第15回 GDPRアップデート: ウェブサイト運営者の責任について
今年5月25日、ついに欧州連合(EU)の新しい一般データ保護規則(EU General Data Protection Regulation: GDPR)が施行される。
昨年の記事では、EUで暮らす人々の権利(詳細は本誌1060号を参照)と、企業の義務 (本誌1062号を参照)に関していくつかのポイントを説明した。
その後、ドイツ連邦とドイツ国内データ保護独立機関(Konferenz der unabhängigen Datenschutz-behörden des Bundes und der Länder: DSK)で話し合いが行われ、GDPRの解釈が定まらない項目に対して議論された。
個人の運営者にも適用、 データ保護の注意が必要
公示された会議の結論(Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018)には、ブログやポートフォリオサイトなども含むウェブサイトの運営者(ウェブパブリッシャー)に対して、厳格化された規則の詳細が書かれている。
特筆すべきは項目第9番で、「いかなる場合でも、インターネット上のデータ主体の行動を監視するトラッキングメカニズムを使用し、ユーザープロファイルの作成・収集を行う場合には、事前の同意を求めなければならない。これは、ユーザーのデータ処理を収集する前やクッキーを保管する前、例えばユーザーのデバイスにクッキーを保管し、ユーザーのデバイスに保存された情報が収集される前に、陳述書またはその他の明確に認められる行為の形で同意を得る必要がある。つまり『インフォームド・コンセント(十分な情報を説明をした上での同意)』を意味する」と書かれている。
5月25日から始まるGDPRによって個人情報保護に関するさまざまな規定が変わってくる
ドイツ連邦とドイツ国内データ保護独立機関は国の主要な当局者であり、彼らに法的拘束力はないが、将来のデータプライバシーに関しての不服申し立対応の判断の根拠となる。
具体的に述べると、ブログやポートフォリオサイトなどを運営している個人でも、サイトのトラッキングやクッキーに関して注意を怠った場合は、罰金が科されるリスクが高くなる。従って現在自分が運営しているサイトはどのような個人情報を何の理由で収集しているかを包括的に把握して、使っているアナリティクスやトラッキングが本当に必要なのかを見直すべきだ。
必要でないものは除く、重要なものであれば早いうちに法的なインフォームド・コンセントを得る措置を講ずるべきである。