第15回 GDPRアップデート: ウェブサイト運営者の責任について

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

今年5月25日、ついに欧州連合（EU）の新しい一般データ保護規則（EU General Data Protection Regulation: GDPR）が施行される。

昨年の記事では、EUで暮らす人々の権利（詳細は本誌1060号を参照）と、企業の義務　(本誌1062号を参照）に関していくつかのポイントを説明した。

その後、ドイツ連邦とドイツ国内データ保護独立機関（Konferenz der unabhängigen Datenschutz-behörden des Bundes und der Länder: DSK）で話し合いが行われ、GDPRの解釈が定まらない項目に対して議論された。

個人の運営者にも適用、データ保護の注意が必要

公示された会議の結論（Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018）には、ブログやポートフォリオサイトなども含むウェブサイトの運営者（ウェブパブリッシャー）に対して、厳格化された規則の詳細が書かれている。

特筆すべきは項目第9番で、「いかなる場合でも、インターネット上のデータ主体の行動を監視するトラッキングメカニズムを使用し、ユーザープロファイルの作成・収集を行う場合には、事前の同意を求めなければならない。これは、ユーザーのデータ処理を収集する前やクッキーを保管する前、例えばユーザーのデバイスにクッキーを保管し、ユーザーのデバイスに保存された情報が収集される前に、陳述書またはその他の明確に認められる行為の形で同意を得る必要がある。つまり『インフォームド・コンセント（十分な情報を説明をした上での同意）』を意味する」と書かれている。

端末（ノード）
5月25日から始まるGDPRによって個人情報保護に関するさまざまな規定が変わってくる

ドイツ連邦とドイツ国内データ保護独立機関は国の主要な当局者であり、彼らに法的拘束力はないが、将来のデータプライバシーに関しての不服申し立対応の判断の根拠となる。

具体的に述べると、ブログやポートフォリオサイトなどを運営している個人でも、サイトのトラッキングやクッキーに関して注意を怠った場合は、罰金が科されるリスクが高くなる。従って現在自分が運営しているサイトはどのような個人情報を何の理由で収集しているかを包括的に把握して、使っているアナリティクスやトラッキングが本当に必要なのかを見直すべきだ。

必要でないものは除く、重要なものであれば早いうちに法的なインフォームド・コンセントを得る措置を講ずるべきである。