2016 年に導入された新しい一般データ保護規則 (GDPR) は、データ保護規則の最も重要な改革の XNUMX つです。 プライバシー規制 過去20年間にヨーロッパで。 GDPR の最終的な目標は、ヨーロッパのデータ プライバシー法を統一し、ヨーロッパ国民のプライベートな日付を保護し、国民に自分のデータに対するより多くの権利と制御を与えることです。
オンライン ビジネスでは、Web サイトでのユーザー エクスペリエンスを向上させたり、Web サイトの訪問者や顧客のターゲットを変更したり、パーソナライズされた広告を生成したりするために、データの継続的なストリームが必要です。 ただし、新しい GDPR Web サイトでは、データを収集する前にユーザーは明確な同意を与える必要があります。 ユーザーは、データがどのように収集され、処理されるかを知らせる必要があります。 したがって、プライバシー ポリシーはユーザーにとってアクセスしやすく、理解しやすいものである必要があります。 ウェブサイトのユーザーは、サービス規約に同意する前に、どのような種類のデータがどのような目的で収集されるのかを理解する必要があります。GDPR に準拠しないと、高額な罰金や裁判が科せられる可能性があります。
ヨーロッパ全土のウェブサイトホストは法律のさまざまな側面を考慮する必要があり、非常に複雑になる可能性があります。 しかし、誰もが社内に GDPR スペシャリストを雇える余裕があるわけではありません。 したがって、次のヒントは、あなたのビジネスと Web サイトが継続的に欧州データ保護法にどのように準拠できるかについての第一印象を与えるものです。 このガイドには法的なアドバイスは含まれませんが、GDPR 要件の基本的な理解を確立することを目的としています。
1. 用語を理解する
Web サイトを GDPR に準拠させる前に、用語の基本を理解しておく必要があります。
個人データ
個人データとは、直接または収集されたデータの組み合わせを通じて、個人を特定できる情報を指します。 個人を特定できるデータには、電子メール アドレス、IP アドレス (ユーザーの正確な位置を予測できる)、名前、収入、宗教、個人の写真などがあります。 さらに、Cookie は複数の Web サイト全体の閲覧活動 (ユーザーがスクロールしたコンテンツやユーザーがクリックしたコンテンツなど) を追跡できるため、Web サイトの個人データに関する全体的な動作も記録されます。
プライバシーポリシー
プライバシー ポリシーには、ユーザーがどのような日付を収集しているのか、またそのデータがどのように扱われるのかが記載されています。 さらに、プライバシー ポリシーには、個人データがどのように非公開に保たれるか、または誰がデータにアクセスできるかについての説明が含まれる必要があります。 プライバシー ポリシーは、Web サイト上のユーザーが簡単に理解でき、アクセスできるものでなければなりません。
データプロセッサおよびコントローラ
データ管理者は、データの目的とデータのさらなる処理方法を決定する個人またはソフトウェアです。 一方、データ処理者は、データ管理者に代わってデータを処理および分析する個人またはソフトウェアです。
GDPRコンプライアンス
GDPR に準拠するとは実際には何を意味しますか? 現在の GDPR に準拠することの意味は、ビジネス、組織、ユーザー、データの品質に応じて異なります。 ただし、一般的に GDPR に準拠するには、個人データを収集する企業または個人は、デフォルトでデータが安全に取り扱われ、処理され、保存されることを保証するための特定の措置を実装する必要があります。
2. 現在のデータ保護規制に従って当社のウェブサイトを変更する
2016 年にこの法律が施行されたとき、ほとんどの Web サイト運営者は同じ疑問を抱きました。「Web サイトを GDPR に準拠させるにはどうすればよいでしょうか?」 次の手順により、Web サイトが一般的なデータ保護規制に準拠するようになります。
ウェブサイトにオプトインおよびオプトアウトのフォームを設置します。
Web サイト上に、ユーザーに明確に表示され、Web サイトでのデータ収集と処理アクティビティについて通知するフォームを設置します。 ほとんどの Web サイトは、ユーザー コンテンツ フォームを含む Cookie ポップアップを使用します。 また、個人が個人データを収集する許可を簡単に撤回できる必要もあります。 これは一般に「オプトアウト」オプションとしても知られています。
すべてのサードパーティ追跡ソフトウェアをリストする
多くの Web サイトでは、収集されたデータをより効率的に分析するためにサードパーティのプログラムを使用しています。 プライバシー ポリシーまたは Cookie ポップアップ バナーに、Web サイトで使用されているサードパーティの追跡ソフトウェアをリストおよび説明するセクションを設けます。 さらに、ウェブサイトには、どの当事者に対して同意が与えられているか、または例外があるかどうかを明確に記載する必要があります。
特に電子メール マーケティングにおいて、ユーザーが与えられた許可を簡単に取り消すことができるようにします。
Web サイトでのユーザー エクスペリエンスを中断することなく、特定のデータ処理権限の許可を取り消すことは、Web サイトで実行するのが難しい場合があります。 ただし、GDPR では、以前に許可されていたのと同じくらい簡単に削除できる必要があります。 一方的な企業がこの課題に取り組んだのは、データが使用される可能性があり、ユーザーが同意または拒否できる特定の領域をリストすることです (例: パーソナライズされた広告、行動追跡、Web サイトでのパーソナライズされたユーザー エクスペリエンス)。 これは主に Cookie を通じて行われます。 さらに、ニュースレター購読者がいつでもメール リストから簡単にオプトアウトできるようにする必要があります。 電子メールに明確に記載されていない場合、またはオプトアウトする選択肢がまったくない場合は、高額な罰金が科せられる可能性があります。
3. GDPR に準拠した Google Analytics の使用
Google Analytics はこれまでで最も使用されており、最も人気があります。 ウェブサイトの追跡 このツールは、Web サイト訪問者の行動における独自の内部情報をユーザーに提供します。 しかし、Google Analytics は GDPR に準拠しているのでしょうか?
ウェブサイトでの Google Analytics の使用法を準拠させるために実行できる簡単な手順がいくつかあります。 Google Analytics は、Web サイト上の訪問者の総数 (例: 新規顧客またはリピーター)、行動 (例: 顧客がどの Web サイトを通じてコンバージョンしたか、直帰率)、および Web サイトでのインタラクションを表示するために、すべてのユーザーに一意のユーザー ID を登録します。 Webサイト。 さらに、Analytics では、年齢、性別、場合によっては収入さえも考慮してユーザーをセグメント化できます。 言及された情報はすべて、GDPR の下では個人データとみなされ、個人を特定できる可能性があります。 ただし、Google は常にツールを開発および改善しているため、Google Analytics を通じて収集されたデータの全範囲を確認することは困難です。
Google は EU の同意ポリシーに基づいて、ウェブサイトの所有者が開示する責任を負い、ウェブサイトで Google Analytics が使用されているという統計情報を掲載しています。 さらに、欧州連合内の Web サイトのエンドユーザーから同意を取得し、個人データを収集する正確な理由を指定する必要があります。 したがって、Google Analytics は、データ保護要件の責任を Web サイト所有者に移します。 次のヒントは、Google Analytics の使用中に GDPR への準拠を管理するのに役立ちます。
IP匿名化をオンにする
IP アドレスは GDPR の下で個人データとしてカウントされます。 Google はユーザーの IP アドレスを使用して地理レポートを生成します。 したがって、匿名化により、Google Analytics によるユーザー追跡の精度が低下します。 次の変数を Google Analytics トラッキング コード スクリプトに追加することで、IP アドレスの匿名化をアーカイブできます。
{ 'anonymize_ip': true }
この機能が Google Analytics トラッキング コードに追加されると、IP アドレスは収集時点で匿名化されます。
2. Google Analyticsの擬似フィクション設定を確認する
Google Analyticsではすでに、単一ユーザーの特定を防ぐための対策を講じています。 ただし、次の疑似フィクション設定がアクティブで機能しているかどうかを確認する必要があります。
ユーザーID: ユーザーは、特定の電子メール アドレスやプレーン テキストのユーザー名ではなく、数字や文字によって識別されるようにしてください。
トランザクションID: トランザクション ID をアカウント内の他のデータ ソースと組み合わせると、個人を特定できる可能性があります。 したがって、ID がランダムな英数字の識別子であることを確認してください。
暗号化されたデータ: 暗号化されたデータには、電子メール アドレスや個人の電話番号が含まれる場合があります。 したがって、Google Analytics を通じて暗号化されたデータを収集しないことをお勧めします。 Google Analytics では、SHA256 の最小ハッシュ要件があり、8 文字以上のソルトの使用を推奨します。
- URLのページタイトルを確認してください
URL にパラメータとして「email= querystring」が含まれている場合は、Web サイト上の他のマーケティング ツールに個人データを送信している可能性があります。 ページのタイトルと URL を確認して、個人データが収集されていないことを確認してください。
- 継続的なコンプライアンスのためのその他の措置
技術的側面の次には、GDPR への継続的な準拠を確立するために重要な次の測定があります。
- 社内でデータ保護と GDPR コンプライアンスの定期検査を担当する人を見つけます。
- すべての GDPR 苦情措置を文書化して記録し、記入済みの同意フォームをすべて保護します
- データ保護対策を定期的に評価する
- 従業員をトレーニングし、GDPR に準拠した個人データの使用と収集についての理解を促進し支援する
まとめ
2016 年の法案の導入以来、GDPR に関する誇大宣伝は大幅に減少しましたが、忘れたり無視したりすべきではありません。 企業内で実施できるコンプライアンスにはさまざまな尺度があり、それによってさまざまなレベルのコンプライアンスが生成されます。 GDPR 要件にどの程度準拠するかは、個々の Web サイト所有者次第です。 ただし、提案されているヒントに従うことで、GDPR 準拠に一歩近づくことができます。
