WebサイトのGDPR対応用パッケージを作ったので、GDPR準拠のランディングページを作ってみた

374件のシェア(そこそこ話題の記事)

GDPRの施行が迫る中、いくつかの著名サービスがGDPRの趣旨を正しくとらえずに回避する手法で不誠実に対応していると批判されています。 例えばTwitterは、広くソーシャルログインを提供しているにも関わらずユーザーのローカルストレージの使用に選択権を与えず、複雑なプライバシーポリシー文書とともに「嫌なら見るな」「見ているということは合意したことだ」という旧態然とした運用を行なっているためこの批判を浴びています。

ベルリンからアクセスしたTwitter。上部の注意書きを無視して操作してもCookieがローカルに設置され、通常通りサービスが利用できる。

ドイツおよびヨーロッパのデータ保護やセキュリティ標準を多く作り出してきた DSK: Datenschutzkonferenz は、今年4月にWebトラッキングはオプトアウトではなく明確にオプトインで実装せよと声明を出しています。

9. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking- Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

9. あらゆる状況で、データ主体の行動やプロファイルを作成するトラッキングを使用する場合は事前合意の手段が提供されなければならない。 これはGDPRが求めるインフォームドコンセントが、処理を開始する前に宣言や合意形成が完了していなければならないことを意味する。典型的には、ユーザーデバイス内に設置し情報の収集を行うCookieがこれにあたる。

GDPR施行後、実際に摘発に当たる監督局となるバイエルン州データ保護局(BayLDA)は、非公式に監査リストを公開しています。クラスメソッド・ヨーロッパはこれを英語に抄訳していますのでご参考ください。

欧州コンプライアンス特集で、欧州内オフィスでの個人情報保護欧州内にPEのないWebサイト(Google Analytics)の取り扱いと、GDPRの理念の解説とそれに基づいた対応手法を紹介してまいりましたが、今回は実際にWebページを作って細部を詰めてみます。

クラスメソッドヨーロッパは、これら一連のWebサイトの対応手法についてパッケージ化して提供を開始しました。

ランディングページの想定と要件

実際に運用するGDPR特集ランディングページを作成するのですが、わかりやすくするために以下の想定をしておきます。

  1.  日本語を中心にコンテンツを作成するが、地域を限定してアクセスを制限することはしない。
  2.  問い合わせフォームは恒常的に欧州在住者も使用するとする。
  3.  イベント申し込みは日本のみを対象とする。

日本語を中心にコンテンツを作成するが、地域を限定してアクセスを制限することはしない。

コンテンツが世界に開かれている場合、当然GDPRの対象となる欧州在住者がアクセスできるため、オプトインのCookie合意、および合意の破棄手段を用意しなければなりません。今回はCookiebotマネージメントツールを導入し、デモンストレーションも兼ねてこの機能を欧州外のサイト訪問者にも提供します。

問い合わせフォームは恒常的に欧州在住者も使用するとする。

恒常的に欧州在住者のクラシックインフォメーションを収集する場合、そのデータストアの保全と文書化された内部統制での制御が求められます。

  •  欧州内のサーバー、ストレージに保存する。
  •  プライバシーシールド、およびDPAで文書化されたサードパーティーツールを使用し、データの所在を明確化する。

今回はクラスメソッド ヨーロッパがDPAを結んでいるHubSpotのフォームツールを使用します。またアドブロック等でフォームが表示されないケースを想定して、欧州内のサーバーに保存する自作フォームも作成します。

イベント申し込みは日本のみを対象とする。

イベント申し込みは日本のクラスメソッドが作成したPardotのフォームを埋め込んだページを使用しますが、これには現在DPAによる処理の文書化ができていないため、AWS WAFを使用して欧州在住者がページにアクセスすること自体をブロックします。

作ってみた

こちらが作成したランディングページです。

構成は下記の通りで、フランクフルトリージョンに設置したAmazon LightsailにWordPressを起こし、CloudFrontおよびWAFでエッジ制御しています。512MB RAM / 1 vCPU とサーバーは貧弱ですが、ほとんどのコンテンツはCloudFrontエッジにあるキャッシュから配信されるため、ランディングページとしては十分だと考えています。

WordPressテンプレートでLightsailを起動

Lightsailを使うと、今すぐ使えるWordPressサーバーが1分で用意できます。

 
いつの間にか日本語化されていました。 WordPressテンプレートを選択。 すぐ立ち上がります。

CloudFrontを構成

まず基本的なディストリビューションを作成し、SSL証明書、DNSの設定を終わらせます。

ヘッダーやCookie転送に注意してディストリビューションを作成します。 ACMでCloudFront用無料SSL証明書を取得します。 今回はRoute53ではなく、LightsailのDNS機能を使ってドメインのAレコード、証明書、CloudFrontのCNAMEを設定します。

 

ページを作成し、WAFでGeoリストリクションをかける

日本以外からのイベント申し込みページへのアクセスを遮断するため、WAFを使って地理情報とページのパスを正規表現で条件を作り、ルールをCloudFrontのディストリビューションに適用します。ランディングページのサイト全てをブロックするのではなく、サイトの中の /wakaru というパスのみを対象にする手法です。

 
 対象地域と対象パスをACLルールに含めます。  403エラーページに表示するメッセージをCloudFrontで指定します。  ベルリンからアクセスするとこうなります。

Cookiebotマネージメントツールの導入

オプトインのCookie合意を簡単に実装できるCookiebotマネージメントツールを導入します。WordPressにはプラグインが用意されているため、IDを指定するだけです。

Cookiebot IDを指定します。 スライドアップで選択的にCookie合意が得られます。 合意の撤回もプライバシーページから可能になります。

クラスメソッド グループで公開している全てのウェブサイトは、この適用が完了しています。欧州からコーポレートページにアクセスすると下のようよなスライドアップが出現します。

GDPRの理念と原則を貫く

正直、ここまでやる必要があるのか?という疑問が浮かぶかもしれません。欧州コンプライアンス特集で繰り返し言及していますが、GDPR以降のインターネットという変革は早晩EU以外でもスタンダードになりえます。回避的な手法よりも理念に沿って主体的に正攻法で取り組む方が、これからのカスタマーエンゲージメントを先取りできるとクラスメソッドは考えています。

というわけで、いくつかそれを手助けするソリューションを用意し、AWS Summit Tokyo最終日、6月1日に、ドイツから専門の弁護士を招聘して相談会を開催します。私はSummit期間中、ほとんどの時間クラスメソッドブースに立っていますのでお会いできれば幸いです。

クラスメソッドのGDPR特集