※このページの記事だけではGDPR対策がわからない場合、Eコマースのための「GDPR:一般データ保護規則」対策もご参照ください:2018/05/25 追記
■あなたは「26億円」払えるか?高額な罰則金の「一般データ保護規則:GDPR」
2018年4月中旬、Google社はGoogleアナリティクス管理者宛に
「 [ご対応ください] Google アナリティクス データの保持と一般データ保護規則に関する重要なお知らせ」
という日本語のタイトルでメールを送信しました。
※Googleアナリティクス上では
先日導入された新しいデータ保持の設定により、2018 年 5 月 25 日からのデータが影響を受ける可能性があります。設定をご確認のうえ、必要な変更を加えてください。
と表示されています。(2018/04/26追記 )
要は、いままでヨーロッパ各国でバラバラだった個人情報に関する法律をEUで厳格に統一(標準化)したから、Googleも準拠しますよ、というお知らせです。
この変更に伴い、Googleアナリティクス上のユーザデータとイベントデータの保持期間が少し変更されました。しかしSNSやネットでは「2018年5月25日以降、GDPR対応でアナリティクスのデータが消去される!でも、この設定で大丈夫!」といったバズ的な情報だけが独り歩きし、そこに潜むリスクが伝えられておらず「ちょっと危険だな」と感じました。
というのは、EU圏を対象とした「一般データ保護規則=GDPR(General Data Protection Regulation)」は、日本の改正個人情報保護法よりも厳密で、違反した場合「最大26億円(2018/04/22時点のレート:1ユーロ=130円で換算)」という高額な罰金というリスクが存在するシロモノで、場合によってはGoogleアナリティクスのデータを「永続的に保持」する設定がアダになる可能性もあるからです。
■26億円の制裁金リスクとは?
筆者が最初にこの罰則金額を目にしたのは、2016年の秋頃でした。たまたまヨーロッパ圏のクライアント様が数社いらして、過去20年で最も重いデータ保護法「GDPR(一般データ保護規則)」がEUで可決した、という知らせを受けたタイミングでした。影響範囲やら対応方法を調べてゆくうちに、前述の通り、違反した場合の制裁金がかなり高額で、最大で「企業の全世界年間売上高の4%」か、「26億円」のいずれかの「高い方」が制裁金として採択されると記載されていました(GDPR 第83 条5)。売上の4%といえば、平均すると約2週間分の売上です。今の日本のEC専業企業で、2週間で26億円を売りあげるサイトはなかなか無いでしょうから、問答無用で「高い方」の「26億円」が採用される、という文面です、これは恐ろしい。
「全世界」年間売上ということなのでグローバル企業や某米国巨大企業に対する威嚇なのか、本当に中小企業を巻き込むつもりなのか、判例も無いのでなんともいえませんが、ここ数年、この分野の専門家、特にヨーロッパ圏の弁護士等の意見をGoogleAlertなどで収集してきましたが、日本の中小企業も対象になる可能性がある、金額の上限が一般企業にもあてはまるかはまだわからない、というのが2017年末時点での主な見解でした。執筆段階の2018年4月段階でもあまり大きな変化は見られず、不明な点も多くありますが、ひとつだけ言えるのは、「無思慮にアナリティクスの設定だけを変更しておけばひと安心」というものではなく、自社が本当に「一般データ保護規則(GDPR)」の対象外なのかどうかを確認しておく必要があるわけです。
■Googleアナリティクスの影響範囲とGDPRの対象を正しく理解する
そもそも、Google アナリティクスの「一般データ保護規則(GDPR)」の準拠対応で、全データが消去されるということはありませんし、ほとんどの環境ではそのままでも影響を受けることはないでしょう。
図:Googleアナリティクス上のデータ保持期間に関する記述
あくまで対象データは「User-ID」機能(これだけではありませんが)などを伴うなどする「ユーザー単位」や「イベント単位」のデータですし、それらデータから26ヶ月以上、つまり約2年を大幅に超えるユーザのCookieやユーザID、広告IDなど「ユーザ単位」の行動をアナリティクス上でトラッキングして統計的に有意な結果が得られるシーンは限定的だと思います。
図:GoogleアナリティクスのUser-ID機能の設定画面
事実、約2,000以上のサイトのアナリティクスを見てきた筆者の印象では、「ユーザ単位のデータ」を使って「厳密に」解析できていらしたケースですら極めて稀です。ただ、あればあったで緻密な検証ができる機能なので、時として便利ではありますが、ほとんどのECでは、18ヶ月あたりが関の山かな、とは思います。
その一方で、現時点では、「日本の企業」という条件だけでは今回の「一般データ保護規則(GDPR)」に「該当しない」とはいえず、長期間、必要以上の個人情報をアナリティクス上に保有しておくというリスクは考えものです。とはいっても、まずは一旦、アナリティクスのユーザ・データの保護を優先しておきたい、というのがおおよそのご意見だと思います。その場合は、アナリティクスにログイン後に、画面左下の歯車アイコンの「管理」から、プロパティ→トラッキング情報 → データ保持→ユーザーデータとイベントデータの保持→と進みます。デフォルトでは、データ保持設定の保持期間は26か月で「新しいアクティビティでリセット」はオンの状態なので、これを、「データ保持期間」を「自動的に期限切れにならない」とし、Googleアナリティクスのマニュアルに従うなら「新しいアクティビティでリセット」は「オフ」を選択しておくべきでしょう。あとは「保存」を押して、ユーザ・データの保存については、いったん一息つくことができます、が、本番はここからです。
本当に、日本企業にとってこの設定はリスクを産まないのでしょうか。
■経営トップが「知らなかった」では済まされない、うちの会社はGDPR対象?
そもそも、GDPRの対象はヨーロッパEU圏、厳密にはEEA(※)域内の話なので、日本国内向けのECサイトやウェブサービスであれば、ユーザーのデータを「永続的に保持」してもなんら問題無いように思われますが、以下のケースは日本でも「一般データ保護規則(GDPR)」の適用対象企業となる可能性が高く、違反した場合の「最大罰金26億円」を受けるリスクが出てきます。
1)EEAに子会社、支店、営業所などの拠点を持つ企業
2)EEA域内の企業から、個人データ処理について委託を受ける企業
3)EEAの消費者(※)に商品やサービスを提供する企業
※EEAとは:EU 加盟 28 カ国にノルウェー、アイスランド、リヒテンシュタインを含めた 31 カ国
※EEAの消費者とは:EEAの31 カ国の居住者だけでなく出張者や旅行者
上記のうち、1)2)の企業については、グローバル企業、日本国内の旅館・宿泊施設、越境EC、メーカー、カスタマーサポート、データセンター、決済システム会社などが該当しますが、すでに現地法人や担当者と相談しながら、対応を進めていらっしゃると思います。ということで、現時点で困惑されているのは、自社が、3)に区分されるかどうかではないでしょうか。
具体的には、日本企業のECサイトで考えうる対象条件として
・EEA域の現地通貨に決済システムが対応している(Paypal、AmazonPay、ApplePayを有する決済システム)
・EEA域が配送可能地域に含まれている(amazon.com や 越境ECモール)
・EEA域の国・言語にサイトが対応している(多言語対応システム・多言語翻訳システム)
などが挙げられます。適宜、利用サービス会社の担当者やGDPRに関するページを確認して、判断することが必要です。
例えば、「言語・商品配送先・サーバ・決済」すべてが「日本のみに特化」されたECサイトの場合は、EEA域内居住者やEEAからの訪日観光客が勝手に利用したならそれは対象外だろう、とする専門家の見解が現在のところ主なようです。一方で、同条件に加えて、日本国内の旅行業者がEEA域の日本人の顧客から国内への旅行手配を受注した場合はGDPRの対象となるとのこと。これもEU側の運用姿勢や、各企業側の受け入れ姿勢などで変化が予想されており、今後の判例や解釈、各専門家の意見などを加味してゆく必要があるようです。
いずれにせよ、日本はEUから見ると「適切な個人情報保護制度を持たない国」と分類されています。2017年5月に施行された日本の「改正個人情報保護法」で従来の個人情報の定義に加えて「個人識別符号(DNAや旅券番号など)」が追加されましたが、EUの「一般データ保護規則(GDPR)」では、日本でグレーゾーンとされる、CookieやGPS移動データ、IPアドレス、セッションIDなどのユーザ識別子も個人情報の定義対象です。つまりGDPRでは「クッキー=個人情報」なのです。
このハードルの高さ、ECやウェブサービスを運用する企業の経営トップなら「知らなかった」では済まされません。
■今からでも遅くない、自社がGDPR対象ならすぐ実行を。
このように、日本のPマークに準拠している、という程度ではGDPRの前にあっては瞬殺レベルです。国内ではグレーゾーンとして据え置きになっている技術的措置、たとえば、地域を判定できるIPアドレスやGPSデータを匿名化する、個人情報やGoogleアナリティクスの利用に対する同意ボタンをGDPRに準拠させる、アクセス解析や広告運用の計測パラメータやコンバージョンタグにGDPR基準でユーザを特定できる情報を含めないようにする、などの実装を考えると、今からでは正直間に合わない作業量ですが、対象となっている場合はやるしかありません。
もし本当に自社がGDPRの対象範囲であるとわかったなら「情報漏えい事故発生時の72時間以内の通知体制」など、日本の「改正個人情報保護法」とは異なる管理体制と運用ルールを加える必要があります。この点については、日本貿易振興機構(ジェトロ)さんが公開してくださっている『「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)』と『「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)』が大変参考になります。また「一般データ保護規則(仮日本語訳)」という日本情報経済社会推進協会さんが公開してくださっているPDFも必須文献です。これらを参照して「一般データ保護規則(GDPR)」の全容が把握できたら、「Googleアラート」で「GDPR lawyer」などのキーワードを設定して、徐々に自社に該当する「EEA加盟国の言語」や知りたい「必要ワード」を追加拡充してゆくことになると思います。また、前述の「実務ハンドブック(入門編)」を執筆されているブリュッセル在住の弁護士、杉本武重先生は日本で講演されることも多いこの分野のスペシャリストで、手探り状態の現段階でも本質的で示唆に富むヒントを与えてくださるので、関係者ならセミナーの機会があればご出席されることをお薦めいたします。
結論として、現時点では対象となる中小のEC日本企業は少ないと思いますが、今後はアマゾンやアップルなどのグローバル企業が提供する決済システムや多言語対応システムなどを導入するケースも増えてくると思います。知らず知らずに「一般データ保護規則(GDPR)」の適用対象だった、とならないよう、今回ご紹介したポイントを抑えておいていただければと思います。