私が最後に本格的な Web サイトを構築したのは、90 年代初頭のことでした。当時の Web 構築は簡単でした。サイトを構築して、世界中の人々がアクセスできるように公開するだけです。
今日のウェブ技術は大きく進歩しましたが、さまざまな人為的な障害も導入されているようです。今日の質問は GDPR に関するものです。
私の理解では、GDPR は、EU 市民のプライバシーを保護し、ウェブサイトがデータをどのように使用するか、またはウェブサイトが当該データを保存できるかどうかを制御する権利を EU 市民に付与することを目的とした欧州の法律です。
GDPR に関する私の第一印象は、EU 市民が GDPR の権利を望む場合、GDPR 法の対象となる EU 内にあるサーバーのみを使用するべきだということです。
しかし、どうやら EU の法律が EU 外のサーバーに何らかの影響を与える可能性があるという考えがあるようです。私は弁護士ではありませんが、各国が独自の法律を定めて施行していると思います。その法律は他の国の法律と一致する場合もあれば、一致しない場合もあります。GDPR は米国 (または他の非 EU 国) にあるサーバーにどのように適用されるのでしょうか?
私がオンラインで読んだいくつかの記事によると、どうやら米国はEUのGDPR法が米国内で施行されるのを許可しているようです。これは間違いその1のようですが、余談です。
GDPR の面倒な問題に対処したくないので、すべての EU ユーザーが私の Web サイトやサービスを使用できないようにする以外に選択肢はないようです。彼らをブロックする最善の方法は何でしょうか? Web サイトにログオンしようとするときに、彼らが EU 市民ではないことを確認させる (または、Web サイトが GDPR スキームに準拠していないことに同意することは許可されますか? その場合、彼らは引き続き Web サイトを使用できますか?)
明確に申し上げますと、私のウェブサイトやサービスでは、訪問者から収集した情報をスパムやその他の不正な目的に使用する予定はありません。GDPR の要件を一切遵守したくないだけであり、その代わりに EU ユーザー全員が私のサイトやサービスを使用できないようにブロック/禁止するつもりです。
理想的には、世界中の誰もが私が提供しているリソースにアクセスできる昔の方が良いのですが、それが不可能な場合は、EU 市民のアクセスを禁止する法的手段 (法的指令に違反した場合は GDPR の期待が無効になる) で問題ありません。
あなたのウェブサイトやサービスに使用できるアイデアやアプローチがあれば、ぜひ教えてください。
答え1
まず、データをヨーロッパのサーバーに保存する必要はありません。これは、収集する PII (個人を特定できる情報) の内容と、それをどのように使用して共有するかによって異なります。
ほとんどの場合、必要なのは同意を求めるか、その情報を取得する正当な理由があることだけです。たとえば、オンライン ストアを運営している場合は、注文を発送できるようにクライアントの名前と住所を記録しても問題ありません。
これは EU だけの問題ではないことにご注意ください。カリフォルニア州は最近、それほど厳格ではないものの同様の影響を及ぼす CCPA (カリフォルニア州消費者プライバシー法) を可決しました。