【当社WebのGDPR対応計画】お問い合わせフォームに同意チェックを設ける

おはようございます！マネジメントオフィスいまむらの今村敦剛です。

5月25日から施行された、GDPR(General Data Protection Regulation: EU一般データ保護規則）に、当社ホームページも対応したいと思っています。余裕に乏しく、GDPRについての知識に乏しい当社は、いろいろと調べながら、段階的にGDPRに対応していきたいと思っています。まずはお問い合わせフォームに同意チェック欄を設けることから始めました！

スポンサーリンク

GDPRとは？

EUが定めた個人情報保護のための規則です。EU内の全ての個人のために保護を強化し統合することを目的としています。もともとEUでは、データ保護指令という個人情報保護のための指令がありました。これが日本の個人情報保護法のベースにもなっているのですが、2018年5月25日からは、強固な罰則規定のある規則（≒法律）が施行され、より一層の個人情報保護が図られることになりました。

ja.wikipedia.org

 

4 Posts

54 Users

118 Pockets

EU一般データ保護規則 - Wikipedia

https://ja.wikipedia.org/wiki/EU一般データ保護規則

当社（マネジメントオフィスいまむら）はどうGDPRに関係するの？

当社はEU域内の個人・法人向けのサービスを行っているわけではありません。しかし、EU域内に短期出張中、または出向した日本人からの問い合わせの可能性はゼロではありません。このようなケースも、GDPRに基づく個人情報保護の対象となります。JETROのハンドブックの記述を見てみましょう。

GDPRの保護対象となる「個人データ」とは、EEA域内に所在する個人（国籍や居住地などを問わない）の個人データをいう。短期出張や短期旅行で EEA 域内に所在する日本人の個人データや、日本企業から EEA域内に出向した従業員の情報（元は日本から EEA域内に移転した情報）も、処理および第三国への移転の制限を受ける個人データに含まれる。

www.jetro.go.jp

 

23 Users

56 Pockets

https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf

https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf

また、当Webでは、マーケティング目的としてGoogle AnalyticsやGoogle AdsenseといったCookie使用サービスを利用しています。Cookie情報もGDPRで保護される個人情報のひとつであり、GDPRではWebサイトで使用されている Cookie についての情報を、EU からの訪問者に対して提供することを義務付けています。ですので「Cookie使ってますよ」という通知や同意を得る仕組みを構築しないといけないわけです。

免責事項

当ページの内容は、情報提供のみを目的として提供されており、GDPRがどのようにあなたおよびあなたの組織に適用されるかについて、法的な助言として提供するものではありません。したがって、当ページの記載事項に基づいて判断してはなりません。あなたの弁護士等と協力して、GDPRがあなたの組織に具体的にどのように適用されるのかを、話し合うことをお勧めします。

したがって当社は、このページの情報について、法的な保証を行いません。このページに記載されている情報や見解は、予告なしに変更することがあります。

問い合わせフォームの変更

GDPRに対応するためには、いろんなことをしないといけないのですが、一度にすべてに対応するのは時間の関係上難しいので、ひとつひとつやっていきたいと思っています。まだ施行されたばかりで判例もありませんし、いきなり極東のこんな小さな会社のホームページがターゲットにされることはないでしょうからね。

というわけで、まずは問い合わせフォームに同意チェック欄を設けました。具体的には下記のようなものです。

EU域内の個人を意識して、英語でも記載をしようか……とも考えましたが、やめました。そもそも当社ではEU向けのサービスを提供していませんし、ホームページは日本語オンリーです。あえてEU言語である英語で記載をすると、これは反対にEU向けサービスを提供していると捉えられる余地を増やしてしまうのではないかと思ったからです。できる限り、当社はGDPRの対象外であるという可能性は残しておきたいと思って、日本語のみの表記としました。

ただ、いつEU向けサービスを始めてもいいように、同意のチェック項目だけはしっかり作っておいたほうがいいですね。

データ最小化

GDPR第5条第1項では、個人データの処理における原則がいくつか書かれています。その中に個人データの最小化の原則というものがあります。すなわち、

個人データは、処理を行う目的の必要性に照らして、適切であり、関連性があり、最小限に限られていなければならない。

というものですね。当社のサイトのお問い合わせ欄を改めて見ると「これは別にいらんだろう」という情報を記入させる欄がありました。例えば郵便番号と市町村名ですが、最初のお問い合わせフォーマットとしては特段必要はないかなと判断しました。お問い合わせをいただき、その後に仕事を引き受けるとなれば、その際におのずと住所を教えていただく局面がきますしね。

都道府県名の記入欄だけは残しました。訪問する際の時間的・金銭的な負荷を判断するための最低限の情報ですからね。

さあ、これでGDPR Compliedなお問い合わせページになったのでしょうか？自分ではあまり自信がありません?