GDPR - GDPR(一般データ保護規則)
EU における個人データの保護を規定する法規則。違反時には最大で全世界年間売上の 4% または 2,000 万ユーロの制裁金が科される。
概念図
実例
Cookie 同意の取得処理
bash
// Cookie 同意バナーの実装例
if (!hasConsent("analytics")) {
disableTracking();
}
showConsentBanner({
necessary: true,
analytics: false,
marketing: false
});忘れられる権利(データ消去リクエスト)の API 例
bash
DELETE /api/users/{userId}/data
Content-Type: application/json
{ "reason": "right-to-erasure", "requestedBy": "user" }GDPR の主要な原則
- 適法性・公正性・透明性: データ処理には法的根拠が必要。ユーザーにわかりやすく説明する
- 目的の限定: 明確な目的のためにのみデータを収集する。後から目的を変更しない
- データの最小化: 必要最小限のデータのみ収集する
- 正確性: データを正確かつ最新の状態に保つ
- 保存期間の制限: 必要な期間のみ保持し、不要になったら削除する
- 完全性と機密性: 適切な技術的・組織的措置でデータを保護する
- アカウンタビリティ: コンプライアンスへの取り組みを証明できるようにする
Web 開発者が対応すべきこと
- Cookie 同意管理: 必須 Cookie 以外は事前同意(オプトイン)を取得する。同意管理プラットフォーム(CMP)の導入を検討する
- プライバシーポリシーの整備: データの収集目的、保存期間、第三者提供の有無を明記する
- データ主体の権利への対応: アクセス権、訂正権、削除権(忘れられる権利)、データポータビリティへの対応を実装する
- データ侵害の通知: 個人データの漏洩が発生した場合、72 時間以内に監督機関に通知する義務がある
- Privacy by Design: 設計段階からプライバシー保護を組み込む。デフォルトでプライバシーを保護する設定にする