記事米国の Web サイトの GDPR: 知っておくべきすべてのこと

公開: 2022-08-12

私たちのほとんどは、2018 年の GDPR 熱狂を思い出すことができます。欧州連合 (EU) とその新しい一般データ保護規則 (GDPR) に関する情報に圧倒された可能性は十分にあります。 この抜本的な規制は、2018 年 5 月 25 日に発効しました。

この記事のために最初に調査を開始したとき、「専門家」の情報源の多さに驚きました。 Google 検索エンジンの結果ページの上部に表示されるリンクの多くは、「公式」サイトのように見えます。

彼らは、お金を稼ごうとするコンサルタント向けのマイクロサイトを販売しているだけです。 これは広告にも当てはまりますが、オーガニックな結果も同様に説明できます。 これらのサイトの情報の中にはかなり良いものもありますが、ほとんどの場合、不完全であり、作成者の動機が不明です。

混乱と誤解を避けるために、私は唯一の信頼できる情報源である欧州委員会の Web サイトにアクセスすることにしました。 私の事実と推奨事項は、規則 2016/679 (GDPR) のテキストに直接基づいており、この記事全体で自由に引用しています。

規制のテキストに加えて、以下の「サード パーティの複雑化」セクションで、Google や Pardot などのサード パーティ サービス プロバイダーの声明を調査しましたが、これは、多くのクライアントが使用しているこれらの企業のサービスに関連する場合に限られます。

私の対象読者は、米国に本拠を置き、EU で何らかの形で事業を行っている企業 (公的および私的) の代表者です。 私の目標は、新しい規制に準拠するために企業の Web サイトで何をする必要があるかを彼らが理解できるようにすることです。

あなたの会社が米国外に拠点を置いている場合、あなたの会社は機密データ (医療記録など) を扱ったり、子供に関するデータを収集したり、政府機関または政府機関のサービス プロバイダーであったりします。

明確にするために、私は弁護士ではなく、ここにあるものは法的助言として解釈されるべきではありません.

GDPRとは何ですか?

EU 加盟国のプライバシー権は非常に高い水準に保たれており、データを収集する人々の負担はここ米国よりも大きくなっています。 これは新しい状況ではありません。 GDPR の前に、EU には 1995 年に制定されたデータ保護指令 (DPD) があり、GDPR に見られるのと同じ原則の多くを提示しました。 DPD と GDPR はどちらも、欧州連合の基本的権利の憲章に基づいています。

誰もが自分に関する個人データを保護する権利を有する – 欧州連合基本権憲章、第 8 条 (1)

GDPR の基本的な精神は、すべての「自然人」 (この用語については後で詳しく説明します) が、自分のデータがいつ収集されるかを知る権利と、そのデータ収集を拒否する権利を持っているということです。 彼らが同意する場合 コレクション、彼らはそのデータがどのように使用されるかを管理し、同意を取り消し、さらに後日、現在および過去のデータをすべて消去することを選択する権利を有します.

また、ユーザーのデータを保護するためのガバナンスとプロセスに関して、データの「管理者」と「処理者」 (これらの用語については後で詳しく説明します) に課せられる特定の期待もあります。 そして最後に、データ侵害が発生した場合に管理者がしなければならないことがあります。

GDPR の精神を理解するための最良のリソースの 1 つは、その序文です。 平易で率直な言葉で書かれているため、ほとんどの法的文書よりも理解しやすいものになっています。 しかし、この平易な言葉は法律の絶対的な文言を完全には伝えておらず、実際の規制に代わるものではありません。

DPD とは異なり、GDPR 規則はすべての加盟国に適用されます。 加盟国は、規則が有効であると見なされる前に規則を実施する必要はありません。 しかし、GDPR は、医療記録などの特定の種類の機密個人データの保護をさらに強化する可能性のある加盟国の追加の法律を排除するものではありません。

GDPR は、場所に関係なく、EU でビジネスを行うすべての企業に適用されます。 ユーザーが EU からあなたの Web サイトにアクセスしても、EU でビジネスを行うというあなたの意図は確立されません。 ただし、EU でビジネスを積極的に行う場合は、GDPR に従う必要があります。

もう 1 つ注意: GDPR は、EU の Cookie 法に取って代わるものではありません。 その規制は今でも有効です。

誰が、何を保護するのか?

EU に居住する自然人は、GDPR によって保護されています。 この規制はブレグジットの前に発効するため、GDPR には現時点で英国が含まれています。 自然人は、単純に個々の人間と考えることができます。 対照的に、法人は単なる法人である可能性があります。 GDPR の保護は、欧州連合外の人々には適用されません。

身元が現在知られているかどうかに関係なく、1 人の個人に関連付けることができる情報はすべて「個人データ」と見なされます。

「個人データ」とは、識別された、または識別可能な自然人 (「データ主体」) に関するあらゆる情報を意味します。 識別可能な自然人は、特に名前、識別番号、位置データ、オンライン識別子などの識別子、または身体的、生理学的、その自然人の遺伝的、精神的、経済的、文化的または社会的アイデンティティ。 – GDPR 第 4 条 (1)

「識別可能」は、対処する必要がある用語です。 現在、個人の身元を知っている必要はありません。 後でデータを個人に関連付ける手段 (Cookie、IP アドレスなど) を持つことで、その個人のデータは GDPR 基準の下で保護されます。

この規則は、データ収集の特定の手法 (例での使用を除く) への対処を避けているため、技術にとらわれません。 データ収集に関する技術革新のペースを考えると、これは GDPR が比較的将来性を維持できるようにするために必要です。 Cookie、IP アドレス、ブラウザ プロファイル、パス内のユーザー データを含む RESTful API、および将来発生する可能性のあるその他の巧妙な手法は、GDPR の対象となります。

コンプライアンスの責任者は誰ですか?

あなた。 組織は Web サイトの「管理者」であり、個人データが GDPR に準拠した方法で処理されるようにする最終的な責任を負います。 コンプライアンスに準拠していないサードパーティのサービスを Web サイトで使用することを選択した場合、それはあなたの責任です。

「管理者」とは、個人データの処理の目的と手段を単独または共同で決定する、自然人または法人、公的機関、機関、またはその他の団体を意味します。 – GDPR 第 4 条 (7)

Web サイトに追加されるサービス (Google アナリティクス、Pardot など) もすべて GDPR に準拠する必要があります。 追加しようとしているサービスが個人データを収集していないと思われる場合でも、用心する必要があります。

多くの無料サービスには、後で広告ネットワークに使用される何らかの形式のデータ キャプチャが含まれます。 2011 年にいくつかのテストを行ったところ、ShareThis や AddToAny などの「無料」のソーシャル共有ウィジェットが複数の広告ネットワーク用の埋め込み追跡コンポーネントであることがわかりました。 あるケースでは、1 つの共有ウィジェットで 6 つの広告ネットワークによる追跡が可能になりました。

Web サイトに含めるすべてのアプリケーションとサービスを徹底的に吟味する必要があります。 Web サイトの一部がサード パーティによってホストされている場合 (つまり、キャリア/人事または投資家向け広報)、それらのベンダーおよびそれらが使用するサード パーティが GDPR に準拠していることを確認する必要があります。

また、Web サイトで必ずしもデータを収集するわけではないが、収集されたデータを何らかの方法で委託されているサード パーティについても精査する必要があります。 分析コンサルタントは、このカテゴリに分類される可能性があります。

これらのサードパーティはすべて、ユーザーのデータの「処理者」です。

「処理者」とは、管理者に代わって個人データを処理する自然人または法人、公的機関、機関、またはその他の団体を意味します。 – GDPR 第 4 条 (8)

あなたの会社の従業員数が 250 人未満であり、個人の権利と自由のリスクにつながる可能性のある機密性の高い個人データを収集していない場合は、負担を軽減する処理活動の記録に関して寛大な措置が取られます。 GDPR への準拠を免除されるわけではありませんが、大規模な組織と同じ基準が適用されるわけではありません。

処理の法的根拠

個人データの収集が GDPR の下で許容されるためには、6 つの基準の少なくとも 1 つを満たす必要があります。 GDPR の第 6 条 (1) には次のように記載されています。

  1. 処理は、以下の少なくとも 1 つに該当する場合に限り、合法となります。

    (a) データ主体が、1 つまたは複数の特定の目的のために自分の個人データを処理することに同意している。

    (b) データ主体が従う契約の履行のために処理が必要である パーティまたは、契約を締結する前にデータ主体の要求に応じて措置を講じるため。

    (c) 管理者が従うべき法的義務を遵守するために処理が必要である。

    (d) データ主体または他の自然人の重大な利益を保護するために処理が必要である。

    (e) 公共の利益のために、または管理者に与えられた公的権限の行使のために実行されるタスクの実行のために処理が必要である。

    (f) 管理者または第三者が追求する正当な利益のために処理が必要である場合。ただし、そのような利益が、個人データの保護を必要とするデータ主体の利益または基本的権利および自由によって無効にされる場合を除きます。データ主体が子供である場合。

これら 6 つのベースのうち、最初のベースのみがクライアントの Web サイトの大部分に適用されます。 キャリアや e コマース セクション、またはログインが必要なサービスについては、基本 (B) も適用できます。

身元

これは、GDPR の下で法的根拠を必要としないデータ収集の種類を決定する際に非常に重要な概念です。 ある意味では、識別は簡単に理解できます... このデータを自然人に関連付けることができますか? もしそうなら、明らかにその個人は GDPR の下で保護されています。

Cookie やその他の追跡技術を使用して匿名の人物を追跡するとどうなりますか? その人物が匿名であっても、後で追加のデータ収集を行うことで、その人物を特定することができます。 したがって、その人は保護されます。

自然人は、デバイス、アプリケーション、ツール、およびプロトコルによって提供されるインターネット プロトコル アドレス、Cookie 識別子、または無線周波数識別タグなどの他の識別子などのオンライン識別子に関連付けられている場合があります。 これにより、特にサーバーが受信した一意の識別子やその他の情報と組み合わせると、自然人のプロファイルを作成して識別するために使用できる痕跡が残る場合があります。 – GDPR 序文(30)

その理由は、事前に同意を得ずに個々のユーザーに関するデータを収集することは決してできないからです。 データを収集し、後でそれを自然人に関連付けるとしたら、その原則に違反することになります。

ユーザーの権利

個人データを収集する前に、同意を確保する必要があります。 また、同意がいつ与えられたか、ユーザーが同意した処理の形式を含め、同意に関連するすべてのデータを保存する必要があります。 逆に、ユーザーが一部またはすべての個人データ収集の同意を取り消した場合、その取り消しも記録する必要があります。

データ主体の「同意」とは、自由に与えられた、具体的な、十分な情報に基づいた、明白なデータ主体の希望の表示を意味し、それによって、声明または明確な肯定的な行動によって、データ主体に関する個人データの処理への同意を意味します。か彼女; – GDPR 第 4 条 (11)

一部のサードパーティは、同意を確保するための独自のメカニズムを持っている場合がありますが、それらのサービスがユーザー エクスペリエンスに自分自身を挿入できるようにすることは、人々の方向感覚を失わせることに注意してください。 単一のサードパーティ プロバイダーを使用してユーザーに関する情報を保存している場合を除き、明確で簡潔な単一のシンプルな同意メカニズムを独自に作成することをお勧めします。 サードパーティを含む、Web サイトでのさまざまなデータ収集手段をすべて管理するために使用する必要があります。

「同意」は、電子的手段を含む書面による声明など、データ主体に関連する個人データの処理に対するデータ主体の同意について、自由に与えられた、具体的で、十分な情報に基づいた、明確な指示を確立する明確な肯定的な行為によって与えられる必要があります。 、または口頭での声明。 – GDPR 序文(32)

ユーザーは自分のデータにアクセスし、自分のデータを修正する権利を有し、データ処理の法的根拠がなくなった場合 (たとえば、ユーザーが同意を取り消したり、顧客ではなくなった場合)、データ主体は次の権利を有するものとします。忘れました。 これには、収集されたユーザー データを格納している可能性がある処理者に通知するコントローラーが含まれます。

さらに、個人データが収集された法的根拠または同意が与えられた目的のために必要でなくなった場合、個人データは忘れられるべきです。

データ保護と認証

GDPR では、データ管理者 (つまりあなた) と処理者が、個人データを保護するために適切な措置 (技術的および組織的) を講じることを求めています。

この規則への準拠を実証できるようにするために、管理者は内部ポリシーを採用し、特に設計によるデータ保護とデフォルトによるデータ保護の原則を満たす対策を実施する必要があります。 このような措置は、とりわけ、個人データの処理を最小限に抑えること、個人データをできるだけ早く仮名化すること、個人データの機能と処理に関する透明性を確保すること、データ主体がデータ処理を監視できるようにすること、管理者がセキュリティ機能を作成および改善します。 – GDPR 序文(78)

これらの対策には、アクセスの制限、暗号化、およびデータ セキュリティに関するその他の基本的なベスト プラクティスも含める必要があります。 GDPR の作成者は、個人を特定できる情報を保護するための ISO/IEC 27018 Code of practice などのデータ保護認定を特定し、準拠することを管理者と処理者に奨励しています。

この規則の透明性とコンプライアンスを強化するために、認証メカニズムとデータ保護シールとマークの確立を奨励し、データ主体が関連する製品とサービスのデータ保護レベルを迅速に評価できるようにする必要があります。 – GDPR プリアンブル (100)

仮名化

私の調査では、仮名化が GDPR で最も誤解されている概念であることがわかりました。 仮名化は匿名化と同じではありません。 ユーザー レコードを識別可能にするデータ セットからプロパティを削除し、何らかの形式の一意の識別子を使用してそれらのプロパティを別のデータ ソースに格納するだけです。 仮名化されたデータは、その別のデータ ソースと照合して、個々のユーザーを識別することができます。

「仮名化」とは、追加情報を使用せずに個人データを特定のデータ主体に帰属させることができないような方法で個人データを処理することを意味します。個人データが特定された、または特定可能な自然人に帰属しないことを保証するため。 - GDPR 第 4 条 (5)

収集されたデータを仮名化しても、ユーザー データを処理するための法的根拠は作成されません。 ただし、ユーザー データを安全に保存するためのベスト プラクティスであり、特にそのデータがプロセッサまたは他のサード パーティに保存されている場合はそうです。 たとえば、プロセッサのデータ セットで一意の識別子を使用して、独自のデータ セットと組み合わせてユーザーを識別することができます。

データ侵害の開示

個人データ侵害が発生した場合、管理者は、それを認識してから 72 時間以内に監督当局に通知する必要があります。 あなたは米国を拠点とする企業の一員であるため、監督当局は、データ主体が居住する加盟国の当局になります。

「個人データ侵害」とは、送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、損失、改ざん、不正開示、またはアクセスにつながるセキュリティ侵害を意味します。 – GDPR 第 4 条 (12)

管理者は、侵害が発生した場合に影響を受けるデータ主体に通知することも求められますが、そのような通知のタイムラインは、継続的または同様のデータ侵害を防ぐために必要な措置によって異なります。 ガイドラインでは、データ主体に過度の遅延なく連絡する必要があると単純に述べています。

ペナルティ

GDPR 違反の罰則は、次の 2 つのカテゴリに分けられます。

  1. 監督当局による罰金
  2. 権利が侵害されたデータ主体に対する補償

私が読んだほとんどの記事は、監督当局が課す可能性のある罰金に焦点を当てている傾向があります。

その理由は簡単にわかります。

罰金は最高で 20,000,000 ユーロ、または前会計年度の全世界年間売上高の最大 4% です。 恐ろしい数字です。

ただし、これらの罰金は上限であり、最も悪質で損害を与える状況のために用意されていることを理解することが重要です。 罰金の額を決定する際には、多くの要因が考慮されます。

行政罰金を課すかどうかを決定し、個々のケースで行政罰金の金額を決定する際には、以下の点に十分な考慮が払われるものとします。

  1. 関連する処理の性質の範囲または目的、ならびに影響を受けるデータ主体の数およびそれらが被る損害のレベルを考慮した、侵害の性質、重大性および期間;
  2. 侵害の意図的または過失の性質;
  3. データ主体が被った損害を軽減するために管理者または処理者が講じた措置。
  4. 第 25 条および第 32 条に従って管理者または処理者が実施する技術的および組織的措置を考慮した、管理者または処理者の責任の程度。
  5. 管理者または処理者による関連する以前の侵害;
  6. 侵害を是正し、侵害による悪影響を軽減するための監督当局との協力の程度。
  7. 侵害の影響を受ける個人データのカテゴリ
  8. 侵害が監督当局に知られるようになった方法、特に、管理者または処理者が侵害を通知したかどうか、また通知した場合はその範囲。
  9. 第 58 条第 2 項で言及されている措置が、同一の主題に関して関連する管理者または処理者に対して以前に命令されている場合、それらの措置の遵守。
  10. 第 40 条に従って承認された行動規範、または第 42 条に従って承認された認証メカニズムの順守。 と
  11. 侵害から直接的または間接的に得られた金銭的利益または回避された損失など、事件の状況に適用されるその他の悪化または緩和要因。

– GDPR 第 83 条 (2)

より大きな未知数は、権利が侵害されたデータ主体への補償がどうなるかです。 GDPR の違反が 1 人の個人に影響を与える可能性は低いため、何らかの形で集団訴訟を起こすことを期待するのは合理的です。

EU 加盟国の国内規則は、集団訴訟 (集団訴訟) に関して大きく異なります。 したがって、規制が発効する前に結果を予測することは、法律の専門家に任せるのが最善の方法です。 おそらくもっと良いのは、透視能力者が水晶玉を見​​つめていることです。

いくつかの一般的なシナリオ

結論として、GDPR への準拠はそれほど難しいものである必要はありません。 実行する必要がある基本的な手順がいくつかありますが、ガイドラインは明確で測定可能です。 EU でビジネスを行っていて、データ保護指令を無視している場合は、少し追いつく必要があります。 しかし、それはそれほど悪くないことを強調させてください。

BrandExtract がサービスを提供するほぼすべてのビジネスで共通のシナリオがいくつかあります。 一般的に、絶対に必要な場合を除き、同意の収集や個人データの管理が必要な状況からクライアントを遠ざけるように努めています。 しかし、それが理にかなっている状況もあります。 推奨事項を含むいくつかの特定の状況を次に示します。

グーグルアナリティクス

BrandExtract は、品質分析を行うためにユーザーの完全な IP アドレスを収集して保存する必要はないと考えています。 また、IPv4 アドレスの最後のオクテットと IPv6 アドレスの最後の 80 ビットを削除して IP アドレスを匿名化することで、Google 側でユーザーが識別される可能性を十分に排除できます。

これは、GA JavaScript ライブラリに組み込まれている IP アドレスの匿名化機能を使用して、Google アナリティクスで簡単に実行できます。 EU 内からサイトにアクセスするかどうかに関係なく、すべてのユーザーに対して簡単に呼び出すことができます。 IP アドレスの匿名化が使用されている場合、識別可能な個人データが Google のサーバーに記録されることはありません。

さらに、ウェブサイトでの Google Analytics Cookie の使用を無効にすることもできます。 これにより、一部の分析データが失われます (何が失われるかを確認するためにこれをテスト中です)。 しかし、IP アドレスを匿名化し、Cookie を削除することで、ユーザーを特定できなくなるため、Google アナリティクスの同意を得る必要がなくなりました。

Cookie を使用して Google Analytics を使用することは引き続き可能ですが、その前に同意を得る必要があります。 またGoogle は、コンプライアンスを確保するために、分析から個々のユーザー データを削除するためのツールを約束していることに注意してください。 これらは 5 月 25 日までに設置する必要があります。

Web サーバーのログ ファイル

デフォルトでは、Web サーバーへのすべてのリクエストがログ ファイルに記録されます。 各レコードには、ユーザーの IP アドレスが含まれます。これは個人データとしてカウントされます。これは、ユーザーが後で特定された場合に、そのユーザーのアクティビティをさかのぼって追跡するために後で使用できるためです。 IP アドレスの記録を無効にするか、IP アドレスを匿名化する必要があります。

パルドット

Google と同様に、あなたが管理者であり、処理者であるというのが Pardot の立場です。 Pardot が提供するサービスは、ユーザーを識別できるかどうかにかかっています。 そのため、Web サイトで Pardot サービスを使用する場合は、ユーザーのデータを処理するための法的根拠が必要です。

Pardot には、ユーザー データを収集または削除するためのツールがまだ用意されておらず、期限までにそれらのツールが用意される予定もありません。 データのリクエストと忘れられるリクエストはすべて、Pardot のサービスデスクを通じて行う必要があります。

ハブスポット

Hubspot が提供するサービスの一部には、インテーク フォームとユーザー トラッキングが含まれます。 ユーザーの追跡に他のサードパーティ プロバイダーを使用していない場合は、Hubspot の同意収集メカニズムの使用を検討してください。 この新機能は、5 月 25 日までに実装される予定です。

Hubspot に加えて他のプロバイダーを使用している場合、または独自のシステムにユーザー データを保存している場合は、ユーザー データが保存されるすべての方法について同意を収集するための独自のメカニズムを作成する必要があります。

メールマーケティング

メール マーケティング サービス プロバイダーを使用している場合、またはユーザーによるメール応答を追跡するための独自のメカニズムを使用している場合は、メールを送信する前に同意または法的根拠が必要です。 メール キャンペーンの場合、処理の法的根拠を含む、データ主体との確立された関係が必要になります。

ホストされているフォントとその他のアセット

これは簡単です... GDPR が心配な場合は、サードパーティを使用して Web サイトのフォント、JavaScript ライブラリ、またはその他の資産をホストしないでください。 特定のフォントがサードパーティのホストからしか入手できない場合は、別のフォントを使用してください。

すべてのプロバイダーには独自の利用規約とコンプライアンス レベルがあり、ポリシーが変更されないように常に監視する必要があります。 その手間とリスクを回避するようにしてください。

共有サービス (ShareThis、AddToAny など)

それらはひどいので、使用しないでください。 報道価値のある GDPR の開発の前でさえ、BrandExtract は常に、サービスを装ったこれらのパラサイトからお客様を遠ざけていました。 ユーザーは、誰も聞いたことのない 47 のソーシャル ネットワークで Web ページを共有する必要はありません。 BrandExtract には、ビジネスにとって実際に重要なすべての主要なプラットフォームで共有するためのカスタム コードがあります。

パーソナライゼーション

これも簡単です。 大陸または国による広範な地理位置情報以外のパーソナライズ シナリオでは、ユーザー ID が必要であり、ユーザーの同意が必要です。 それを回避する方法はありません。

資力

  • 欧州委員会のウェブサイト
  • GDPR テキスト
  • Analytics での IP 匿名化
  • アナリティクス Cookie の無効化

GDPR の規制は圧倒される可能性があります。 うまくいけば、私たちはあなたが知る必要があるすべてを統合するのに役立ちました. サイトの監査をご検討中のお客様は、喜んでチャットさせていただきます。 GDPR ポッドキャスト エピソードで、専門家チームと一緒に GDPR についてさらに詳しく説明します。 ブランドの Web とデジタルに関する考慮事項についてさらに詳しく知るには、次のヒントとリソースを参考にしてください。

  • サイトをアクセシブルにするために必要なことを学びましょう。
  • ウェブサイトのセキュリティの鍵と、サイトを安全に保つ方法を見つけてください。
  • 魅力的な (そして変換する) ビジネス Web サイトを作成する方法を見てみましょう。