orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

GDPRの究極の対策はジオブロッキングであるという事実

f:id:orangeitems:20180528172808j:plain

 

GDPRに様子見の日本企業

先週からヨーロッパで導入されたGDPRの評判はいかがでしょうか。結局監査法人やコンサル・一部メディアが騒いでいるだけで、のほほんとしているというのが日本の大部分の企業なのかもしれません。

ただ、無知は危険なので、GDPR関連の情報をこちらなど見ていろいろ漁っておりました。確かにこの取り組みはヤバイ雰囲気です。売上の4%が賠償金というのが恐ろしいですね。例えばトヨタ自動車の年間売上が27兆円ですから、1兆円強を賠償金として請求できるという恐ろしい規約です。

 

もうメンドクサイので締めだしてしまえという施策=ジオブロッキング

GDPR自身の運用も非常にあいまいで、こう読めるとかああではないとか、本当にいろんな情報が出回っていて世界的な混乱が起こっています。アメリカの複数のWEBサイトではヨーロッパからのアクセスをジオブロッキングしているとのこと。ジオブロッキングとは、ユーザーのアクセスする地域によってコンテンツへのアクセスをブロックすることです。GDPRの正体が明らかになるまでは明確にヨーロッパからのアクセスを拒否するという姿勢は、最も究極のGDPR対策ですね。GDPR対象はヨーロッパに対するサービスを行っていることですのでサービス自体を拒否すれば対象にはされない、かなり明確な論理です。

 

ジオブロッキング、ヨクナイと言ってきたEU

一方で、ジオブロッキングは差別的であるというのを言っているのも、ヨーロッパだったりします。EUの方たちってEU域内では「デジタル単一市場の完成」なることを標ぼうしていて地域で見たり見られなかったりすると競争が成り立たなくなる、と言っています。

EU:不当なジオブロッキングを禁止する新規則が2018年末にも施行される見通し | ベーカー&マッケンジー法律事務所

「ジオ・ブロッキング(おま国)」がどれほど差別的なのかがよくわかる隠しカメラ映像 – P2Pとかその辺のお話R

ところが、GDPRのおかげで欧州全体がブロックされるという事態に、ヨーロッパの人々は何を思うのでしょうか。方向を間違えると、ヨーロッパ自体が世界のデジタル市場からばっくり切り離されてしまうこともあり得ます。

 

だいたい、GDPRの「同意」が胡散臭い

GDPRにクッキー情報が入るかもしれない、と言うことで、各社ユーザーに同意を取らなければいけない。そして拒否することもできるし拒否してもサービスは受けられないといけない。なんていう前提をGDPRが求めたことで、各社WEBサービスに、このあたりを記載したページが出現するようになりました。

Cookie等の利用に関するガイドライン | niconico

niconicoの例ですが、

利用者の皆様は、「Cookie等の利用に関するガイドライン」(以下、「本ガイドライン」といいます。)の内容をご確認頂いた上で、本ガイドラインに同意した上で、本サービスをご利用ください。本サービスをご利用される場合は、本ガイドラインの内容に同意したものとみなします。

 

とあります。利用するんだったら同意したものとみなすよ、とあります。

これってかなりグレーな書き方で、知らない間に同意させられているということになります。いやいやちゃんと、説明して、理解させて、ユーザーが同意するっていう手順を踏まないとGDPRに遵守しているって言えないよね、っていう議論があるのを知っておく必要があります。

アメリカはもっと深刻にGDPRを受け止めていて、例えばニュースサイトcnnでは、

下記の赤四角の囲みのように、ユーザーに同意を促しています。

f:id:orangeitems:20180528170155p:plain

We use cookies to understand how you use our site and to improve your experience. This includes personalizing content and advertising. To learn more, click here. By continuing to use our site, you accept our use of cookies, revised Privacy Policy and Terms of Use.

私たちはあなたのサイトの使い方を理解し、あなたの経験を向上させるためにクッキーを使用しています。これには、コンテンツと広告のパーソナライズが含まれます。詳細については、ここをクリックしてください。当社サイトを引き続き使用することにより、お客様はCookieの使用、改訂されたプライバシーポリシーおよび利用規約に同意したものとみなされます。

 

まあ、これも、niconicoと同じで、利用を続けたら同意したものとみなすぜ、というのと同じです。ただちゃんと質問しているだけ偉いのかもしれませんね。ただ、別にI accept(承認)を押さなくても使い続けられるんで、なんだかなあという感じです。

だいたい、一般人がクッキーの話をされても何のことやらと言う感じ。契約書のような長ーいわかりにくーい長文を読まされて同意も何もあったもんじゃないよなという印象です。例えばCNNの場合は、こんな感じで、誰がこれを全部読むのやら。

結局形式ばかりになって、ユーザーの利便性が大きく失われるんじゃないかな、と思います。不自由なインターネットだなあと。

 

クッキーについては別の法案が審議中

GDPRというのは一般データ保護規則と言う訳のとおり、一般的なルールです。クッキーについてどうしろこうしろとは言っていません。個人情報全体のルールです。一方で別名クッキー法とも言われている「eプライバシー規制」には細かくクッキーの運用方法が記され、これが施行されるとすごく大変だと言われています。

GDPRより怖い? EUが準備中の「クッキー法」:日経ビジネスオンライン

先ほど、利用するなら同意したものとみなすねーってなんかイケてないよね、と書きましたがこのクッキー法は、もっとクッキーを使うときにはわかりやすい説明をし、拒否することができ、拒否してもサービスは続けなさいと、無茶なことが書いてあるのです。

ネット広告事業者がクッキーを使って個人のアクセスしたサイトの情報を収集し、適切な広告を出すことにより、ネット広告の価値が急激に上がったといういうことですが、個人がクッキーを拒否しまくると、いろんなビジネスがうまくいかなくなること請け合いです。

Googleアソシエイトで食べているいろんな人たちは、涙目です。だって広告は明らかにクリックされにくくなりますし、単価も下がります。そしてGoogleも売上激減。どのサイトもGoogleアナリティクス(GA)入れていると思いますが、それもクッキーですし。

 

ということで、もうヨーロッパからのアクセスは止めちゃえば?

GoogleやFacebookなど、巨大グローバルインターネットプレイヤーがどう考えるのかは全く読めませんが、クッキー法が施行された日には悲鳴を上げるのではないでしょうか。

クッキー2.0のような、新しい技術を整備せずに、ある日クッキーを否定するような決まりができたら、このインターネットも終わりなのかもしれんな、と思いました。だって広告モデルでいろんなサービスができていますからね。

ヨーロッパはヨーロッパでやってくださいな、ただこっちにはアクセスできんよ、というのはあながち間違った感じはしません。ただ、ああ、インターネットってもはや今の形ではなくなるんだなあということをぼんやり感じました。

ある意味ヨーロッパ版のグレートファイアウォールですね(レイヤーは高いけど)。

 

追記

実装方法を考えてみました。ご参考まで。

GDPRのためのジオブロッキング実装方法案を考えてみる - orangeitems’s diary

 

 

欧州GDPR全解明 (日経BPムック) ムック – 2018/5/9