ウェブサイトを GDPR に準拠させるための 8 つのステップ

公開: 2022-02-24

2018 年、欧州連合は、一般データ保護規則 (GDPR) として知られる一連のデータ保護改革を実施しました。 本質的に、GDPR は、すべての異なるデータ保護法を、すべての EU 州に適用される単一の一連の規則に置き換えました。 多くの企業は、GDPR に準拠するためにポリシーを変更する必要がありましたが、移行期間にもかかわらず、新しい規則に関してはまだ多くの混乱があります.

では、GDPR とは何であり、ビジネスを準拠させるにはどうすればよいでしょうか?

目次

    この記事では、ドライな EU データ保護指令を読まずに GDPR に準拠する方法を学びます。 GDPR とは何かを理解し、サイトを GDPR に準拠させるために必要な手順を説明します。

    GDPRとは?

    GDPR は、EU 市民のオンライン プライバシーを保護するために設計された EU のデータ保護指令です。 個人データの使用方法と、ウェブサイトが収集できるあなたに関するデータの種類を規制します。 EU の規制であるにもかかわらず、GDPR は EU のユーザーがアクセスするすべての Web サイトに適用されます。 その結果、Web サイトや企業は GDPR に準拠するか、EU トラフィックをブロックする必要があります。

    それを念頭に置いて、ビジネスに影響を与える可能性のある GDPR の重要な側面を以下に示します。

    • あなたのサイトは、個人データが収集されていることを訪問者に明確に通知する必要があります。
    • また、データが収集および保存される方法と理由を開示する必要があります。
    • 収集した個人データを削除するようユーザーから要求された場合、ほとんどの場合、要求に応じる必要があります。
    • ユーザーは、保存されているすべての個人情報のコピーを要求することもできます。
    • ビジネスの主な活動の 1 つが個人データの収集と保存である場合は、データ保護担当者を雇う必要があります。
    • Web サイトが侵害され、ユーザーの個人情報が漏洩した場合、72 時間以内に侵害を報告する必要があります。
    • GDPR 規制に違反すると、最大 2,000 万ユーロ (約 2,400 万ドル) または会社の年間売上高の 4% の罰金が科せられる可能性があります。

    GDPR の主な目的は、人々とその個人情報をデータ侵害から保護することです。 問題は、GDPR の対象となるデータの種類は何ですか?

    GDPR で規制されるデータの種類

    Web サイトをゼロから構築した場合でも、WordPress テーマを使用した場合でも、サイトはさまざまな種類のデータを収集します。 Web サイトは、分析、WordPress フォーム、サブスクリプション フォーム、連絡フォーム、メール マーケティング キャンペーンなど、さまざまな方法で情報を収集します。

    つまり、すべての個人データは GDPR に該当しますが、次の種類に分類できます。

    • 遺伝情報と健康情報。
    • 生体認証データ。
    • 政治的および/または宗教的見解。
    • 人種、民族、性別。
    • お客様の IP アドレスや Cookie データなどの Web データ

    あなたのビジネスが前述の EU 市民のデータのいずれかを保存している限り、サイトは GDPR に準拠している必要があります。 これは、欧州連合の国境内に存在しない場合でも適用されることに注意してください。

    GDPR に準拠するために必要な手順

    Web サイトの所有者としての責任について読んだとき、圧倒されて、すべての着信 EU トラフィックをブロックする方が簡単だと判断するかもしれません。 GDPR に落胆しないでください。 以下は、GDPR に準拠するために必要な主な手順です。

    1. プライバシー ポリシーを改善する

    データの収集、保存、共有について透明性を保ちます。 Web サイトには、データ収集の慣行、データ保護、Cookie の使用、およびデータ共有について明確に説明する詳細なプライバシー ポリシーを含める必要があります。 優れたプライバシー ポリシーには、少なくとも次の点が含まれている必要があります。

    • ユーザーの個人データを販売することはありません。
    • 法律で義務付けられていない限り、個人データを共有することはありません。
    • 収集するデータの種類。
    • データを収集する理由とその使用方法。
    • ユーザーデータを保護する方法。
    • プラグインがデータを収集および使用する方法。

    解釈の余地を残さない単純な言葉を使用して、できるだけ明確にします。そうすれば、明確で透明性のあるプライバシー ポリシーを作成できます。

    2. Cookie コレクション通知を作成する

    GDPR によると、Cookie は個人データとしてカウントされるため、Cookie データを使用する前にユーザーに同意を求める必要があります。 Web サイトに明示的な Cookie 収集通知を配置し、ユーザーが同意しない場合でも Web サイトへのアクセスを許可するようにします。 また、ユーザーがいつでも簡単に同意を撤回できるようにする必要があります。

    3. すべての Web サイト フォームに通知を表示する

    さまざまな種類の送信フォームを通じてユーザー データを収集するのが標準的な方法です。 メールアドレスやその他の詳細を引き続き収集したい場合は、データ収集通知を投稿してください。 その時点より前に、ユーザーの承認なしにデータを収集しないでください。 そうしないと、GDPR 違反で多額の罰金を科される可能性があります。

    言葉遣いはできるだけ明確にし、データ収集に関するすべての重要な詳細を提供してください。 また、チェック済みのチェック ボックスを使用しないようにする必要があります。 ユーザーは、データ収集がオプションであり、同意が必要であることを理解する必要があります。

    4. すべてのプラグインが GDPR に準拠していることを確認する

    Google アナリティクスなど、データを収集するサードパーティのプラグインを使用している場合は、データを匿名にする必要があります。 これを手動で行うのは難しい場合がありますが、このプロセスを処理する GDPR 準拠のプラグインを見つけることができます。 GDPR コンプライアンス設定を備えたツールを検索するだけです。

    5. ダブルオプトインを使用する

    GDPR はダブル オプトインを義務付けているわけではありませんが、ダブル オプトインを使用することを強くお勧めします。 ダブル オプトインとは、ユーザーがデータ収集に同意していることを 2 回確認することを意味します。 これは、メーリング リストの購読では特に重要です。

    ダブル オプトインを追加するには、まず Web サイトのサブスクリプション フォームから同意を要求する必要があります。 次に、ユーザーは電子メールで受け取ったリンクをクリックして、もう一度同意する必要があります。

    ダブルオプトインを使用すると、データ保護とプライバシーに専念していることを示し、サイトが GDPR に準拠していることを当局に証明することもできます。

    6. 登録解除リンクを追加する

    購読者に送信するすべてのコミュニケーションに、読みやすい購読解除リンクを含めます。 メーリング リストからの登録解除は、簡単なプロセスで瞬時に行う必要があります。

    7. 要求に応じて個人データを削除する

    GDPR はユーザーに忘れられる権利を与えます。 これは、データの削除をいつでも要求できることを意味します。 常に要求どおりに実行します。 これには、メーリング リストからのユーザーの削除、ユーザーのアカウントの削除、ユーザーに関する個人情報のワイプが含まれます。 ブログの投稿やフォーラムのコメントも個人データとしてカウントされるため、要求があれば削除する必要があります。

    8.メーリングリストを買わない

    GDPR に違反している可能性があるため、メーリング リストの購入はお勧めしません。 ほとんどの場合、これらの電子メール アドレスがユーザーの同意を得て収集されたかどうかはわかりません。

    とはいえ、まだメーリング リストを購入することに決めている場合は、送信するすべてのメールに少なくとも登録解除リンクを含めるようにしてください。

    GDPR に準拠していることには価値がある

    上記のすべての手順に従って、ウェブサイトとビジネスを EU 市民に公開します。 GDPR に準拠することは、最初は難しく聞こえるかもしれませんが、それほど難しくはありません。 これには主に、データの収集と同意を求めることについて透明性を保つことが含まれます。 おまけとして、非 EU ユーザーは、あなたのビジネスがプライバシーとデータ保護に関心を持っていることを知り、あなたを信頼する可能性が高くなります.