前回、GDPR(General Data Protection Regulation:一般データ保護規則)の実施以降、個人が自身の個人データをコントロールする権利が保障する仕組みをWebサイトにも設置することが必要なったことをまでを書きました。今回は、何をコントロールできるよう、どんなツールを提供するかのポイントを書いていきます。
3)どんなデータをコントロールできるようする?
個人データというと、名前、メールアドレスなどを最初に思い浮かべるでしょう。しかし、GDPRにおける個人情報はIPアドレスやCookieのようなオンライン識別子も個人情報とみなされます。
そうです、ここで出ます、「Cookie」という単語が。
IPアドレスやCookieなんて個人名が入っているわけではあるまいし、と思うなかれ。他の情報を統合していけば、「どこの誰が」が判定できますし、そもそも特定の氏名が分からなくても、「あなたの情報」を追跡する(例えば検索履歴など)ための要素でもあるので、「個人情報」と言われると、「なるほどね」と感じます。
4)どういうコントロール方法を提供する?
コントロールする方法としては
- 取得拒否の権利
- アクセスする権利
- 消去する権利
等が挙げられます。
最初はCookieなんらかのIDを保存して利用する際は、同意なしで取得可、許可のみのボタンを表示したダイアログ表示などが主流でした。
2019年にはこのような、消極的な同意取得・Cookie運用管理についてGDPR違反の事例もでています。
今では、明確な同意を取ることで、Webサイトの安全性を高め、かつ自社のサイトを訪れたユーザーに簡単に自身の個人情報がコントロールできる方法を提示することが重要です。
その一例が弊社でも表示している左下のラベルリンクであり、ボックス表示です。
いつでもコントロールできるツールにアクセスできるように、かつ、「OK or NG」を明確に選択できるようにしています。
5)「オプト管理」の事例紹介
1. 左下にまとめて表示
こちらは、弊社のコーポレートサイトで表示しているパターンです。
「ポリシー」リンクで“プライバシーポリシー”とリンクしながら、何のために使用しているかの説明コメントをコンパクトに表示し、承諾/拒否のボタンを表示しています。
2. 左下にラベル、画面下に説明表示
2つ目は、説明表示部分を大きく画面下の領域を取って表示しているパターンです。
取得目的の説明が多い場合は、このように領域を広くとるとよいのではないでしょうか。
3. 左下に小さなボタン、ダイアログで表示
3つ目は弊社の「ホームページ制作パック」のLPサイトで表示しているパターンの紹介です。左下に小さなボタンを常時表示していますが、ラベルを日本語表示にすることで、パッと見ただけも何のボタンかが分かりやすくなっています。
クリックするとダイアログが説明文とともに表示されます。
細かいコントロール機能を提供する場合は、こちらのパターンがお勧めです。
ここまで書くと、何か出せばOK?かと見えそうですが、ここまでは管理の前半。
実際に重要なのことは、ここで得た許諾/拒否をWebサイトで使用しているCookieや分析スクリプト等の出力処理へ反映することです。
ユーザーが許諾したCookieや分析スクリプト等のみがWebサイト上で実行されるようにバックエンド処理を組み立てましょう。
6)今からでも「オプト管理」を
「ネットの閲覧履歴がわかる「クッキー」情報の利用を巡り、消費者からの同意を取り付ける画面を自社サイト上で表示している日本の大企業は5%弱にとどまることが分かった。英国を中心とする欧州企業は8割強、米企業は3割弱で、日本企業の個人情報保護への取り組みの遅れが浮き彫りになった。」
2018年に施行されたGDPR(EU一般データ保護規則)を発端として、企業による個人情報保護への取り組みが世界中で進められています。
日本でも、2022年6月を期限に、改正個人情報保護法の全面施行が予定されており、各企業は対策が求められています。
しかし、冒頭の引用にある通り、今や「会社の顔」にあたるWebサイトへの対策は進んでいない模様。
自社のWebサイトはどうなっていますか?
まだなら、まずは「オプト管理」から始めてみませんか?