越境ECサイトのGDPR, CCPA対策を考える

自身の海外向けECサイトに対する個人情報保護の対策を考えてみた。
主にGDPRとCCPAに関して。中国のプライバシー法「サイバーセキュリティ法」については扱わない。

GDPR

GDPR(JETROのHPリンク)では、EU を含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを EEA 域外に移転することを原則禁止している。

運営しているECサイトでは以上の情報を扱う。ただ決済に関してはPayPalのビジネスアカウントを使用しているため、サイト側ではクレジット情報を管理していない。

現地に代理店を持つ大企業だけでなく、中小・零細企業も対象であり、EEA 域内に現地法人・支店・駐在員事務所を置かない事業者であっても、インターネット取引などで EEA 所在者の顧客情報を取得・移転する場合、適用対象となり得る。違反した場合は巨額の制裁金が課されることになる。

しかし、2019年1月23日に欧州委員会は日本が個人データの保護に関して十分なレベルを保障していることを決定(十分性認定)した。つまり、日本では「個人情報保護法」が十分なレベルにある、とされたのだ。
といってもGDPRに定める要件の遵守は引き続き必要となる。

ではどうするか。

ECサイトはWordPressで運営されており、WordPress 4.9.6以降のバージョンにはGDPRのプライバシメンテナンスサービスが装備されている。
WordPress 4.9.6 プライバシー・メンテナンスリリース

もともと広告運用のためにプライバシーポリシーページが存在したが、GDPR用に肉付けをしたのがコチラ
本家のGDPRのサイトのテンプレートを参考にした。こちらのテンプレートのOur Company部分を自分の会社名orサイト名にすれば問題ないだろう。

CCPA

JETROの説明によると、CCPAの対象者は以下のようになる。

以下の1~3のいずれか1つの要件に該当する営利目的の法人だ。なお、カリフォルニア州内に事業拠点があるかどうかにかかわらず、カリフォルニア州民の個人情報を収集していれば、この法律の対象となりうる。

1.年間の総収入(annual gross revenues)が2,500万ドル以上であること
2.5万人以上のカリフォルニア州民の個人情報を処理している
3.カリフォルニア州民の情報を売却することで年間の収入の50%を得ている

自身は当てはまらなかった。
JETROの解説によると、当てはまる事業者の基本的対応は下記のようになるようだ。

企業として法令を順守するためには、プライバシーポリシーを更新すること、請求している消費者の本人確認をする手順を実施すること、45日以内に情報開示するために社内で個人情報を特定・発見することができるようにすること、特定の情報開示を電子的に行う方法を開発すること、売却禁止を求める消費者のオプトアウト(16歳未満の消費者に関してはオプトイン)に対応することなどが必要になる

Cookie利用同意のプラグイン

サイトを開いたときに出てくる、Cookie利用同意のプラグインはCookie Notice for GDPR & CCPAにした。

設定自体はシンプルで、同意を求める文章や、言語、位置などを変更できる。

デフォルトの表示結果

Cookieのサポート廃止

Googleが2020年1月14日に、ChromeでのCookieサポートを2年以内に廃止していくと発表した。

Building a more private web: A path towards making third party cookies obsolete

AppleのSafariとMozillaのFirefoxは既にサードパーティのクッキー利用を制限している。

今後どのようにプライバシー保護が強化されていくのか更に注意が必要だ。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA