GDPR

ヤバくない? 何もしてなくない? やっべえな、というWEBサイト担当者/アプリ開発者のためにブログをしたためます。 内容的には「GDPR、何をしたらいいかも何もわからん」という人向けです。これでバッチリ適法、というレベルになるわけではないことは理解して読んでね。 できる限り適切に書いているけれど、この通りにしたら酷い目に遭ったぞなどのクレームは受け付けません(免責)。 あと、プライバシー保護ガチ勢の人はユルい内容に怒らないで欲しい。間違いへのツッコミかあれば歓迎ですが優しくお願います。

今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた | フジイユウジ::ドットネット

なんと！！

「一人でも欧州ユーザーがいたら駄目」みたいな微妙に間違った知識が出回っていて、発作的にEUからのアクセスをブロックしてしまうWEB担やアプリ管理者もでてきているようです。

今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた | フジイユウジ::ドットネット

日本語サイトでも域内ユーザーが利用するなら対象になるということでもあるので、あくまでも総合的かつ個別に判断されるのでルールはありませんが、

– 客観的に見ても明らかに日本国内向けのサービス
– 日本語のみでサービス提供している
– 決済手段が日本向け(日本円のみなど)であることがわかる
– 欧州へのサービスの提供について特段の記載がない
– 実態としても欧州ユーザーがほぼいない(例外レベルの数はいるとしても)
といった条件を全て満たすなど、99.9%日本向けサービスだけど「何か間違って欧州にいるユーザーが混ざる可能性が微粒子レベルで存在する」くらいなら対象外
と考えても良さそうということです。

今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた | フジイユウジ::ドットネット

これくらいなら対応できそうだね！

また、pixivのプライバシーポリシー利用目的の(12)は最近GDPR対応のために更新されたのですが、同様にパーソナライゼーションやリターゲティング等で個人データを機械的な判断に用いているならそれを明記しないといけません。 日本のWEBサービス大手のプライバシーポリシーを見てみると、データの削除・ポータビリティ等のGDPRに規定された権利を行使するときは問い合わせ窓口へどうぞ、みたいに書いて対応としていることが多いようです。

今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた | フジイユウジ::ドットネット