とりあえずアクセス遮断!EU一般データ保護規則(GDPR)への対応

発行から2年を経て、新しい個人情報保護の枠組みである「EU一般データ保護規則(GDPR)」が先月末に施行となりました。個人情報保護を目的に、EUを含む欧州経済領域(EEA)域内で取得した個人データをEEA域外に移転することを原則禁止とする規則です。

ニュース報道などでも取り上げられていたので、そういうルールができることは知っていました。でも、まさか個人サイトでも対応が必要になるとは全く考えていませんでした・・・

今回の記事は、GDPRの対応策として、とりあえずEEA域内からのアクセスを遮断することにしたという内容です。

AdSense利用規約の更新

GDPRへの対応を考えることになったのは、Google AdSenseから届いたメールがきっかけでした。

・・・略・・・

更新版の利用規約には、EU の一般データ保護規則(GDPR)とその他のプライバシーの枠組みに関連する、新しいデータ保護の規定が盛り込まれています。具体的には、データ管理者間の規約と、更新された EU ユーザーの同意ポリシーが追加されました(こちらで詳細をご確認いただけます)。

必要なご対応: AdSense アカウントにログインし、更新版の利用規約をご確認のうえ同意してください。規約についてご不明な点がある場合は、法務顧問に相談されることをおすすめいたします。

2018 年 5 月 25 日までに、このほど提供が開始された広告技術プロバイダ(ATP)管理設定をご確認のうえ、お客様のサイトやアプリで欧州経済領域(EEA)のユーザーへの広告の配信と測定を行うことができる広告技術プロバイダを選択してください。

また、該当する場合は、パーソナライズされていない広告を表示するオプションを EEA のユーザーに提供していただけますようお願いいたします。

・・・略・・・

AdSenseにログインすると、EU ユーザーの同意ポリシーに同意を促す次のようなメッセージが表示されます。

Google の更新版「EU ユーザーの同意ポリシー」にサイト運営者様が準拠できるようサポートするため、EU ユーザーの同意設定をご用意しました。

そこで「操作」を選択すると、こんどは次のような表示となります。

EU ユーザーの同意がお客様に与える影響

Google の EU ユーザーの同意ポリシーに基づき、お客様は欧州経済領域のユーザーに対して特定の情報を開示して、Cookie などのローカル ストレージの使用と、パーソナライズド広告の使用について同意を得る必要があります。このポリシーには、EU の e プライバシー指令と一般データ保護規則(GDPR)の要件が反映されています。
このポリシーで定められたサイト運営者様の義務の遂行をサポートするため、Google は欧州経済領域のユーザーに対して 2 つの広告配信オプションを提供しています。

次の中からご希望の設定をお選びください。何も変更しなければ、一般によく使用される広告技術プロバイダのグループが使われます。

選択肢は「パーソナライズド広告」と「パーソナライズされていない広告」がありますが・・・

「パーソナライズされていない広告」を選択

Google AdSense チームのメールをさらっと読んだ時は、個人サイトは何もしなくてもいいのではないかと思っていました。

でも、他の文章も読んでみると、はっきりしなくなってきました。

GDPRでは「パーソナライズド広告」の仕様についてユーザーの同意を得ないまま表示することは認められていないということなので、とりあえず「パーソナライズされていない広告」を表示する選択をしました。

しかし、その後の流れとして、さらにこんなことが書いてあります。

欧州経済領域のユーザーには、パーソナライズされていない広告だけが表示されます。そのための Cookie の使用について、お客様はユーザーの同意を得る必要があります(該当する場合)。このポリシーについて詳しくは、Google の EU ユーザーの同意ポリシーをご覧ください。

気になるのは、「Cookie の使用について、お客様はユーザーの同意を得る必要があります」という文章です。つまり、「パーソナライズされていない広告」を表示する際も、ユーザーの同意を得る必要があるということです。

パーソナライズされていない広告でも、Cookieを使用して表示広告が選択されてしまうからです。

こうしたGDPRの規則に対応するためには、EUを含む欧州経済領域(EEA)域内の方がこのサイトを見たときに、Cookie使用についての同意を得た上でないと、広告表示ができないよう設定することが必要です。

できなくはないのでしょうが、かなり面倒な作業になりそうです。

EEA域内からのアクセスを遮断する

そこで、個人サイトのGDPRへの対応について調べてみました。すると、こんな方法で対応している方を見つけました。

https://sorayori.com/gdpr/

この記事にも書いてあるように、その対応方法は「GDPRが施行されているEEA域内からのアクセスを一切遮断する」というものです。EEA域内にある国からのサイトへのアクセスを、フィルタリングで遮断してしまう方法です。具体的な設定方法については、この記事を読んでいただいた方が確実です。

もちろんEEA域内からのアクセスが多いサイトでは、このような対策はオススメできないわけですが、このブログの場合は、こうしたEEA域内からのアクセスはほとんどゼロなので問題なしです。

かつてオランダ在住の方からコメントを頂戴したということもありましたが・・・

まとめ

実は、一般データ保護規則(GDPR)の対応についてはまだ悩んでいます。とりあえず、EEA域内からのアクセスを遮断するということに取り組みましたが、本当にGDPRに対応したと言い切っていいのかどうかもわかりません。

そのうちGDPR対応に関する便利な方法やツールが充実してくると思います。そうした情報に関心を持ちながら、より良い対応について考えていこうと思います。