GDPR対策に関して、企業のWEBサイトを運営している担当者が行うべき対応について本ページで解説していきます。
WEBサイトのアクセスの確認
EUに支店や営業所がなく、EUと直接の取引を行っていなかったとしても、EU圏内からのアクセスがある場合にはGDPRの対象となる可能性があります。Google Analyticsなどのツールを利用して、EU圏内からアクセスされているかを確認しましょう。
確認の結果EU圏内からのアクセスがあった場合には、早急にGDPR対策をすすめる必要があります。
取得している個人データの把握
GDPR対策では一例として以下のような個人データが対象となります。
- 氏名
- 住所
- メールアドレス
- オンライン識別子(IPアドレス、クッキー)
- クレジットカード情報
- パスポート情報
これらの個人データをWEBサイトのどこで取得し、保管しているのか。どのようにして使用しているのかを洗い出し、GDPR対策の方針を固めていきます。
必要のないデータは取得しないようにする、取得必須のデータに関してはユーザーにデータ取得の同意を得られるようなサイト構造にするなど、各個人データの優先度を決定します。
また、仮にユーザーに同意を得て個人データを取得した場合でも、そのデータを適切な管理方法を行っていない場合は制裁対象となる可能性があります。自社の作業フローそのものの見直しも必要となるでしょう。
GDPRに抵触しないかつ、自社の企業活動に悪影響を及ぼさない対策を立てることが重要です。
個人データ取得方法の確認
GDPR対策では、ユーザーの同意を得る前に個人データを取得することは違反となっています。
アンケートフォームなどにデータ取得のチェックボックスを設けるなどの対応は日本の企業でも多く見られます。
EUではそれに加えてCookieの取得に関しても厳重に管理しています。
サイトに訪れたユーザーに対しダイアログなどでCookieの使用方法などを明文化し、同意を得るまではユーザーのCookieを取得しないといったモデルをとっている企業が大半を占めています。
WEBサイトの記載文章の見直し
GDPRでは、取得するデータの種類や使用方法、管理体制などを明文化して記載し、常にユーザーがその文章を確認できる状態にする必要があります。
プライバシーポリシーなどを見直し、GDPRに違反しない内容になっているか、ユーザーにとってわかりやすい文章かなどを確認しましよう。
また、ユーザーのCookieを取得している場合は、プライバシーポリシーの他に別途「Cookieポリシー」というたポリシー文を記載する必要があります。
0コメント