個人ブログのGDPR対策ガイド

この記事では、ブロガーとしてのGDPR（一般データ保護規則）の対応と海外、おもにアメリカのブロガーさんの対応を紹介します。

「GDPRって個人ブログやサイトにもあてはまるの？」

「どういうブログが対象なの？」

「ブロガーとしてはどんな対策をしたらいいの？」

「GDPRがよくわからないけど、何かしないとダメ？」

そんな人のために、できるだけ分かりやすくGDPRについて説明します。

免責事項：
この記事は、法的アドバイスではありません。この記事を参考にされる際は、個人の責任と判断のもとで行ってください。

今日のトピック

1 GDPRとは
2 GDPRの適用範囲
3 GDPRの対象となる個人情報
4 GDPRの６つの基本原則
5 個人ブログのGDPR対策
6 個人ブログのメルマガのGDPR対策
7 GDPR後のGoogle Analyticsの情報の保存期間
8 アメリカのブロガーのGDPR対策
9 「10日間の日記ブログ卒業メール講座」（無料）

GDPRとは

GDPRとはThe General Data Protection Regulationで、日本語ではEU一般データ保護規則と言います。GDPRは、２０１８年５月２５日にEUで施行された、個人のプライバシー保護にかかわる法律です。

Wikipediaから引用するとGDPRの目的は、

EU一般データ保護規則の第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと、および、欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることである。

ようするに、個人情報の取扱方のルールを統一して、個人情報が何に使われるのか等をわかりやすくして、一人ひとりが自分の個人情報の扱われ方に適切な判断をできるようにするための法律です。

ブログの場合は、コメント欄やお問い合わせからのコンタクト、さらにアドセンスなどのクッキーの使用など、すべて個人情報に関わることになり、GDPR対応が求められます。

GDPRの概要を知りたい方は、こちらのサイトのグラフィックラフィックを使った英語の説明を見てください。

どういうブログがGDPR対応が必要で、どうすればいいのか？を順番に説明しますね。

GDPRの適用範囲

GDPRはEUの法律なので、EU加盟国以外の日本やアメリカを拠点にしているなら関係ない。

なら話は簡単なんですが、ある条件がそろえば、EU以外の国のブロガーさんもGDPRの対象になります。

GDPRは、EU加盟国とEU加盟国以外では適用範囲がちがうので別々に説明します。

EU加盟国を拠点にしている場合

EU加盟国を拠点にしているブログやサイトが取り扱う個人情報はすべてGDRPが適用されます。EUを拠点に活動しているブロガーさんは、そのサイトへのアクセスに対しすべてGDPR対応が必要です。

EU加盟国以外を拠点にしている場合

アメリカや日本などEU以外の国を拠点にしている場合は、EU加盟国向けにサービスや商品を提供（無料、有料にかかわらず）しており、EU加盟国からアクセスがある場合GDPRが適用されます。

ここでのポイントは２つ。

EU加盟国をターゲットにしてサービスや商品を提供している（無料、有料は問いません）
EU加盟国内からのアクセス全てが対象になる

ポイント１：EU加盟国向けにサービスや商品を提供しているとは？

ここがアメリカのブロガーさんの中でいちばん混乱がみられたところですが、かなり情報がまとまってきたのでシェアします。

アメリカの有名プロブロガーPat Flynnさんの弁護士さんの記事に詳しい説明があるので参考に訳して説明します。

注意：この記事では、GDPRが施行される前であり判例がないのではっきりしない点はあるものの、他のビジネス関係の法律を参考にした場合の解釈となっています。

次のどれかに当てはまる場合は、EU加盟国向けにサービスや商品を提供しているとみなされる可能性があります。

EU内で使われている言語で運営されている
EU内の通貨での支払いができる
EU内の国のドメインを使っている（.UKなど）
サイトやアプリの中にEU内の読者に対した言葉がある
EU内向けの広告をしている
海外向けのカスタマーサービス窓口がある

さらにこの記事では次のコメントが続きます。

If a commercial website meets none of these standards and has a few incidental sales to people in the EU over the years or has a few EU-specific email address on its mailing list, it is difficult to see a court requiring GDPR compliance.

上の６つの条件のどれにも当てはまらない商業サイトの場合、EU圏内からのたまたまの注文やメールアドレスがあるだけでは、EUをターゲットにしたサービスを提供しているとは法廷で判断させるのは難しいんじゃないか。

またForbesのGDPRに関するアメリカ向けの記事でもおなじような説明です。

The organization would have to target a data subject in an EU country. Generic marketing doesn’t count. For example, a Dutch user who Googles and finds an English-language webpage written for U.S. consumers or B2B customers would not be covered under the GDPR.

Forbesでは、一般的なマーケティングはGDPRを適用されない。例えば、オランダのユーザーがGoogleで見つけたアメリカ国内向けの英語の記事にたまたまアクセスした場合はGDPRは適用されない。としています。

ということなので、

EU以外の国を拠点に日本語でブログを運営していて、海外情報などはまったく載せておらず、日本国内だけをターゲットにしているブログは、GDPRの適用範囲外となる可能性が高そうです。

GDPRの適用範囲外といっても、アドセンスやGoogle Analyticsを使っている場合は、必ずプライバシーポリシーでクッキー使用の説明が必要です。この機会にプライバシーポリシーを見直してみてくださいね。

私のブログのようにアメリカから「海外在住者向けの情報」を提供していて、その情報がEU加盟国の一部にも当てはまる場合は、EU加盟国向けにサービスを提供しているとみなされると考えたほうがよさそうです。

このGDPRの記事そのものも、EU加盟国向けの記事といえますしね。

アメリカなどEU加盟国外を拠点にしている場合は、EUからのアクセスに対してのみGDPR対応が求められます。

ポイント２：EU加盟国内からのアクセスがGDPRの対象になる

EU加盟国ではないアメリカなどを拠点にしている場合は、EU圏内からのアクセスに対してのみGDPR対応が必要です。

EU圏内からのアクセスというのは、アクセスした人の国籍や居住地は関係ありません。EU加盟国内からブログやサイトにアクセスした場合、その人の個人情報がGDPRで保護されるという意味です。

例えば、EU加盟国のフランスに旅行中のAさんが、日本から日本語でヨーロッパ向けの情報を発信しているサイトにアクセスした場合も、Aさんの情報はGDPRで守られるということです。

Aさんの国籍や居住国は関係ありません。EU圏内からのアクセスであればGDPRの対象になります。

日本語のヨーロッパ各国の旅行ブログやサイトなどもGDPR対応が必要になりそうですね。

GDPRの適用範囲のまとめ

ここまでの情報をまとめると、GDPR対応が必要なブログは

EU加盟国を拠点にしているブログ
EU加盟国以外から、EUも対象となる海外向けの情報を発信しているブログ
EU加盟国以外から、EU加盟国の情報（旅行情報など）を発信しているブログ

これ以外にも、英語で日本の紹介をしているブログとか、EU加盟国の人も読むことを想定したブログの場合はGDPRの適用範囲内と考えて対策をしたほうが良いと思います。

他にも対応が必要なブログがあるかもしれませんので、個々のブログ内容から判断してくださいね。

EU加盟国以外の国を拠点にしてEUをターゲットにしていないブログであれば、「このブログは日本国内の居住者のみを対象にしたブログであり、EU圏内へむけた情報発信はしておりません」など、プライバシーポリシーにブログのターゲットを明確に追記するなどの対応もできます。

EU加盟国を拠点に活動しているブロガーさんは、ブログ内容に関係なくGDPR対応が必要ですよ。

GDPRの対象となる個人情報

ふー、ここまででもかなりの情報になりました。

GDPR対応が必要な人は、ここからが本番なのでコーヒー片手にがんばりましょう！

メルマガなどで積極的に集めている個人情報以外にも、自動で収集される情報もGDPRの対象になります。

例えば、個人名や住所などはもちろん、メールアドレスやIPアドレスなど。さらにウェブ上での行動をトラッキングするクッキーの使用もGDPR対策が必要です。

GDPRの対象となる個人情報を取り扱うブログ

ブログにコメント欄を設置している
お問い合わせフォームを作っている
メルマガの登録フォームを設置している
Google Analyticsを入れている
Google AdSenseなどの広告ネットワークを使っている
クッキーを保存するアフィリエイトプログラムを使っている
ブログやサイトで商品やサービスを販売している
FacebookのLikeボタンを入れている
レンタルサーバーを借りてWordpressでブログを運営している

などです。

メルマガや商品販売などをしていなくてもGDPRの対象になるんです。

ブログのコメント欄

スパムコメント防止のため、メールアドレスを記入することがありますよね。このメールアドレスが個人情報となります。

お問い合わせフォーム

問い合わせフォームに記入するメールアドレスも個人情報です。

Google Analytics

Googleなどが自動的に収集する情報、IPアドレスとか、ブログ訪問者のサイト上での行動とか、そいういう情報もすべてGDPR対応が必要です。

アフィリエイトプログラム

IPアドレスのトラッキングや購入者のメールアドレスが分かる場合もありますよね。アフィリエイトプログラムを通じての情報も個人情報となります。

WordPressのブログ

WordPressブログでは、レンタルサーバーでアクセスのあったIPを保管している場合がほとんどです。デフォルトの設定でもWordpressブログはクッキーを使用しているのでGDPR対策が必要です。

普通にブログを運営していれば、GDPR対策が必要な個人情報をなにかしら集めていると考えて、先に説明した「GDPRの適用範囲」にあてはまるブログは、GDPR対応をした方が良いと思います。

GDPRの６つの基本原則

GDPRの対策に入る前に、GDPRの6つの基本原則（6 principles of the GDPR）を確認して、GDPR対策に何が必要なのかみてみましょう。

原文は、Art. 5 GDPR Principles relating to processing of personal dataを確認してください。

１．個人情報は、合法的に、公明正大に取り扱う

データを集める時は、データ収集の目的を事前に説明する

２．データ収集は、はっきりした特定の正当性のある目的のために行う

データを集める時は、データの合法的な使用目的を説明する。説明ないしにデータを集めてはいけない。

３．集めるデータは、必要最低限にする

不必要なデータは集めない（メルマガ配信目的なら、名前は不要とか）

４．データは正確かつ最新のものにアップデートし訂正する

個人ブロガーよりもGoolgeやFacebookなどの企業が対象

５．不必要にデータを保管しない

必要ない人のデータは削除する。正当な理由なくデータを保管しない。

６．適切なセキュリティの元データを取り扱う

サイトのセキュリティ対策（サイトのSSL化など）や個人情報の管理に責任をもつ

基本的には、データを集める場合は使用目的をはっきりさせて目的以外には使わない、最低必要な情報だけを収集する。情報の取扱には最新の注意を払う。というすごくまっとうなものです。

リストを転売するとか、本人が希望しない別のメルマガに登録するとか、メルマガリストから削除できないなどは絶対にダメですよ。

って、個人ブログでそんなことをする人はいないと思いますが。

ここで気になったのは、日本のメール配信サービス。

日本のメール配信サービスの一部は、抱き合わせでメルマガ登録をさせたり、メルマガ購読解除のリンクがメールに掲載していない会社もあります。

こういうメール配信サービスは、GDPR適用範囲に当てはまる人は使わないほうがいいです。

EU圏内へもメルマガを配信する可能性がある人は、GDPR対策をしているメール配信会社をつかってくださいね。メルマガ対応については、後ほど説明します。

ここからは、個人ブログのGDPR対策を説明しますが、その前にもう一度免責事項を書いておきますね。

免責事項：
この記事の内容は、法的アドバイスに代わるものではありません。この記事を参考にされる際は、個人の責任と判断のもとで行ってください。

個人ブログのGDPR対策

ここからやっと個人ブログのGDPR対応です。

個人ブログのGDPR対策：

１．プライバシーポリシーページの作成
２．プライバシーポリシーのわかり易い場所への表示（メニューバーやフッターなど）
３．EU圏内からのアクセスに対しポップアップなどでクッキーの使用を告知する
４．プラグインのプライバシー設定を使う

などです。

１．２は、GDPRに関係なくブログ運営で必要なことなので、まだプライバシーポリシーページを作っていない方はこの機会に作ってくださいね。

一つ一つ順番にみてみましょう。

プライバシーポリシーページの作成方法

WordPressブログの場合を説明しますね。

WordPressの場合のプライバシーポリシーの作り方は２つあります。

１．固定ページでプライバシーポリシーを作る方法

ダッシュボードの固定ページ＞新規追加から作成します

２．Wordpresのプライバシーポリシーの雛形を利用する方法

WordPress 4.9.6のプライバシーポリシーページの雛形を利用する

ここでは２のWordpressのプライバシーポリシーのテンプレを使う方法を説明しますね。

WordPressのプライバシーポリシーのテンプレを作成する

このプライバシーポリシーページは、WordPress 4.96でリリースされたので、まずはWordpressを4.96以降に更新してください。

ダッシュボードの設定＞＞プライバシーをクリックします。

WordPressの雛形を使う場合は、新規ページを作成をクリックすると、プライバシーポリシーのテンプレートが個別ページに作成されます。

すでにプライバシーポリシーがある人は、既存のページを選択から、プライバシーポリシーページとして登録するページを選んでください。

普通の個別ページと同様に

１）パーマリンクを変更
２）記事の内容を確認
３）公開

するとプライバシーページが作成されます。個別ページで普通に作ってもOKですよ。

ただし、デフォルトのWordpressのプライバシーポリシーそのままでは、かなり不十分なので必要に応じて追記してくださいね。

というか、最初に知った時はすっごい期待したんですが、実際にテンプレをみて？？？となりました。

これ、テンプレというよりもほぼ見出しの箇条書きなんですよね。

WordPressもちゃんとプライバシーポリシーガイドを読んで変更して使ってねと言っているのでよいんですけど。

特にWordpressテンプレの「このサイトが収集する個人データと収集の理由」では、Wordpressがデフォルトで集める情報についてのみ書かれています。

その他のプラグインやGoogle Analytics、Adsenseなどの広告やアフィリエイトリンクなどについては記載がありません。必要に応じて必ず追記してください。

ちなみに私のプライバシーポリシーでは、Wordpressのテンプレからは、「コメント」と「他サイトからの埋め込みコンテンツ」を使いました。

その他は、プライバシーポリシーの雛形や英語サイトのプライバシーポリシーを参考に書いています。

プライバシーポリシーをブログ内に表示する

個別ページでつくったプライバシーポリシーをメニューバーやフッターに表示します。

メニューバーに表示する方法

外観＞＞メニューから今作ったプライバシーポリシーを選んで、メニューに追加して表示したいメニューバーに追加します。

フッターにリンクを表示する方法

外観＞＞ウィジェットからフッターウィジェットを編集します。

フッターウィジェットにテキストリンクをつくります。このTokoAruga.comではプロフィール、サイトポリシー、プライバシーポリシーの３つのテキストリンクを表示しています。

クッキー使用のポップアップを出す

さらにきちんとするならば、サイトにアクセスした際にクッキーを使用していることを告知するポップアップを表示させます。

WordPressブログなら、プラグインで簡単にできます。雑記ブログでは、ためしにポップを表示しています。

ざっとみたところ無料のCookie Consentというプラグインが一番シンプルで使いやすそうです。

Cookie Consentの使い方

１．新規プラグインでCookie Consentをインストールして有効化する

２．設定＞＞Cookie Consentで設定

General設定では、ポップアップを表示する条件を設定します。

CloseはOn Click（クリックで消滅）
First Page Only（最初にアクセスしたページにのみ表示。チェック）
Selectively Exclude Pages（チェックなし）
Exclude Zones（別のプラグインを使えば、表示する地域を限定できます。私は今はつかっていません）
Notification Duration（クリックで消滅を選択した場合は関係なし）
Scroll Height（クリックで消滅を選択した場合は関係なし）
Cookie Expiry（クッキーの保存期間。30日たったら再度表示される設定にしています）
Cookie Version（１．よく分かりません）
Opt out of tracking（チェックなし）

Content設定では、ポップアップの内容を設定します。

文章の内容は今後かえることもありますが、今はこんな感じで表示しています。

Notification Textの後にMore Info Textに入力したテキストがリンクになります。

リンク先は、More Info Pageで選んだページです。

Accept Textは、ボタンに表示されるテキストです。これをクリックするとポップアップが消える設定にしています。

Style設定で、ポップアップの色やテキストの色、ボタンの色を決めます。

設定を変更したら保存を忘れずに！

設定を自分で確認するときは、Wordpressのキャッシュをクリアしてブラウザのヒストリーもクリアしてアクセスしてください。または別のブラウザでみてみるとか。

ちなみにスマホでの表示はこんな感じです。ちょっと邪魔かな。

どのくらいのサイトがポップアップを出しているのかはわからないので、EU圏内のブロガーさんにぜひ聞いてみたいです。

コメントお待ちしてます！

プラグインのプライバシー設定を使う

いくつかのプラグインはGDPR対応になりました。

例えば、デフォルトで入っているコメントスパム防止のプラグインAkismetは、プラグインを最新版に更新すると、プライバシーに関する通知をコメント欄に表示できます。

Akismet Anti-Spam（アンチスパム）の設定からプライバシーに関する通知を表示するにチェックします。プライバシー設定が表示されないときは、プラグインを更新してくださいね。

Akismetのプライバシーの通知をすると、コメント欄の下にAkismetを使用しているとの説明文が入ります。

ここまでがブログでのGDPR対策でした。

ここからは、メルマガをしている人向けにメールアドレスのGDPR対応を説明しますね。

ふー、あと一息です。ゴールは近い！

個人ブログのメルマガのGDPR対策

ブログやサイトでメールアドレスを集めている人の場合の対策

１．メルマガ登録の際に名前は集めない（必要ない場合）
２．フリーPDFとの引き換えにアドレスを収集する場合はメール配信の許可を得る
３．メールに配信者の情報を記載する
４．メルマガ削除はいつでもできるようにする
５．すでにあるメルマガリストではEU圏内の人には、あらためてメールを送る承諾を得る

などが必要です。

GDPRの６つの基本原則にあるように、メールアドレスの使用目的を事前に説明する、不必要な情報を集めない、保管しないが重要です。

私が使っているMailChimpとそのプラグインでは、GDPR対応のためにメールアドレスを入力する際にチェックボックを表示できるようなりました。

こんな感じで私もメール登録にはチェックボックスを表示するようにしました。

今までアメリカのブロガーさんは、無料のEbookやPDFと交換でメールアドレスを集めていました。集めたメアドを自動的にメルマガのリストに登録していたのが、GDPR施行後は、事前に承認が必要になります。

すくなくともEU圏内からのアクセスに対しては、事前にメーリングリストへ登録してメールを送ることの承諾を得る必要があります。

また送信するメールには、メーリングリストからの削除リンクと連絡先を必ず載せます。これはアメリカでメルマガを発行するときも必須です。

日本のメール配信サービスでも対応できるかもしれませんが、EU加盟国内からメルマガを発行する場合は、GDPR対策をしているサービス会社を使うほうが良いと思います。

メーリングサービス会社の名前とGDPRで検索して、対策ページがでてくれば大丈夫かなと。

ここまでの内容は、GDPR For Entrepreneurs: What You Need to Knowを参考にしました。詳しくは、記事を読むかPodcastを聞いてくださいね。

このサイトは、アメリカの弁護士さんのインタビューをもとにした情報がのっています。アメリカのブロガー界で、GDPRに関して信頼できる詳しい情報が載っているページとしてシェアされているページです。

最後にGDPRはGoogle Analyticsの情報保存期間にも影響があるので、少し触れておきますね。

GDPR後のGoogle Analyticsの情報の保存期間

ブロガーさんなら、５月２５日以降は、Google Analyticsの情報保存期間がデフォルトで２６ヶ月になりますよ！５月２５日までに保存期間を「自動的に期限切れにならない」に変えましょう！！

という注意喚起をツイッターなどでも目にしたと思います。

が、これGoogleからのメールをきちんと読んで、さらにGoogleの説明を確認すると、そんなに慌てなくても良いことがわかるんですが。

みんな読んでないんですよね。

Googleのデータの保持を引用しますね。

どんな情報が自動で消えるかというと

Google アナリティクスのデータ保持コントロールを使用すると、保存されたユーザー単位やイベント単位のデータがアナリティクスのサーバーから自動的に削除されるまでの期間を設定できます。

つまり、ユーザーIDだとか広告IDと紐付けられているデータの保存期間が変わるということです。これはGDPRの基本原則の一つ、不必要にデータを保管しないことの対応と思います。

Google側は、自分たちはテータの自動削除をデフォルトにしたよ。データの保存期間はユーザーの責任で管理してねってことかと。

さらにGoogleはわざわざ注意書きで

標準の Google アナリティクス集計レポートには影響はありません。この設定で管理されるユーザーおよびイベントデータは、例えばレポートにカスタムセグメントを適用する、通常とは異なるカスタムレポートを作成するなどの高度な機能を使用する場合にのみ必要です。

とはっきりと書いています。通常のデフォルトでのレポートのデータは２０１８年５月２５日までになにもしなくても、今まで同様に保存されます。

カスタムレポートなどを作っていないブロガーさんは、全然慌てることはないんですね。５月２５日までに対応してもしなくても何も変わらないと思います。

ためしに雑記ブログはデータの保存期間の変更はせず２６ヶ月のままにしました。５月３０日ぐらいに、通常のレポート情報がどのくらい保存されているのか確認したいと思います。

これで消えてたらGoogleにクレーム入れます！

ちなみに保存期間の変更は、左の一番下にあるギアアイコンから管理画面にはいり、プロパティのトラッキング情報にあるデータ保持をクリックすると簡単にできますよ。

アメリカのブロガーのGDPR対策

ここまでで、ほぼ個人ブログのGDPR対策で必要なことはカバーしたと思います。最後に、アメリカのブロガーさんの対応を紹介して終わりにしますね。

私が参加している海外のFacebookグループでも、GDPRは話題になっています。

多少パニック気味で、なにするの？どうするの？と聞きまくっている人から、まあ個人ブログには関係ないんじゃないのと、わりと何もしないでしばらく様子見派までさまざまです。

このあたりどのくらいのブログが対応しているのかは、EU圏内のブロガーさんに聞いてみたいところです。

あとメルマガで

「５月２５日までにGDPR対策しないと大変よ！絶対やりなさいね！みんなやってる？私はこのプラグインで簡単に対策できたわよ。」で、有料プラグインのアフィリエイトリンクどーん！

という強者までいて、ドン引きしました。

いやいや、個人ブロガーなら有料プラグインまで必要ないし、無料でも十分対策できるし。

とはいえ、この機会にプライバシーポリシーを見直したブロガーさんは多そうです。

ちょうどいい機会なので、GDPR対策が必要かどうかにかかわらず、プライバシーポリシーを見直してみてくださいね。

ここまでの情報は、GDPR施行前、しかもまだ判例がない状況での情報です。アメリカの弁護士の見解も、憶測を含む不確定なものであり今後変わる可能性があることをご了承ください。

私の対応も完璧ではないと思うので、また定期的に見直して情報をアップデートしたいと思います。

お疲れさまでした。

「10日間の日記ブログ卒業メール講座」（無料）

2年間で1200人以上が受講した人気講座です。日記ブログを卒業してお仕事ブログを始めたい方は受講してくださいね。

では、今日はここまで。
Have a good day!

有賀透子