GDPRとは？ Web担当者やWebアナリストはどう対処すればいい？

EUに物理的に存在する個人のプライバシーを守る

まずは原則から。GDPR（EU一般データ保護規則）は、EU（正確にはEEA）内の全ての個人のプライバシー保護を強化するために2018年5月25日に施行される法律です（一般論は割愛するので詳細はWikipediaやGoogleで調べてください）

対象は幅広い

人種や国籍、市民権は無関係なので、日本からの駐在員や現地で日本語を話せる人も権利が保護される対象になります。EEA内に拠点や現地法人があるかどうかも無関係。

拡大されたプライバシー情報

人単位で異なる会員IDやユーザー名、Emailアドレスは当然として、デバイス毎に固有のIPアドレスや、Cookieに保存されるブラウザ毎に固有のオンライン識別子（GAのClient IDやAdobe Analyticsのvid, mid, ecid）も対象になります。昨今は分析に限らず、ターゲティングやA/Bテスト、接客、LPO、EFOなど多くのツールが固有IDをCookie保存するので、要注意ですね。

つまり、EU（EEA）に拠点や現地法人を持たない日本企業のサイトであっても、EUからアクセスできる公開サイトに、お問合せやメルマガ購読のような名前やEmailアドレスを入力するフォームを設置したり、GoogleアナリティクスやAdobe Analytics（やCookieに固有IDを保存するマーケティングツール）を一つでも導入しているだけでGDPRの規制対象になる、というのが今のところの私の理解です。

データ主体、つまりWebの訪問者に与えられる権利

EU（EEA）内の個人は、企業へ提供する自分の個人データについて

• 取得されることを拒否する権利（同意）
• アクセスする権利（内容確認・修正）
• 消去する権利（削除）
• 持ち運ぶ権利（エクスポート）

が保障されます。

では、どう対応すべき？

立場によって異なります。

Webの運営者（事業会社・団体）

Webの運営者（事業会社・団体）は、データ管理者 (Controller)として、次の対応が必要になります（アナリティクス関連のみを抽出）。

• 事業に必要なデータの用途と処理過程を定義する
• それを訪問者へ分かりやすく説明する（プライバシーポリシーやCookieポリシー、入力フォーム掲載ページで）
• GDPRに対応できる体制やルール、機能を持ったツールや委託先を選ぶ
• データ取得と用途について、訪問者から事前の明示的な同意を得る
• 訪問者からデータの確認や削除要求を受けた場合は対応する
• 目的達成に必要な保管期間を過ぎたデータは削除する

データの保管を請け負うツールベンダー（GoogleやAdobe）

データの保管を請け負うツールベンダー（GoogleやAdobe）は、データ処理者 (Processor)として、次の対応が必要になります（アナリティクス関連のみを抽出）。

• データをセキュアに保管・処理する
• GDPR対応に必要な機能を実装する
  • 指定IDのデータを表示・エクスポート・削除できる機能
  • 用途に不要なデータの匿名（仮名）化
  • 保管期限を過ぎたデータの自動削除機能　など
• 利用規約をGDPR対応にする

Googleはデータ処理者としての責務を果たしているだけ

という状況の中で、GoogleはGoogleアナリティクスの自動データ削除を実装し、メールで管理者へ通知しました。

それだけに反応して「データが消えると困るから無期限にしよう」「変えるのは危険だからデフォルトのままにしておこう」と近視眼的に対応するのは、どちらも不正解です。

アナリストやコンサルタントがすべきこと

分析を請け負ったアナリストやコンサルタントは、データ処理者として、委託を受けたデータやアカウントをセキュアに管理し、必要がなくなったら削除する必要があるのは当然として、要注意なのは、制作や集客などの受注ついでに無料だからとGAを導入した場合ですね。クライアント企業が状況やリスクを把握できていない可能性があるので、誰が導入して誰が利用しているのかに関わらず、運営企業にはGDPR対応の義務とリスクが生じることを説明する責任があります。

コンサルタントとしては、「こうしないとダメ」という指摘だけではなく、法務と連携し、対応方針策定や必要なツール選定と実装、運用プロセスの構築まで踏み込んで提案や対応するケースもあるでしょう。対応できない、する価値がない場合は、タグやデータを削除する、という決断も必要です。

Webの制作や分析を受託した企業や個人事業主がすべきことをまとめます。

プライバシーポリシーやCookieポリシーの更新を手配する

規約の文面は事業会社が主体となって法務部門や専門家に作成を依頼する必要がありますが、その必要性の説明や、ツールが取得するデータに関する情報提供、フッタからの確実なリンク設置の手配や確認は可能ですね。

実は、Googleアナリティクスの場合、その利用規約の中で、導入企業はプライバシーポリシーにおいてGAについて追記することを求めています。

お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても必ず開示するものとします。この情報の開示は、「ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用」のページ（www.google.com/intl/ja/policies/privacy/partners/ や、Google が随時提供するその他の URL）へのリンクを目立つように表示することで実施可能です。お客様は訪問者の端末上での Cookie やその他の情報の保存や、そうした情報へのアクセスについて、そうした行為が本サービスに関連して発生する場合、およびかかる行為に関する情報の提供と訪問者からの同意が法律で求められている場合は、訪問者に明確かつ包括的な情報を提供し、同意を得るように商業上合理的な努力を払うものとします。

Googleとしては責任を逃れられるように規約を定めているだけなので、違反しているからとGoogleから訴えられることはないと思いますが、GDPRをきっかけとして、主体的かつ本質的な対応をしたいところです。

特にCookieに関しては、個別のCookieごとに用途や内容、保管期間を列記した詳細表を含むCookieポリシーを別途定める企業も存在します。事業会社がこのCookieポリシーが必要と判断した場合、ツールのベンダーやその導入を提案した代理店、コンサルタントは、必要な情報をまとめて事業会社へ提供する必要があるでしょう。

お問い合わせやメルマガ購読など、個人データを含む送信フォームを含むページを制作する場合は、どんなデータを何のために取得し、どう扱うのかの説明を入力フォーム付近に記載することも漏れなく提案し、実現しましょう。フッタからのリンクだけでは不十分です。

オプトアウトの方法を説明する

プライバシーポリシーの中でオプトアウト方法を説明し、それが可能なページにリンクすることが多いようです。ツールによって方法やリンク先が異なるので、その方法を整理して伝えましょう。

• Adobe Analyticsの例（企業によってリンク先ドメイン名が異なる）
• Google Analyticsのブラウザプラグイン
• DAA Consumer Choice
• など

データ取得の同意を得るUIを実装する

2018年に入ってから、英語のサイトは次々に導入を進めています。サイトを初めて訪問したときにページの上や下にオーバーレイ表示されるアレです。

JavaScriptで自作しても良いですが、実はこの同意を管理するソリューション（Consent Manager）が数多くリリースされています。

この中ではOneTrustとCIVICとiubendaが無料プランを提供しています。このページでは、CIVICのCookie Control V8を試験導入しました。詳しい解説と実装方法は別の記事をどうぞ。OneTrustは駆け込み需要で忙しいのか、審査待ちのまま2週間を過ぎてもアカウント発行の連絡がありません…。

データ取得ツールをオプトイン対応する

同意を得るUIを実装したら、その結果に応じてアナリティクスの計測を停止する必要があります。タグマネージャーで対応するのがおすすめ。詳しい方法は別途記事を書きます。

不要な個人データは取得停止や匿名化する

これを機に、事業の運営や改善のために不要な個人データは取得をやめることを検討しましょう。

• カスタムディメンションやユーザーID:

  Client IDや会員IDを取得している場合は、その必要性を再検討します。

• ページのURLやタイトル:

  ページのURLやタイトルにEmailや会員IDが含まれていないか確認し、サイトを修正します。

  サンクスページなどで動的にIDやEmailアドレスをURLクエリパラメータに付与していると、それがアナリティクスによって計測されてしまいます。知らない間に個人データを計測していることもあるので、今すぐ確認を。

  参考：個人情報（PII）を送信しないようにする方法 - GA公式ヘルプ

• IPアドレス:

  ドイツなど厳しい国では、GDPR施工の前からIPアドレスの取得がNGでした。

  GoogleアナリティクスやAdobe AnalyticsにはIPアドレスを匿名化する機能があるので、それを有効にします。

  参考：GDPR対策のためにGAとAAのIPアドレスを匿名化する方法。

保管期間を過ぎたデータは削除する

目的を達成するために合理的に必要となる保管期間をツールごとに定めて、それをプライバシーポリシーで訪問者へ説明してから、自動削除機能があるツールに関しては、その設定を行います。

Googleアナリティクスの場合、まずは期限設定機能がリリースされましたが、細かい制御はできません。

Adobe Analyticsの場合は、設定期限後の自動削除に加えて、どのデータが個人データに該当するのかを区別するためのラベル付け機能と、訪問者が自分のID（オンライン識別子）を調べるためのJavaScriptライブラリ、要求を受け付けた運営会社が特定IDの訪問者に関するデータをエクスポートや削除するためのAPIもリリースされました。APIなので、それを使った管理画面は自作する必要があります。Googleも追従して、このような機能をこの後リリースすると思われます。

個人データの確認や修正、エクスポート、削除の依頼に対応する

実はこれが一番難しいです。例えばFacebookの場合、設定画面の中に、自分に関するデータを全てダウンロードしたり、全て削除する機能が含まれています。

アナリティクスの場合は完全自動化が難しいので、プライバシーポリシーの中でリクエスト方法について説明し、そのリクエストを（書面やメールやフォームで）受け取った場合にデータの抽出・返信や削除を個別対応する運用プロセスを作ります。

顧客視点の積極的な対応を

結局、何をどこまで対応すべきか？については、企業の状況や経営方針、法務的な考え方にもよるので、Web運営主体である事業会社は、総合的かつ継続的に判断をし、方針策定、体制やプロセスを構築し運用していく必要があります。同様に、分析やマーケティングや制作を請け負うアナリストやコンサルタントも、データやツールに関する情報を調べて提供したり、サイトの改修やツールの設定変更、運用や管理プロセスの変更を行うなど、GDPR対策に関わる必然性があります。

このGDPRが強化を目指すプライバシー保護の観点について、日本におけるレガシーな個人情報保護の延長として受け取ってしまうと、「法務に任せておけば良い」「マーケティングでは匿名データしか使わないから関係ない」と他人事になりがちです。しかし昨今のプライバシー保護の流れは、アドテクノロジーが進化した結果、個人に関するデータが一人歩きし、個人の意図に反する形で利用されてしまうことへの大きな懸念に起因します。そのような背景から、個人の権利に立ち返り、自分のデータに関するコントロールを取り戻すという善意に基づいたプライバシー保護の流れは、世界的なものであり、そして今後止まることはないでしょう。GDPR施行の後も、日本の個人情報保護法が改正されたり、USの法律もきっと変わっていくはずです。「GDPR対策のため」「リスクを回避しないと」といった偏った受け身のスタンスではなく、お客様の視点で心地良い顧客体験を提供するためには、何が必要なのか、その方針や伝え方、要求への対応方法などを予め検討して実現することができれば、お客様からの信頼を高めることができるでしょう。

最後に

以上、調べて分かったことと現時点の私の見解をまとめました。

このページは急いで作ったので、間違いや漏れがあるかもしれません。そもそも法律自体が曖昧なので、前例や判例が増えながら徐々に定義が固められていくはずです。随時修正や追記をしていきます。

なお、情報は圧倒的に英語のサイトの方が多いので、なるべく一次ソースに近い情報を英語で読むと良いでしょう。アナリティクスに関しては、GoogleよりもAdobeの方が丁寧で迅速な情報提供やサポートをしているので、GAしか使っていない場合でも、動向をチェックしておくのがおすすめです。

• 参考：GDPR and Your Business | Adobe Privacy Center