日本では「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日)が交付され、2022年4月から施行されます。 日々進化するテクノロジーで便利になる反面、個人情報もネットの海の中で救いたい放題だった頃から随分と変わってきました。世界中で個人情報保護法が施行され、少しずつわたしたちの安全が守られるようになりました。
日本の法でも、ドイツ(欧州)の法でも、自社も訪問者も守る安全なHPにするにはどうすれば良いのか? どのような手順で法を遵守するべきなのか? を、ドイツでも日本でも個人情報保護についてのエキスパートであり、第一人者でもあるEnobyte GmbHにどのように企業は会社を守るべきか、また注意点を教えてもらいました。
最初に日本の個人情報保護法の改正された内容について簡単に把握しておきましょう。
欧州やアメリカは特に厳しく取り締られてきましたが、日本でもさらに個人情報を守るため改訂が行われます。 これまでと違う点はいくつかありますが、事業者にとっての特筆すべき変化に重点を置いて見てみると
となります。 これらはドイツではすでに行われていますが、日本でもより厳しく個人情報が守られるようになったと言えます。
ドイツでは欧州の規則である、欧州一般データ保護規則(GDPR ドイツ語ではDSGVO)に加えて、ドイツの国内法であるBDSG(ドイツ連邦データ保護法)及び2021年12月1日に施行された新しいテレメディア法TTDSG(電子通信の機密性及び電子通信・電子媒体のサービスにおけるデータ保護に関する規定)を遵守しなければなりません。
ドイツには気をつけるべき法が3つもある・・・と考えると大変なようですが、全てが明確に定められていると考えればある意味「すべきこと」が見えやすいというメリットもあるということになりはしないでしょうか?
さて、GDPRの対象になるウェブサイトは、サーバーの場所・言語に限らず、EU/EEA域内の個人に対するサービスの提供や訪問がある場合、GDPRが適用されます。 どういうことかという例をあげると
つまり、欧州・ドイツからの訪問者があるウェブサイトを持つ場合には「GDPRだけではなく全ての関連法・規則に対応すること」 が必須となります。 拠点も(決済システムなど含めて)ウェブサーバーも言語も日本だから、というのは関係ありません。
大企業の巨額制裁が目立ちがちですが、規制違反で罰せられた企業は他にも数多く存在しています。 また、日系企業やショップのウェブサイトにも馴染み深い「グーグルアナリティクス」の利用違反による制裁金が科された例もあります。
グーグルフォントの利用で少額とはいえ罰金令が出たケースもあり、もはや対岸の火事とはいえません。
ホームページはウェブ上における自社の顔。 例えばホームページを自社の代表者として置き換えて、いろいろな問題点を考えてみましょう。
http:// と https:// の違いは、サーバーとブラウザの間のデータが ”s” セキュア(安全)な状態でやり取りができています。ということになります。 sが無い場合は、どんなに凝った装飾やビジュアルが美しく使いやすいホームページでも、中身がみえてしまう裸、または透明の洋服を着た状態でいるということになります。
全世界のほとんどのホームページはWordpress(コンテンツマネージメントシステム)を使って作成されていますが、システムや利用しているプラグインなどのアップデートを行わないということは、セキュリティに穴が空いた状態。 すなわち、穴が空いたボロボロの洋服を着ている状態を意味します。
サードパーティートラフィックやクッキーは、とても便利な反面、危険性も多く含まれています。 ホームページの訪問者にとってストーカーのようにまとわりついたり、本人も知らないうちに、訪問者に害を与える可能性がある病原体の保持者のような状態になってしまいます。
これらを健康と体調に置き換えて考えてみると、保険に入ったり、健康診断をまめにして大きなリスクを伴わないようにするのではないでしょうか?
データ管理を体調管理、定期的なセキュリティチェックを健康診断と置き換えてみると、保険に入らず、大病(データ漏洩や不本意ながらの違反による罰則)に備える・・・ とても難しいのではないでしょうか。
コンタクトフォームやメールなどセキュア(安全)な状態では無い場合、人として考えてみるとこんな人になってしまいます・・・「手紙を書いても封筒に入れずに送られてくる状態(誰でも見える)」「電話をしても、みんなに聞こえる状態でしか話せない」 信用に足る・・・とは言えませんよね。
みなさんのホームページを「人」として置き換えてみると、印象はいかがでしょうか?
いいえ、問題が発生した場合には、より困難な状況が発生します。
近年いくつかのショップや店舗が行っているのが、Facebookやインスタグラム上に自社ページを作ることで、自社ホームページの作成を回避する手段があります。 しかし、例えばSNS上(メッセージ、コメントなど)でのやり取り、センシティブな内容についての問題が発生した場合にはより大きな問題となり得ます。
自社ホームページなら同意を得たり、サーバー上の記録から削除など対応出来ることが、SNS上で対応できないことが多いためです。 そのため、必ずしも安全とは言えない、むしろ業種によっては危険性が増すので避けた方が良い可能性も出てきます。
安全なホームページを制作し運営していくにはどうしたらいいのか? GDPR遵守はしたくても、どこから手をつけて良いかわからないために放置し、違反罰則を科されてしまう・・・そんなリスクを解決するにはどうすれば良いのか?
難しい問題ですが、近年自社ホームページがGDPRに遵守しているかどうかを自動的に確認し、改善策を提案するツールはウェブ上でも多く開発されています。
問題点は、確認のための質問事項が多く、また専門的なことからどう答えていいか分からない。 回答も専門用語の羅列で理解が難しいという難点が発生します。
しかし、サイトの安全性を確認し改善することは、体調管理を整えて、健康診断をしっかりと行うことと同じ。 大きなリスクの回避となり、最終的には経費の削減にもつながります。
今回ご紹介する Enobyte CaRES®︎ Compliance and Risk Evaluation System は、簡単にいうと、面倒な質問へ答えることもなく、自動的にセキュリティリスクや違法な取り扱いがないかなどをチェックするツールです。
Enobyte 社が2年間の開発期間を経て2021年11月にサービスをスタートしました。開発段階では2000のウェブサイトを検査し、システムの正確性と公平性、安定性をはかりました。
EDPS(欧州データ保護監督官)の公式証拠収集ツール(Website Evidence Collector)を搭載し、Enobyteで独自開発を行った、完全自動化されたウェブサイトチェックツールです。検出されたリスク及び脆弱性を項目ごとに評価し、推奨事項と共に視覚的で分かりやすい解析レポートが届きます。
万が一、違反が見つかった場合にも、Enobyte CaRES® のレポートは、何らかの改善を努力しているとして認められる法的証拠としても提出可能であり、改善までの猶予期間が与えられる可能性が高くなります。
現在このEnobyte CaRES®︎ は、すでに50社以上で採用されています。その中には日本を代表する大企業も多数含まれます。
詳細はYouTube動画でも日本語で説明されていますので、ご確認ください。
オンラインから簡単に申し込みが可能です。(申込リンク(英語またはドイツ語):https://order.enobyte.com/DE/website-check)
申し込み後は、運営者・代表者に向けて分かりやすくビジュアル化し、かつ難しい用語の説明もワンクリックで確認できるように工夫がされたウェブサイトの解析レポートが届きます。(レポートは日独英の言語から選べます)
ウェブマスターやサイト製作者に向けにも、リスクに関連した重要箇所の強調と改善すべき点などが説明され、その後の作業もスムーズに行うことが可能です。
リスクヘッジのための保険としても活用でき、個人情報の保護と自社の安全性に真剣に取り組む企業としての信頼を得られるという点、欧州の状況に合わせた遵守内容を専門用語も含めて「日本語」と「英語、ドイツ語」など複数言語でレポートが得られる点。
そして、通年契約を行うと、日々のセキュリティチェックも含まれます。常に最新の事例を反映し、複数ヶ月ごとに送られるレポートで次の改善策の準備が可能な点とITエキスパートのアドバイスも送られてくる点が、おすすめのポイントです。
ところで、弊社では管理しやすく安全なウェブサイト制作を心がけております。 日本語から英語、ドイツ語での対応も可能。 最初からケアシステムを組み合わせたサイトのご提供も可能です。
各種サポートが必要な時、お問い合わせはこちらのフォームからお気軽にご相談ください。