GDPR以後のインターネットとヨーロッパに拠点を持たない会社の対応方法について

453件のシェア(そこそこ話題の記事)

先週米国下院で行われたFacebookのマーク・ザッカーバーグCEOへの公聴会で、氏はGDPRはインターネットにとってポジティブなステップだとコメントし、欧州以外でGDPR水準の個人情報保護を拡張するつもりはないという従来の見解を自ら覆しました。

Zuckerberg: GDPR will generally be a positive step for the internet from CNBC.

先立って行われた上院での公聴会では質問者の上院議員のITリテラシーの低さから平謝りと自己弁護に終始してまるで実りがなかったのに対し、共和党、民主党ともに何名かの下院のタレントを揃えて臨んだ同会はGDPRに関する言及が多数あり、Facebookの具体的なポリシーと戦略が披露されました。

規制対策以上の、GDPR以前と以後のインターネットという大きな変革が企業に求められるのは明白です。

GDPR以後のインターネット

先週のブログ記事に欧州に恒久施設(PE)を持たない会社もGDPRの当事者になるということを書きましたが、後述する個々の対応策は存在するものの、既存システムやオペレーションの変更を最小限にとどめてアドオンとツールのみで回避策を求めるやり方は中長期的に見て正しくありません。GDPRは対応策を提供するSIerやコンサルティング会社のゴールドラッシュではなく、変革に主体的に正しく適応できた企業に最終的な利益をもたらします。

ユーザーエンゲージメントの変化

企業にとって最も大きく変化が求められるのはマーケティングです。広告とウェブサイトのトラフィックからセールスファンネルを経て売上を獲得するまでの流れに制限がかかる一方、情報提供合意の成立が早まるため、リードの品質向上と従来までのマスマーケティングコストが削減できるようになります。

企業側に求められる 欧州在住者から組織で管理しているその人の個人情報の所在、取得目的、共有先、どうプロセスされたかの開示、そして削除を求められた時、適時的確に対応できるか、また取得時に明瞭な合意を取っているか は、インターネットで個人情報をコントロールする権利と手段が常にユーザー側にあるということで、ユーザーもまた閲覧する情報や利用するサービスに強い当事者意識を持たなければならなくなる必然性があります。そのため広範囲に展開していたターゲット広告の対象とテクニックがリセットされ、また効果測定手法が簡素化されます。

GDPRは欧州在住者の個人情報保護を欧州内外に等しく対応を求めているので、欧州にPEがなく市場として開拓できていなかった会社は、リセットされた競争環境の中でマーケティングを行い、今までにはなかった強いユーザーエンゲージメントが獲得できるチャンスになりえます。

また、近年特に金融分野に要求されているKYC(Know Your Customer)原則はデータ保護との両輪で、収集するデータのPrivacy by Design化を加速させることで、企業とユーザーの新しい信頼関係を構築する展望が拓けます。

事実上の市場アクセス権と基準の国際展開

GDPR下におけるEEA域外への個人情報の移転は厳しく制限されており、1995年のデータ保護司令のスキームでEUにデータ移転に関する十分性認定(Adequacy decisions)を受けた国も、カナダをはじめとして規制に追従するための新たな立法を迫られています。特に米国は2016年に国としてのセーフハーバー制度が無効とされ、個別企業へのプライバシーシールド認定に切り替わるため、対応のための手数は十分性認定を受けていない国の企業とほぼ同等です。

日本は昨年の日欧EPA合意の中で十分性認定に向けた取り組みが進んでいますが、あまり楽観できる状況ではなく、また仮に十分性認定されたとしても第三国へのデータ移転を含めデータ流通とプロセスの整備と監査可能性の実装をおろそかにできるものではありません。

GDPRは欧州単一デジタル市場(DSM: Digital Single Market)へのアクセスの必要条件として事実上機能し、その基準を世界の国と企業に迫るものになるため、域外でも早期の順応が将来の競争力強化に繋がります。

データ分析のクリーンルーム化

GDPRの仮名化要件(Pseudonymization)は、データを統計化する際に個人情報アセットを明確に分離することを示します。仮名化が達成されていないAll You Can Eat(食べ放題)状態のデータは、ビッグデータとして使用できません。ビッグデータの最小化というのは語義矛盾に聞こえますが、これもPrivacy by Designのアプローチで、データ品質の向上と表裏一体です。

次項でGoogle Analyticsを例に収集データの選別と管理の具体的な手法を紹介します。

EEA域外企業におけるWebサイト、Webサービスの対応策

GDPRで保護される個人情報はEU市民に限らず、EEAに存在する全ての人を対象としています。私のような定住している外国人はもちろん、日本からヨーロッパへの旅行者でさえ対象となるため、ほぼ全てのWebサイト運営が準拠を求められます。では、ヨーロッパにPEを持たない企業は何をすればいいのでしょうか?

EU代理人の選定とDPOの任命

ヨーロッパにPEを持たない企業は、原則としてリエゾン業務を行うEU代理人の選定が義務付けられています。以下に例外がありますが、なんとか自社を例外に当てはめて回避する事は、上述の理由から推奨できません。

  • 処理頻度がごく散発的である。
  • 人種、政治的・宗教的思想、所属組織、遺伝子・生体情報、健康状態、性生活、性的指向を一切取得せず取り扱わない。
  • 自然人が持つ権利を規模、目的、文脈を考慮した上で侵害する可能性がない。
  • 公共機関である。

EU代理人とはGDPRの法的な責任を依頼組織に代わって負うのではなく、EU内の窓口として個人情報請求や監督機関とコニュニケーションをとる人物です。法律やITの専門家である必要はありませんが、所在国の総務に慣れていなければなりません。リエゾンを得意とするアウトソーサーや、システム構築やコンサルティングを請け負った会社から選定するのが一般的で、監督機関への届出義務はありませんが、文書化しておく必要があります。

Webサービスやアプリケーションを提供している会社は、そのビジネスの規模、性質によってはさらに法的責任を負うDPO: Data Protection Officerの任命が必要になるケースがあり、任命しない場合は任命しない理由をアセスメントの結果をもとに文書化しておかなければなりません

DPOは各国法により以前から設置義務があり、ドイツでは従業員10名以上の会社はDPOを任命し監督機関に届ける必要があります。業務の広範囲を理解し監督責任を果たすDPOの人材源は慢性的に逼迫しているため、PEを持たずに広くヨーロッパでサービスを提供している企業にとってはその人選は厳しく、監査法人系のコンサルティング会社を頼る以外の方法はあまりありません。

保護される個人情報スコープと段階

GDPRで保護されるWebサイトの典型的なスコープは下記の通りです。

  • 古典的データ。主にユーザーが能動的に入力して収集されるもの: 個人名、住所、電話番号、メールアドレス、誕生日、誕生地、IDカードの番号、職場、学校、学歴
  • Webのデモグラフィ。主にサイトの機能として収集されるもの: ソーシャルメディアアカウントとそのポスト、サイトの操作で発生するメタデータ、位置情報、IPアドレス

IPアドレスおよびWebサーバーのログに残るユーザーの行動情報は文脈によっては対象から外れますが、原則は対象となると考えるべきです。IPアドレスはISPの情報と結合しないと位置情報や契約者住所といった属人化に結びつきませんが、ただ単に検索からサイトを訪問したとしても、事後的に問い合わせフォームなどから情報を入力するとマーケティングツールを使って過去に遡って属人化した情報を容易に辿れるからです。

Webサイトのユーザーエンゲージメントの段階は以下のように分類できます。

  1.  全く合意のないサーファー
  2.  基本的な合意をとったユーザー
  3.  古典的データを提供、ないしはそれをもとにログインしたカスタマー

1.については一切の行動記録を保持できず、JavaScriptなどで提供されるサードパーティーツール、特にすでにログインしているサービスに行動を送信してしまうソーシャルメディアウィジェット、アフィリエイトや埋め込みコンテンツをロードすることもできません。これは上述したターゲット広告戦略のリセットを意味し、またサーファーのトラフィックから収益を得ているようなWebサイトは根本的なビジネスモデルの再設計が必要になります。

Webサイト運営のエンゲージメントはまずは2.を目指し、サードパーティーツールを動作させ、3.に至った情報を安全確実に管理していきます。

明確な合意の獲得

Webサイトの使用に関する運営者とユーザー間の合意は、ローカルストレージサービス、端的にCookie同意を中心として成立させます。日本の多くのWebサイトに採用されている形式的な一行説明とOKボタンのみの表示では全く不十分で、Google Analyticsを抱えるGoogleはインダストリースタンダードを提示しています

その中で最低限の宣言文として欧州委員会謹製のキットが紹介されていますが、これはあくまで宣言のひな形なので、使用しているストレージのプロバイダ、ロケーション、目的といった個々の情報を表示し、ユーザーに選択させる余地がありません。

クラスメソッドヨーロッパのサイトは、ePrivacyソリューションのCybot社が昨年リリースしたCookiebotマネージメントツールを使用しています。

Webサイトに組み込まれているローカルストレージの使用領域予定をあらかじめスキャンし、期間と目的を自社のGDPR内部統制ポリシーに合わせてユーザーが選択的に同意できる合意文書が自動生成されます。またWebサーバーのログと合わせて可視化レポートがサポートされているため、事後(Reactive)ではなく、事前(Proactive)のGDPR行動規範を助けます。

クラスメソッドヨーロッパは欧州域外でCookiebotを使用する企業のためのローカリゼーション、および主にAWSユーザー企業のための再販を行うパートナーシップをCybot社と締結しています。

Google Analyticsとサーバーログの見直し

先週、Google AdWords/AdSenseとAnalyticsのユーザーにコンセントポリシーの改定が通知されました。これに伴ってユーザーがすべきことは二つです。

  •  Google Analyticsの設定変更
  •  内部統制との整合性検証
Google Analyticsの設定変更

1. Googleに送信するデータの制御

あらゆるデモグラフィを含むGoogle Analytics側のフィルタ機能で送信データをフィルタするのは非効率かつ不正確です。Webサイトのコードレベルでの送信停止を行うため、ページのURL、タイトルをチェックし、古典的データが含まれていないかをチェックします。典型的なのはHTTP GETリクエストのクエリストリング(URLの?以降)にuserやemailがパラメタとして含まれているものです。

2. IPアドレスの匿名化を有効にする

Analyticsのレポートを見る限りIPアドレスは表示されませんが、Googleはジオロケーションを提供するために受け取ったIPアドレス情報を使用しています。anonymizeipを設定することでIPアドレスの末尾が送信されなくなり、ジオロケーションの精度はやや落ちますがGoogleにフルのIPアドレスが記録されなくなります

3. 識別子の仮名化をチェックする

Google Analyticsの識別子仮名化はすでに達成されていますが、下記をチェックしておきます。

User ID: 英数混じりの無意味語になっていて、メールアドレスなどのPlaintextになっていないこと。

Hashed Data: そもそもメールアドレスはポリシーとして送信すべきではありませんが、どうしても必要な場合はSHA256でハッシュ化されていること。

Transaction ID: トランザクションID自体は仮名化情報ですが、他のリンク先の情報と結合することで属人化します。User IDと同じく無意味語になっていること。

内部統制との整合性検証

1. Google Analyticsの設定内容をプライバシーポリシーかCookieポリシーに反映させる

ユーザーへの透明性を提供するため、プライバシーポリシーでGoogle Analyticsの設定内容を説明します。Cookieポリシーの宣言文に盛り込む場合は、Cookiebotのスキャンレポートで自動的に設定が反映され、文書化されます。

2. サーバーログのリテンション期間を内部統制上規定する

ユーザーのサイト内行動が属人化して同定できるものは、内部的にリテンション期間を定めます。そもそもWebサイト運営や監査に必要のないログは収集、保持せず、監査目的のデータアーカイブは暗号化し、鍵で管理をします。

3. 選択的Cookie同意を作成する

Google Analyticsへの情報送信を単なるOKボタンの設置ではなく、選択して同意できるように設計して作成します。

古典的データの収集方法の見直し

サインアップや問い合わせの過程で古典的データを収集する場合、フォームの多くは初期設定でGDPRに準拠できていません。例えばPardotのフォームはフラグを立てない限り欧州在住者の個人情報を他のデータと同じデータストアに送信してしまいます。オプション設定して欧州のIPアドレスレンジからの受信の扱いに配慮する必要があります。

散発的でなく、確実に欧州在住者の利用が想定される場合は専用のデータストアやSaaSを欧州域内に設けることを検討します。また、クエリストリングでの古典的データのパラメタ受け渡しは禁止し、全面的にPOSTメソッドを使用して取り扱います。

 

いかがでしたでしょうか。欧州内でデータ保護司令やGDPRに対応してきたクラスメソッドヨーロッパはPEを持たない企業にも何かしらの知見を共有することができると願っていますので、こちらからお問い合わせください。