【情シス基礎知識】自社HPのGDPR対応で押さえておくべき5つのポイント
あなたの会社のホームページ(HP)はGDPRの対応がお済ですか? なんとなく気になっていてもアクションを起こしていないという方も多いのではないでしょうか。特にGDPRが適用されるかどうか、判断に迷い、今まで特に対策していないというケースも多いようです。
そこで今回は実際のHPを例に挙げ、GDPR対応のポイントについて解説します。
この記事の目次
おさらい:GDPRとは
GDPR(General Data Protection Regulation)は、EU一般データ保護規則のことであり、「EEA(European Economic Area)=欧州経済領域=EU加盟国28カ国に加え、アイスランド、リヒテンシュタイン、ノルウェー」の個人データ保護強化を目的とした新たなデータ保護法です。(参考:【情シス基礎知識】おさえておくべきGDPR対応)
欧州の話なので、一見すると「対岸の火事」のように思えますが、全世界とつながっているインターネットだからこそ、自社の企業ページにも影響するのです。
自社のWebサイトにGDPR対策は必要なのか
GDPRへの対応方法はいくつかありますが、本記事では情シスNavi.の運営元であるハイブリィド株式会社の企業ページを例に検討課題やその対応策を見ていきましょう。
対応の要否の判断
欧州データ一般指令は欧州(EU加盟国とEEA加盟国)居住者の個人データ(以下、欧州個人データという)を保護し、原則として欧州個人データの域外への移送を禁止し、一定の要件のもとにこの禁止を解除することができます。
そこで、まず確認することですが、
・自社HPには欧州居住者が訪問する
・自社のサービスが欧州居住者へサービスを提供するものである
これらのどちらかに当てはまるのであれば、自社HPはGDPR対応させておくことが必要と考えられます。尚、日本人であっても欧州に居住している方については「欧州居住者」とみなされますので注意が必要です。
また、ここで言う個人データは、個人を識別する可能性のあるすべての情報を指します。Cookieなどのように、自社HP訪問者が、気が付かないうちにに取得してしまう情報も個人データに含まれますので気を付けましょう。ちなみに国内の個人情報保護法ではCookieは適用対象とされていません。
実際は判断に迷う 迷ったらこれだけはしておく
図1.現状、ハイブリィドのHPはGDPRには未対応
<社内検討のポイント>
基本的に国内向けサービスとして日本語のみのページである。しかしながら、実際に欧州圏からのアクセスは全体から見れば無視できるほどであっても、ゼロでなければリスクは存在する。例えば、欧州居住者がたまたま採用情報を目にするなどは考えられないケースではない。実際に「そのようなケースがあったか」、「あったとしてどれくらいか」など、アセスメントして方針を決める必要がある。
このハイブリィドのようにサービスは国内向け、HPは欧州居住者も見るかもしれないという程度だと「対応しなくてもよいのではないか」と判断してしまい、対策していないという企業は多いのではないかと思われます。
このような場合、もっとも単純なのは「欧州のIPアドレスからのアクセスをブロックする」という施策をとって、そもそも自社HPをGDPRの非適用としてしまうことです。
そうまではしたくないという場合は、最低限、日本の個人情報保護法と、GDPRの共通する部分から手を付けておくことをお勧めします。
GDPRも、日本の個人情報保護法も、個人データに関するOECD8原則を下敷きにしてできている法令ですので、共通して対策の一部となるプライバシーポリシー・情報の訂正・削除要求先の表示は行っておくと安心できるでしょう。どのように作成し掲示すべきかを後述します。
~知っ得ワンポイント!~ OECD8原則
プライバシー保護と個人データの国際流通についてのOECDガイドラインで示されている8原則のこと。目的の明確化・利用制限・収集制限・データクオリティ・安全保護・利用目的等の公開・異議申し立て等の個人参加・説明責任と8項目の原則からなり、これらの原則を反映させたプライバシーポリシーを制定するのが実務的には一般的であり、法令順守の観点からも妥当です。
GDPR対応のための考え方とステップ
欧州圏からのアクセスブロックという方法以外には、どのような対処方法があるか見ていくことにしましょう。
1)個人データの取得場面の特定
自社HPにおける個人情報の取得の場面の特定ですが、典型的なものとしては、以下のような場面が考えられます。
・問い合わせフォーム
・アンケート
・メールアドレスの記入フォームなどの訪問者が書き込むページ
・Cookie
これらの他、IPアドレスを取得する技術も、個人データの取得場面となります。また最近ではチャットボットで個人データを取得するということもあり得ますので、自社HPでの取得場面はくまなく特定しましょう。
これらの取得場面を特定することは、GDPRの具体的対策でもあります。
・個人データの最小限度性の確保
・個人データ廃棄サイクルの確立
・個人データ取得の際のオプトインの確保
これら3つのアクションをとるために欠かせない情報です。
2)個人データの最小限度性の確保
個人データ取得場面の特定の後に行うことは、自社HPにて個人情報を取得・保有・利用するのを最小限にとどめておくことです。
GDPR第5条には企業が取得する欧州個人データは、最小限のものであることが要求されていると同時に、同指令違反のリスクは、個人情報の利用が量的に多ければ多いほど可能性が高くなるものと考えられるからです。
個人データは企業活動上、重要なものです。営業活動や統計データとして開発の参考にすることなどもあるでしょう。しかしながら、時代の変化もあり、個人データを持つことがリスクにもなる時代になりました。故に目的達成のために必要最低限な項目だけにとどめるという取捨選択が必要となっています。なくても困らない、あるいは機能していない不要なフォームがあるなら可能な限り削除しましょう。
また、自由に記述できるコメント・ご意見欄などのいわゆる「フリーフォーム」も、個人データを取得する可能性を広げると同時に、GDPRで欧州居住者からの取得が全面禁止されている機微情報(暴露されたら個人の差別につながる情報。政治信条・性生活・保険関係情報など)が書きこまれてしまう可能性もあります。
「フリーフォーム」を全く使わない、というのは現実的ではないですが、記載するべき情報をテンプレートにする、記載目的を明確にするなどの対策をしておくほうが良いと思われます。
図2. ハイブリィドHP合わせフォーム
<社内検討のポイント>
現状フリーフォームとしている問い合わせにカテゴリー/サブカテゴリーを付けるなど、テンプレート化することで、もう少し書き込まれる情報を絞り込めないか。例えば、問い合わせの目的を選択式にするなど工夫をしてもよい。また、取得している情報はどう保管利用廃棄しているか、情報のライフサイクルも洗い出しの上、対応の検討が必要である。
また、取得して保有したデータについて、利用する部分以外は、匿名化をしておくなどの施策も、最小限度性の確保に有効です
3)個人データの廃棄サイクルの設定
最小限度性の確保という観点からも自社HPにおいて取得した個人データの廃棄方針についても、決めておく必要があります。取得した情報を使い続けるのは、オプトイン(Opt-in)=利用者の同意をしていないリスクがあると同時に、企業内に最小限とは言えないデータを持つことになります。
さらに、情報管理ツールを利用するなどして、保有する個人データは、利用の有無にかかわらず、一定の期間が経過したら、自動で廃棄されるようにすることが推奨されています。
次の項で見るように随所にオプトインを要求するのがGDPRです。また、保有データの個別開示や訂正も要求され、原則として拒否はできないので、個別の対応は非常に手間がかかります。そこで、定型的に廃棄することや取得時にオプトインというやり方には合理性があります。
4)個人データ取得の際のオプトインの確保
GDPRに対応するには、個人データの移送・取得に際しては、オプトインが必要です。この同意は明示的な同意である必要があるので、「はい・いいえ」と表示するものの、デフォルトの状態を「はい」としては明示的な同意にはならないとされています。
各情報の取得場面で、ラジオボタンなどで同意をとるフォームの設置ができているか、Cookieポップアップを設置するなどして、個人データの取得の同意はとれているかが問題になります。
また、技術的に厄介なのは、Cookieに同意しない場合の取り扱いです。Cookieポップアップの設定ができていない、あるいは画一的に扱うことがどうしても難しい事情がある場合、問題になります。
そのような際には、「Cookieを利用した情報の取得に同意しない場合は、Cookieをオフにしてご利用ください。Cookieをオフにする方法はこちら。」といった記載で案内ページに誘導し、訪問者にCookieを切ってもらうことも有効な対策となります。
ただし、容易に設定解除することができないような案内では、データ主体の保護に欠けるとされGDPR上問題となりうることには留意が必要です。
5)プライバシーポリシーの整備・削除訂正受付の設置
プライバシーポリシーでは、個人データの利用目的・取得する個人データの種類・共同利用の有無・訂正削除要求の受付窓口を記載する必要があります。
図3.ハイブリィドHPプライバシーポリシー
<社内検討のポイント>
現状を見る限りでは国内法対応・最小構成のプライバシーポリシーとなっている。
OECD8原則で要求されるデータ主体の関与がポリシーに対する合意のみであるので、GDPR対応としては訂正・削除要求等ができることを明記、窓口の案内をすべきである。
ここで、GDPRにも対応しているプライバシーポリシーを参考として記載します。
注)あくまでもサンプルです。実際に自社のプライバシーポリシーを策定する際には、自社の業務内容や会社運営などを考慮して修正する必要があります!
■参考例
○○○○株式会社 (以下「当社」)は、 以下のとおり個人情報保護方針を定め、個人情報保護の仕組みを構築し、全従業員に個人情報保護の重要性の認識と取組みを徹底させることにより、個人情報の保護を推進致します。 ここでいう個人情報は、個人を識別する可能性のあるデータすべてを指すものとします。
個人情報の管理
当社は、お客さまの個人情報を正確かつ最新の状態に保ち、個人情報への不正アクセス・紛失・破損・改ざん・漏洩などを防止するため、セキュリティシステムの維持・管理体制の整備・社員教育の徹底等の必要な措置を講じ、安全対策を実施し個人情報の厳重な管理を行ないます。収集することのある個人情報の種類
当社はお客様から次の個人情報を収集することがあります。
名前・住所・電話番号・メールアドレス・当社のサービスへのご意見・ご感想・お問い合わせ内容のうち、個人を識別できる内容のもの個人情報の利用目的
お客さまからお預かりした個人情報は、当社からのご連絡や業務・イベントのご案内やご質問に対する回答として、電子メールや資料のご送付に利用いたします。個人情報の第三者への開示・提供の禁止
当社は、お客さまよりお預かりした個人情報を適切に管理し、次のいずれかに該当する場合を除き、個人情報を第三者に開示いたしません。
・お客さまの同意がある場合
・お客さまが希望されるサービスを行なうために当社が業務を委託する業者に対して開示する場合
・法令に基づき開示することが必要である場合個人情報の安全対策
当社は、個人情報の正確性及び安全性確保のために、セキュリティに万全の対策を講じています。 外部委託業者を起用して個人情報を処理される場合は、当該委託業者にこの個人情報保護方針を順守させます。ご本人の照会等
お客さまがご本人の個人情報の(1)確認、(2)訂正・追加・削除・データポータビリティ権の行使、(3)利用停止ないし同意の撤回(以下、「照会等」といいます)をご希望される場合には、ご本人であることを確認の上、対応させていただきます。 △△△△△からお問い合わせください。
尚、事案の個別の対応の際には、当社指定の書式・方法によって行わせていただきますので、あらかじめご了承ください。法令・規範の遵守と見直し
当社は、保有する個人情報に関して適用される日本の法令、その他規範を遵守するとともに、本ポリシーの内容を適宜見直し、その改善に努めます。
尚、当社はデータをEU個人データ保護一般指令のもとで保護されるのと同等の個人データの保護を行わない国・地域へのデータ移転は行いません。
個人情報の苦情および相談窓口
●●●●株式会社 個人情報管理責任者 □□ □□□
※ここで記載しているプライバシーポリシーは一例です。実際に作成する際には、自社の業務と照らし合わせた上で作成してください。
ところで、このプライバシーポリシーですが、「まだ自社では制定していない」という場合は、GDPR対応のものを作成しましょう。そうしておくことで、国内の個人情報保護法対策にもなります。同法によれば、実務上HPから個人情報を取得し利用する際には、個人情報の取得に関する利用方針を公表しておく必要があるからです。
この際にGDPRの適用云々の判断に迷うケースであっても、「対応しているのか」「対応するにはどうしたらよいのか」を考えてみることをお勧めします。また、GDPR適用が明らかに求められてしまう自社HPであれば、弁護士などの専門家に相談し、業務内容に照らした適切な書き方をチェックしてもらうのが無難ではないでしょうか。
まとめ
上記の通り、自社HPがまだGDPR対応をしていない場合、対応するかどうか方針を決定し、対応すると決めた場合は、前述の手順に従って検討し、未対応個所を補うことになります。工数もコストもかかることですので、冷静に自社の業態・業容にあった対策を改めて立てていくことが肝要です。
おまけ
自社のHPをWordPressで構築されている場合は、プラグイン対応で一括設定することも可能です。「WordPressでGDPRに対応する」と検索するとプラグインの紹介ページを数多く見つけることができますので、ご自分にあったものをお使いいただくのも良いでしょう。
また、WordPress 4.9.6からはGDPRに対応する為、「個人データをエクスポート(抽出)する機能と消去する機能」「プライバシーポリシーページの設定」が追加されています。これらを活用して対応することも可能です。
【執筆:編集Gp 村上 理恵】
