避策の議論に終始しているとのこと。多くの議論は法的な側面から出されており、いかにGDPRによる規制を無効化して罰則を回避するかという脱法行為ばかりを追っているとピークダル氏は批判しています。

GDPRの基本原則は以下の5つです。

1：個人データの収集・保持は、すべてユーザーの「同意」に基づく必要がある
2：提供される特定サービスに関連した、必要かつ適切な情報だけ収集できる
3：収集・保持するデータへの透明性を持つ
4：ユーザーには「忘れられる権利(データを削除させる権利)」がある
5：IPアドレスも個人情報とみなす

しかし、これらの原則にはそれぞれ例外が定められているそうで、例えば「1」の「同意」は直接の同意に限られないという例外があるとのこと。また、ショッピングサイトでの住所の入力行為を同意の一形態と認めることが可能です。そして、ユーザーが忘れられる権利を行使した場合でも、例えばサイト運営者の会計や税務における処理の必要性からデータ保存の必要がある場合には削除できないデータも多数あるなど、例外的な抜け道はたくさんあるとビークダル氏は指摘しています。

しかし、GDPR規制を避けようという姿勢は、世界のトレンドに沿わない行動だとビークダル氏は指摘しています。ビークダル氏によると、高い人気を集める広告ブロックソフトを利用する人は、広告表示を消したいという目的以上に追跡行動をブロックするために広告ブロックソフトを利用しているという実態があるとのこと。さらに、一定期間でアップロードしたデータが消去されるSnapchatやInstagramのストーリーなどの人気ぶりをみても、世界中のウェブ利用者が自身にまつわる個人的な情報への追跡をブロックしようとしていることは明らかであり、従来のような緩い個人情報保護の状況下でのみ成り立っていたビジネススタイルを維持しようとするようでは、時代の変化に対応できないとビークダル氏は考えています。

仮に「完全な新規ユーザー」がサイトを訪れた場合を考えると、そのとき限りのサイト利用になる可能性のある「ワンタイムユーザー」の訪問からは個人を識別できるどんな情報も収集できないとビークダル氏は述べています。さらに、どんなサードパーティ製のサービスを読み込むことも許されないとのこと。理由は、サードパーティのサービスを読み込めば、例えばIPアドレスのような個人を識別し得るデータを送信することになりかねないからです。初めてのサイト訪問者は「同意」と解釈できる行為をまったくしていないので、結局、「サイト側ができることは何一つない」ということになります。

多くのサイト運営者はこの意味を十分に理解していないのではないかとピークダル氏は指摘しています。基本的にサードパーティのサービスをサイト上でロードできなため、広告パートナーの広告スクリプトの埋め込みもNG、ソーシャルウィジェットの追加もNG、サードパーティのサービスを使っている記事内にクイズを埋め込むことさえNGだとビークダル氏は指摘しています。

ビークダル氏はこのような考えについては過剰な懸念だという指摘があるかもしれないとしつつ、GDPRの対象として欧州委員会の最も関心が高い企業の一つであるGoogleの対応について触れています。Googleは、GDPRの抜け道を探れば高額な罰金を科されかねない法廷闘争を招き、さらにそのような争いはメディアからの批判を受けユーザーからの信頼を損ねることになると考えているとビークダル氏は指摘しています。その結果、Googleが選んだ道は、「ユーザーが同意を与えるまで何もしない」という、ビークダル氏と同じ考えだと述べています。

来るべきGDPR規制の導入に備えて、GDPR施行後のサイト運営者は、サイト訪問者を以下の4種類に分類して対応する必要があるとビークダル氏は考えています。

1：ワンタイムユーザー
2：サービスへのサインアップが限定的なユーザー
3：サービスに完全にサインアップしたユーザー
4：サービス利用を止めたユーザー

・ワンタイムユーザーへの対応
「ワンタイムユーザー」には、初めてサイトを訪れるなどそのとき限りの利用になる可能性のある場合だけでなく、ユーザーが「同意をが求められる行為」をまだ何一つしていない場合が含まれます。前述の通り、ワンタイムユーザーに対しては、サードパーティのツールやソーシャルウィジェットを読み込むことができず、埋め込みコンテンツを自動的に読み込むこともできず、自分のサイト内であってもユーザーを識別できない形での分析しかできません。

この変更によって現行の広告モデルとはまったく広告モデルの設計が必要になるため、ワンタイムユーザーのトラフィック収益に大きな影響が出るはずだとビークダル氏は述べています。

・限定サインアップユーザーへの対応
例えば、ニュースレターの受信など限定的なサービスに申し込みはしたが、いまだに完全なサービス加入者になっていないような「限定サインアップユーザー」の場合、確かに「暗黙の同意」があると解釈する余地はあるものの、管理できるデータはリクエストされたサービスに関するものに限定されます。ニュースレターに申し込んだユーザーは、「サードパーティ製トラッカーの読み込みにも同意した」と解釈する余地はありません。GDPR導入以前であれば、ユーザーがサイト内でとったあらゆる行動を「公正に利用できるデータ」と解釈していたことも、GDPR導入後にはもはや機能しなくなるので、サイト運営者は限定サインアップユーザーのデータ取り扱い方法を大きく変える必要がありそうです。

・完全サインアップユーザーへの対応
利用可能なすべてのサービス利用に同意した「完全サインアップユーザー」には、より広範な対応が可能です。しかし、サードパーティのトラッキングスクリプトは「サイト内で提供するサービスと関連していること」が要求されます。サイト運営者はトラッキングスクリプトが収集する情報をサービス関連のものに限定する必要があり、透明性、データ管理その他のすべての個人情報保持に関する責任を負います。

・利用を停止したユーザー
「ユーザーがサービスの利用を止めた場合、基本的にはスタート地点に戻る」とビークダル氏は表現しています。つまり、ユーザーがアカウントを停止・削除したらなるべくすみやかにデータは削除しなければならないということ。例外は、アカウント情報など法的に保持し続けることが求められる情報のみです。

そして、広告用途で収集した個人の嗜好(しこう)情報など個人を識別した分析によって得られた情報は、ユーザーがサブスクリプションを解除した時点ですべて消去することが義務付けられます。このような情報の取り扱いは、GDPR施行前の世界とはまったく異なる態様であり、大きな変化が求められる部分だとのこと。

以上の通り、GDPR施行後に変更が義務付けられるユーザーデータの取り扱いについて解説した上で、ビークダル氏は「GDPRへのアプローチを再考することで、情報の取り扱いの変化は『問題』ではなく『ソリューション』にする絶好のチャンスだ」と述べています。GDPRの趣旨に則りユーザーのプライバシーに配慮してデータを取り扱うことで、ユーザーとの信頼関係を構築しユーザーを尊重していることを示すことができるとのこと。GDPRに従ったサイト運営を行うことはユーザー自身に自らの情報の扱いをコントロールしやすくすることであり、GDPRを順守することで「プライバシー配慮」という要素を組み込んだサービスを構築することができ、プライバシー保護が重視される世界中のトレンドに乗るサービス運営ができ、ひいてはサービスの競争力を磨く点でも有利になるはずだとビークダル氏は主張しています。