最終更新日:2023年9月11日 at 9:43 PM
当サイト(senris.com)のサーバー運営費用の捻出のために Google と契約し、システムに組み込んでおります Google AdSense * において、2018年5月25日にEUで施行された GDPR へ対応させました。
これに併せて、当サイトのプライバシーポリシーも改訂しました。
* Googleが提供している広告サービスであり、WordPress プラグイン「Site Kit by Google」を実装
GDPR (General Data Protection Regulation) とは、欧州経済領域(EEA)または英国(UK)のユーザーに広告を配信するすべてのパブリッシャーに課せられる「個人情報保護のための規則」ですが、サイトへのアクセスが日本からのものである場合は、基本的には不要となります。
しかし、欧州地域からのアクセスがあるサイトであれば、GDPR が適用されます。その場合、対象とするユーザーに対しては GDPRメッセージを表示させる必要があります。
なお、GDPR に抵触する場合は、事業者などへ罰金などの制裁が科される場合がありますので、日本国内の運用であっても、極力対応しておいた方が良いと思います。
senris.com は、この法律に基づき、個人データの取り扱いに関する方針を明確化し、プライバシーポリシーも改訂しました。senris.com は、ユーザーの個人データを適切に保護するために、GDPR で定められた義務を遵守しています。
GDPRメッセージの表示は、Google AdSense にログインし、「プライバシーとメッセージ」にて設定することができます。ログイン後の Google AdSense ホーム画面では、現在、以下のアラートが表示されています。
2024 年 1 月 16 日より、欧州経済領域(EEA)または英国(UK)のユーザーに広告を配信するすべてのパブリッシャー様は、Google の認定を受けた同意管理プラットフォーム(CMP)をご使用いただくことが必要となります。欧州経済領域と英国で広告を配信する際には、Google 独自の同意管理ソリューションを含む Google 認定の CMP をご利用いただけます。Google の同意管理ソリューションに関心をお持ちの場合は、まず GDPR メッセージを設定してください。
GDPR メッセージを作成する – Google AdSense ヘルプ
Google AdSense では、上記のアラートに記載された同意管理プラットフォーム(CMP)を利用することで、以下の手順により、簡単に GDPR メッセージを作成できます。
- GDPR の詳細
- GDPR メッセージを作成
- サイトにプライバシー ポリシーの URL を追加
- 含める同意オプションを選択
- GDPR アカウント設定を確認
- GDPR メッセージを公開
(公開済みのメッセージを変更するには、[プライバシーとメッセージ] に移動してください)
以下のギャラリーは、本サイトにおける GDPR メッセージの作成例です。なお、AdSense の「プライバシーとメッセージ」の設定において、CPRA(カルフォルニア州プライバシー権法)のメッセージ表示にも対応させています。
2023年9月9日時点において、EEA および英国からのトラフィック状況は以下の通りです。
GDPR の詳細(他サイトからの引用&再編集)
GDPR(General Data Protection Regulation)は、EUにおける「個人情報保護のための規則」であり、昨今のプライバシー保護気運の高まりにあわせて、2018年5月25日に施行されました。
GDPR は EU 域内(アイスランド、ノルウェー、リヒテンシュタイン含む)の個人情報の取り扱いに関する規則ですが、実は全世界の企業に適用される可能性があり、日本企業もまた例外ではありません。
GDPRにおける「個人情報処理」の定義
では、GDPRの要点を見ていきます。まず、GDPRにおける「個人情報」と「処理」について、具体的に見ていきましょう。
「個人を特定・識別できるあらゆるデータ」が対象
GDPRでは、名前や住所などEU域内の個人を特定・識別できるあらゆるデータを「個人データ(個人情報)」と定めています。該当する条文(GDPR第4条第1号)と、個人情報保護委員会による試訳は以下の通りです。
(1) 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
個人情報保護委員会「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU) 2016/679(一般データ保護規則)」
私たちにとって身近なところでは、以下のような情報が個人データと見なされると考えられています。
- 氏名
- 識別番号(マイナンバー)
- 位置情報データ
- クレジットカード番号
- パスポートの番号
- オンライン識別子(IPアドレス・Cookie)
Cookie や IPアドレスなども対象
注意しなければならないのは、日本の法律において単体では個人情報に該当しないデータである IPアドレスや Cookie 情報のようなオンライン識別子でも個人データの対象になる点です。
GDPRでは厳重に扱わなければなりません。たとえば、公式サイトで何気なくオンライン識別子を用いて情報を収集しているだけでも、GDPR違反となる恐れがあります。
収集・編集・送信による開示などあらゆる取り扱いが「処理」とみなされる
GDPR における「処理」とは、上記の個人データに対する収集・保存・編集・開示などのあらゆる行為をまとめたものです。EU域内の個人に関する情報を取り扱うことはすべて GDPR の対象となりうる、と認識しておけば間違いないでしょう。例えば、サーモグラフィカメラを利用し、建物に出入りする人の体温を機械的に測定する行為について、個人情報の「処理」であり、GDPR の規制対象であるとする裁判例があります。(Conseil d’État, 26 juin 2020, Caméras thermiques à Lisse)
日本の個人情報保護法的思考からは、首をかしげる決定かもしれません。しかし、このようにあらゆる個人情報の取り扱いが個人情報の「処理」に該当するのです。
GDPRに違反するとどうなる?
GDPR に違反すると、GDPR 83条4項 および 83条5項 によれば、
- 1,000万ユーロ(約12億円)以下の金額、または直前の会計年度における世界全体における売上総額の2%以下の金額、もしくは、いずれか高額の方の制裁金
- 2,000万ユーロ(約23億円)が以下の金額、または直前の会計年度における世界全体における売上総額の2%以下の金額、もしくは、いずれか高額の方の制裁金
以上の制裁金が、義務違反のケースに応じ、事業者等に対して課されます。
プライバシーポリシーの更新
以上の事を踏まえ、Google AdSense において、 GDPR メッセージの作成と併せ、当サイトのプライバシーポリシーを改訂しました。
プライバシーポリシーのページは、以下のリンク先にあり、日本語と英語のバイリンガル表示としています。
当サイトへの海外からのアクセス状況
参考までにですが、以下のギャラリーに当サイトへの国別アクセス集計を掲載します。それぞれ、Google アナリスティクス4ならびにサーバーログからの統計情報です。
昔は、サーバーをアメリカに置き、海外からのアクセスが非常に多かったのですが、現在に至っては日本を拠点としているため、海外からのアクセスが少なくなっている事が覗えます。
2023.09.11 追記
Google AdSense が導入されていない場合
WordPress において、Google AdSense が導入されていない環境で GDPR メッセージを表示させたい場合は、以下のプラグイン「Cookie Notice & Compliance for GDPR / CCPA」をインストールします。
